漫谈在安全公司做内部安全的体验

2021-11-17 15:55:54 897
这是一篇个人工作经历的感悟,将会叙述:在一家国内网络安全公司的网络安全部工作见闻与感受。总体来说比较符合预期,且富有挑战与意义,以至于在文末为部门发招聘信息,诚邀新成员的加入。
多面魔方安全托管服务



01

北漂两年来的切身感悟

19年的秋天,开始北漂之旅,来到了奇安信网络安全部。见证了团队和职责的不断壮大,内部安全建设的快速发展。团队从最初的5-6人到现在的20+,部门规模从20+发展到60+,从全国三个办公点到现在的五个点…与此同时,除了常规工作外,也承担着越来越多艰巨的专项任务,HW公司级防护与检测、HW产品安全保障、冬奥网络安全保障、开源软件安全治理、公司级证书体系建设…总之任务是越来越重,挑战越来越大。


1.1 北漂

虽然时间已经过去两年有余,但当时做选择还记忆犹新。最开始应该是君哥在18年发微信:我还是挺希望你能加入我这边的团队,要不要谈谈,一起来做360的内部安全建设?--OK,等候聂总的号召!现在翻看微信聊天记录,还能感受到当时的喜悦之情。之后不断和君哥沟通想法,和hr聊offer直到2019-08才敲定,于此决定北上。中间要考虑的因素太多,比如对北京气候的适应、对这份工作及部门的未知、去北京的生活成本、远离周围的亲人和朋友…但最终没能经受住“在安全公司做安全工作”、“行业知名安全大佬带队”和“开发安全方向深耕”的诱惑,多番与家人商量后决定背井离乡。

1.2 生活得失

一个人从南方来到北方,除了天气的寒冷外,更是有内心的孤独。一个人上下班,在公司还好有同事,回到出租房就只有自己。好在没来之前就制定计划专注开发安全,全身心投入到工作中,基本每天都加班到很晚,回去之后就是洗漱睡觉,尽量不给自己留一点空闲来想念家人。随着工作上的接触,也结识了有相同爱好的同事,比如和爱吃的几个同事,在加班结束后一起去吨吨吨;有时候也去酒仙桥的健身房游泳。慢慢的,在北京稍微有了点生活的样子,但是不能时常看到千里之外的家人,仍旧是心里最大的苦。最开始双周末回家,庆幸周五19点过有一趟高铁可以在周六零点之前到达,由此过上了“南来北往“的生活。回家快速洗漱好基本上就是凌晨一点的样子,但是看到身边躺着的家人,心里暖洋洋、一点也不累。每一次回家,就是一次充电,电量差不多可以管两周。

1.3 复杂思绪

在一次和太太的畅谈中,她说:你最近情绪有点低落,是因为君哥的离开吗?我有点吃惊,经常给自己喝鸡汤来振奋与自驱,竟然有明显心情低落的时候,甚至带到了家里!我是真的没察觉到,也可能是“入戏太深”以致于搞忘了察觉自己的情绪。对,君哥伤心的离开,也把悲伤带给了我。很多人过来向我打探他离开的原因,我基本很少提及,即使在这里我也不会说,因为不是当事人不够清楚详情,所以不敢随意张口。在他的离开前后,部门中早有一些骨干提了离职去互联网大厂,他们都找到了自己想去的地方,然而我觉得这里还是想呆的地方,具体原因会在后面介绍。
曾一度,我甚至怀疑了自己,是不是部门出了什么大问题,以至于其他骨干的离开,只是我没能察觉?为了解开这个谜题,找了君哥和其他团队的leader聊过,大家的职业背景与规划不一样,跟着自己的感觉走,做自己想做的事情,那就对了。人云亦云,然后随大流并非好事。


02

在安全公司工作的体验

安全公司的岗位较多,有对外部客户服务,也有对内自己做建设的。对外方向,之前在Topsec做安服已经体验过,因为想把安全落地并看到给业务带来的价值,所以后来去了甲方;现在做乙方安全公司的内部网络安全建设工作,即常说的乙方中的甲方,其中滋味特别丰富多彩,接下来也想从个人视角分享一些体验与亮点。

2.1 公司平台

在国内的网络安全公司中,公司对外宣传的力度会比其他的大,所以在知名度方面这两年也比较响亮。员工工号排到两万五千多(离职的也不少),股票价值破过一百五十,产品线众多。就从目前离职的同事来看基本都去了互联网大厂,自身本身实力是一方面,公司平台也有不少影响,在公司高歌猛进的时候顺利实现价值变现。
每年公司都会组织多个网络安全相关会议,对外的比如BCS,对内的TSC,均有各部门员工进行专题分享。如果在公司内部将研究和实践有所沉淀,有很大概率会受到所在方向专家的分享邀请,公司市场部等也会挑选进行外部PR,对于提升个人知名度有很好的帮助。

2.2 安全氛围

回想从上一份工作离职的原因之一:缺少安全氛围。可想而知,在一般的甲方从事安全工作,周围谈的都是非安全业务话题,纵使有一个安全小团队,相对还是比较缺乏安全氛围。曾渴望能在一个安全氛围浓厚的环境中工作,来到这里之后真的就实现了。团队、部门都是做安全的,业务方(产品线)也都是做的安全产品,漏洞扫描、webshell检测、身份安全、密钥管理、JAVA反序列化…经常出自周围其他部门同事之口,各部门的公开wiki中大多也都是安全。记得刚来公司的时候,下楼吃饭拥挤在电梯里,不小心瞅到周围女生正在手机上看安全分析文章,当时挺震撼的。

2.3 同事资源

身在公司,心系行业。这是我一直相信,并推荐给其他的人一句话。在心系行业的时候,除了行业发展方向、动态、最佳实践,还应该关注行业大佬及他们的一些动态。然而突然和不同领域的行业大佬成了同事,通过内部IM能一下子就联系到,不失为一件特别棒的事儿。有人也会说,是同事又怎样,技能还是别人的,跪舔大佬会被遭鄙视。这其实就是资源使用、深度提问、谦虚求教的问题了。近在咫尺,比远在天边要好得多。

2.4 薪资待遇

资源再多,钱少谁会去呢?这是一句大实话,也是人的正常需求。当时选择加入公司,其实也是定位自己去学习、进修。关于薪资问题和hr谈了很久,最后也争取了下来,但除去房租、交通费,基本上就和以前持平甚至还不如。再加上回家路上时间消耗、家人分离、气候适应等一系列带来的消耗,实则是花费更多。但对于自己的定位与目标,这一切都是可以克服的。不过现在来看,一切都是值得的。
再回到薪资问题上,目前感觉公司的薪资会比其他传统安全公司高一截,比互联网公司差。对于优秀人才,能找人力申请对标互联网大厂的待遇。达到一定级别后,公司也在做股票增发(有不少人吐槽公司股票兑现机制,最主要可能是事先不清楚这种玩法,心里产生落差)。总体来说,这已经是一种突破了,我相信也会变得越来越好。


03

有关网络安全部的介绍

网络安全部属于二级部门,直接向公司总裁汇报工作。同时也属于安全管理委员会成员,部门员工的职位定级均是按照安全体系标准,同体系下的成员还包括A-Team、Z-Team、代码安全实验室、安全能力中心等技术超强的团队。

3.1 工作职责

作为安全公司,时刻面临着国内外APT组织的惦记,在防黑客攻击方面与其他公司并无区别。首先得保障公司整体网络环境的安全,但也有差异点,即:使用自己的网络安全产品进行安全建设。另外业务安全也是重要内容,即:安全产品的自身安全。总计一下可以归纳为三大要点,分别如下:
多面魔方安全托管服务
每一个要点可分为多个子项目,每个子项目又有很多坑点、亮点等体验,涉及到的内容非常多足以囊括写一本书。但是时间和篇幅有限,就不将其全盘罗列,以下也将选取部分稍加展开进行描述。(如有兴趣,可后台或加好友私聊)

  • 工作内容之1 -- 产品安全质量:从组织、流程、规范、工具和人员五个方面,建立产品安全质量防线,对内推行SDL将安全测试左移,对外运营SRC和产品安全众测收取产品漏洞,同时负责产品安全事件应急响应团队(PSIRT)的落地工作,实现产品漏洞从dev到客户侧端到端的闭环。
多面魔方安全托管服务

  • 工作内容之2 -- 安全产品实验局:根据内部网络环境和业务形态,使用公司自研安全产品在内部进行安全建设,通过实战不断打磨产品并输出产品实践案例和基于实战化场景检测能力的功能需求。
多面魔方安全托管服务

  • 工作内容之3 -- 安全管理:安全相关制度与规范的规划、跟进编写及发布;进行重要产品的等级保护;部门内部各个团队成员的技能成长;公司全员安全意识培训等工作。
多面魔方安全托管服务
  • 工作内容之4 – 数据安全:安全公司的数据分级分类与保护;日常数据安全体系建设和数据安全事件运营;公司内部重要信息系统及基础设施的数据安全改造。
多面魔方安全托管服务

  • 工作内容之5 – 安全运营:对日常信息安全事件进行检测与推动处理;复盘重要安全事件、发现潜在安全隐患;联动红队跟进最新攻击框架并输出安全检测规则,比如Windows规则有隐蔽执行、dll注入、持久化、提权和bypassUAC等,linux平台相关的有持久化后门、端口转发攻击场景等。
多面魔方安全托管服务

3.2 组织架构

部门人数不多,但甲方安全中常见方向均有设置且较为合理,共分为8个组别。等保合规和人才培养方面由安全管理组负责;网络防护有基础安全组和安全防护组负责;数据安全治理有独立的数据安全组;开发安全与产品安全质量由产品安全组负责;应急响应与安全检测等日常攻防运营等方面由运营组负责;内部实战渗透、追踪最新安全技术和事件并内化到部门由威胁狩猎组承担;所有团队的自动化需求及安全工作展示由安全平台组实现。部门人员组成及简要职责如下:
多面魔方安全托管服务

3.3 团队风格

关键词:务实、战斗力
部门整体偏年轻化,但也不乏四十多岁的资深工程师奋战在一线。经过两次内部红蓝演习、国家级HW,已经形成了即战力极强的团队。平时大家都比较务实,这也是部门的整体做事风格,花里胡哨、虚伪奉承的在这里吃不太开,领导也不喜欢这套作风。认真做实事,安全落地生效、有产出,是我们推崇的。

3.4 人员培养

人才方面,从以往的从业经验来看,这里是属于最重视的。针对不同人员设置了不同的课程:
  • 团队leader:组织了“未来俱乐部”,利用午休时间进行管理和业务方面的培训。包括推荐管理读物、写读书笔记、完成绩效管理作业等。参加了这个老板开的课程,但是由于只开了几次,所以收获不是很大。但推荐了一些管理书籍,已购买和在断断续续的学习提升中。
多面魔方安全托管服务

  • 团队新人:为快速适应岗位而设计,目标是刚入职有一定工作经验的新人。针对某一领域进行进阶的学习与培训,完成进阶课程及考试,输出学习成果参与绩效考评。以产品安全的学习引导计划为例:
多面魔方安全托管服务

  • 毕业新人:培养目标是打开应届毕业生的安全视野和基础技能。由每个组的leader规划培训大纲,将平时工作融入其中,并输出课件和参与下线培训。每周两次培训,每两周一次考试,按照分数进行月度排名,课程结束后会对前三进行奖励。总体来说,难度还是比较大。因为涉及的知识面广,有很多的基础知识,不认真的话分数会比较难看。
多面魔方安全托管服务

3.5 技术分享

雷打不动的周二部门技术分享,从我入职一直到现在,仅扳手指就能数过来的中断次数。将部门各团队融合在一起,个人感觉技术氛围比较好,很喜欢这样的氛围。另外各个组还会有“加餐”,也会要求周会上做一些分享,比如产品安全组每周四就会坚持分享。
多面魔方安全托管服务


04

为部门寻觅优质的人才

4.1 通用要求




热爱网络安全,无论哪一细分方向,愿意为之投入大量时间和精力;擅长某一领域,即使现在不是安全专家,也一定要有成为专家的欲望和行动;工作认真务实,内部建设关注的是安全落地实践,真正起到的安全作用。

4.2 在招岗位

多面魔方安全托管服务

4.3 工作地点



全国五个地点均可,包括:北京、深圳、成都、长沙、武汉若是能力突出且能带(来)团队,也会考虑其他城市设置点

4.4 联系方式


可扫描下方二维码加好友详谈,或直接投递简历至src@qianxin.com




长按识别二维码,和我交流

多面魔方安全托管服务


More...

技术原理浅析

安全漏洞治理

SDL最初实践

基础安全建设

企业安全建设


安全漏洞赏析


渗透测试技巧


一起玩蛇系列


个人成长体会



微信公众号

新浪微博

电话咨询
解决方案
购买与服务
QQ客服