一篇求职者立场的安全硬核招聘试验 – 作者:何艺

前段时间在个人公众号发起了一次《硬核安全招聘》的活动,想的是传统招聘大家已经见的比较多了,但很多是从用人单位角度去告诉候选人,我需要什么人,但很少站在候选人角度去说明,来我们这里可以得到什么,是否适合你。

基于这个想法,有了下面这个文章,试图换一种视角来发起安全招聘,不知道大家怎么看?

另外虽然公众号但转发活动已经结束了,但推荐送最新顶配iPhone pro、mate pro活动持续有效,欢迎推荐、自荐!


一、安全部门的自我定位

一个公司对安全部门的定位应该是多方位的,不同视角对安全的期望和定位会有很大差异,会直接导致安全工作的开展,例如:

  • 公司对安全的定位:不出事,少花钱应该是多数公司的定位,甚至是“不出事要你何用,出了事情要你何用”的尴尬定位;
  • 业务对安全的定位:别搞我,少烦我,同样是多数业务部门的心声,轻者勉励配合,重则见安全如见瘟神。

这个时候安全对自我的定位就很重要了,上面都是客观存在的事实,但不代表正确,因为行业不一样,对安全的理解是不一样的,而安全负责人应该是清楚的,这时自我的定位往往决定了未来的发展,如果定位是救火队,最后可能会成为杰出的救火英雄,而我们的定位是:

  • 自我定位:服务业务、集中资源,统筹规划,即业务优先,不能为了安全而让业务死掉这个是安全的红线(是的,我们不是安全第一),而集中资源,统筹规划是因为安全的成本并不低,集中资源和统筹才可以用尽量少的资源来获得较大的成效,安全也应该有成本意识在里面。

从结果上来看,按这个定位,一步步走下来是可以获得公司和业务的理解与支持,目前我们负责了全集团安全,通过集中化的平台以较低的成本输出各种安全服务来支撑业务,并不断的提高安全效率来让业务感受到安全是和业务一个方向,获得业务的理解和支持。

二、安全部门组织架构

我理解的安全组织架构并没有好坏、标准之分,只有适合不适合,我们的安全组织架构经历过几个阶段,如下:

(1)扁平化架构

其实就是穷,几个人的安全部还要什么架构。这个阶段的特点是每个人都身兼数职,安全运维、渗透、开发混在一起,大家工作起来也不分你我,效率其实很高,但缺点是能救火,但长远规划很难落地和做精,过了救火阶段后就不适合后面的阵地战了。

(2)攻、防、开发为模型架构

C03FDA65-74E1-4CD1-816B-DF614F9125D5.png

这个阶段特点因为资源相对充足点了,可以专人专事,而自己的精力也不足以支撑超过10人以上的同学了,因此这个阶段将部门以攻击、防御为视角进行拆分,有几个目的:

  • 1. 明确职能,专人专事来保障结果与质量;
  • 2. 通过攻击团队来发现问题,促进防护体系进步;
  • 3. 通过防守团队进行安全建设,构建防护体系,检验攻击效果;
  • 4. 通过开发团队来输出系统、平台,提供火力支援。

这个模式我们进行了很长一段时间,但后续问题开始越来越明显,即监控或是说评价体系难以落地,因为安全监控、响应分散在攻击和防守团队中,自己评估自己是没有意义的。

(3)攻、防、检测、双开发模型

4BC906DF-3E91-475B-8E5C-1253D0DB778F.png

这个阶段将团队进行了进一步的拆分,将安全检测独立出来,负责安全分析、规则维护、事件调查与响应,以及将开发团队也拆分为两个小组,目的如下:

  • 1. 形成,攻击、防护、检测的三角模型,三个部门可以互相检验和促进结果;
  • 2. 开发分为两个小组,分别为:
    • a)防护体系开发,即我们的零信任架构体系开发,支持防护体系的建设和提升;
    • b)检测体系开发,即我们的SOC、SADB、可视化分析等系统开发,支援安全分析能力的提升;

三、招聘人员定位分析(北京地区)

在这里详细阐述下我们对招的同学定位与工作规划,欢迎实际加入我们来体验。

(1)高级开发工程师

负责零信任体系中很非常重要的Linux agent、server端开发,我们的零信任定位是统一架构全端覆盖,包括服务器的覆盖。这个岗位会负责Linux端agent、server端的功能迭代,游戏行业会遇到真实的APT攻击,包括会遇到很专业的rootkit、入侵手法,因此这个岗位在入侵检测对抗上会有很真实的挑战,以及会从攻,防,检测团队中获取一手需求。

(2)业务安全工程师

游戏是完美世界核心业务之一,除此外我们还有很多互联网业务,因此在业务安全上,账号安全、薅羊毛、漏洞刷分等场景都会遇到。这个岗位会借助分析平台的能力,协同业务,识别业务风险,建立风控模型,推动开发部门进一步完善平台能力。这部分的挑战在于,业务类型多变,如何找寻规则形成较为通用的方法。

(3)风控算法工程师

这个岗位是和业务安全工程师合作的岗位,即负责相关系统的开发。现有的SOC我们已实现了实时、离线、机器学习、SOAR安全流程编排等能力,但在风控上还很薄弱,需要进一步丰富和完善风控模块和能力,给业务提供支撑。因为零信任体系的落地,安全分析数据质量不高的一大痛点已经解决,而完整的数据链需要强大的分析平台来支持。

(4)渗透工程师

负责内网渗透、线上业务安全测试,通过内部红蓝对抗方式,推动安全运营能力的提升,用攻击来检验安全防守、分析团队的能力。同时渗透工程师可以借助部门内的主、被动式扫描器,安全资产系统来提高攻击效率,同时可以推动将重复性工作转为自动化的方式,让攻击测试也能效率化。

(5)安全运维工程师

负责零信任架构体系的实施、管理,运营。安全运维不是一个轻松的活,事实上充满了挑战,因为攻击团队只需要利用一个点就可以进行突破,而安全防守团队需要面对全集团数万设备,数百个业务系统的安全加固、权限管理、漏洞修复等工作。

安全运维工程师一大目标是将繁琐重复性的工作转为自助和自动化,进而演变为以安全角度对业务整体进行评估,发现薄弱点并设计解决方案。没有人比安全运维工程师更懂业务。

(6)安全合规工程师

一直以来在合规上我们有着自己的想法,不请外部咨询顾问,所有的合规流程都自己走,这是因为合规本应该是安全最基本的要求。这里的挑战是如何找到业务和合规的平衡,保证合规的同时不要影响到业务的发展,将合规的需求融入到了安全体系、平台中,用系统来支撑合规。

这个阶段中我们希望把合规引导到数据安全方向,对合规的定位是对外、也对内,更要对自己,以合规推动标准化、数据安全系统化工程落地。

四、入职完美优劣势

任何一个选择都是有正有负,找到适合自己的是最重要的,因此我会从自己的视角尽量客观的分析入职完美安全的优劣势,希望对你的选择有所帮助:

(一)劣势

  • 超大规模的场景:没有如同春晚数亿人刷刷的场景,但有还算丰富的场景类型,安全各个领域都会涉及;(基础安全、渗透、移动安全、应急响应、业务安全、黑产等)
  • 不成熟:无论是我自己还是系统、架构,我想是不如超一线大厂的,事实上我们一直在不断试错,不断改进的路上;

(二)优势

  • 1. 讲人文关怀的公司氛围:应该是少有让你每周都放下工作,强制你去学习的公司了,董事长对员工的成长关怀甚于你自己,鼓励大家去尝试,去试错;
  • 2. 有理想的安全部门:我们追求卓越,希望真正解决公司安全问题的同时,可以提升自我,这也是为什么零信任架构、安全自动编排、等新技术,我们都乐于探索,并且有能力落地执行;
  • 3. 平等的工作氛围:没有森严的等级,勾心斗角的人际关系,有话直说既是完美的文化,也是部门的文化;
  • 4. 工作与生活的平衡:没有996、没有强制加班,只要结果棒,不加班年底绩效一样可以是S级;
  • 5. 友善的业务环境:没有传说中的山头、站队一说,业务普遍给予安全很大的支持与包容。

五、福利环节

(1)推荐有奖(招满为止)

  • 1. 急招岗位:高级开发、业务安全、风控算法工程师,推荐入职后赠送 iPhone11 pro顶配
  • 2. 普招岗位:渗透、安全运维、合规工程师,推荐入职后赠送华为meta30 pro顶配

欢迎推荐,邮箱:[email protected]

个人微信:关注公众号寻找

d18e82a19462b711d8f24666cf9ffe36.jpg

相关链接:

(1)招聘JD详细介绍

来源:freebuf.com 2020-03-23 16:57:48 by: 何艺

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论