作为一名安全工程师是怎样的体验

时间:2020-11-07 14:03:06 安全工程师 我要投稿

作为一名安全工程师是怎样的体验

  在某世界前三云计算公司做安全攻城狮,在中国也有业务但是和世界其他地方是分开的,我不负责中国区。

  主要有几大团队

  安全运营团队,分布在全世界几大地区,轮流oncall,主要负责应急响应,和内部业务团队沟通处理安全事件等等

  安全整合团队,负责将安全作为主要功能结合在产品里

  应用安全团队,red team这种,对内渗透测试和代码安全审计。

  安全平台团队,写各种安全相关的工具和管理平台。

  威胁情报团队,精英都在里面,人数很少技术很牛逼,主要研究botnet和malware。

  更神秘的研究团队,挖0day,主要是hypervisor和内核级的。

  很多大产品团队本身也有自己的安全团队,我们主要就是有事和他们沟通了。

  忙不忙看人品,有时候oncall一大早十来个page,有时候两三天也没一个。

  具体负责什么主要看你在哪个团队了。

  进入大公司安全部门最大的挑战就是熟悉业务,熟悉业务,熟悉业务,重要的事情说三遍。比如,有人给你们报了某产品有漏洞,你要知道去找哪个团队,由谁负责,又比如你们的扫描器发现某主机存在漏洞,你要知道这个主机是谁负责,上面有什么业务,存了什么数据等等。

  另外就是要会写小工具,有时候一下通知几百上千个团队更新软件包是件很痛苦的事情。

  主要分为哪几种类型的工作?

  主要分类:安全运维,安全审计。按照CISSP,安全要细分十个领域,不过真正在甲方工作的话,职位就这两个差不多了。(不知道保安算在哪一种?)

  有些公司是直接分到IT/技术部门;有些公司有安全部门,部分公司会有很多安全小团体,共同向安全总监汇报。第三种比较常见。

  一般情况下一天的工作时间安排会是什么样子?

  不管具体是负责安全哪一块的,都差不多是这样工作的:

  开会,总结安全的问题(被黑了,信息泄露了,公司发现了哪些安全脆弱了)

  做产品(包括开发安全产品,各种需要的产品,包括写文档之类的,文档很重要,可以把安全信息可视化,主要看公司的需求)

  协助其他部门买产品或做顾问(买安全设备,检查别的部门买的设备是否有明显的安全漏洞,检查别的部门的工作会不会影响公司的安全。不仅仅是指参与IT部门的安全啊,甚至包括财务人事等,各个部门,当然会有分工的,不是一个人查全部。)

  安全检查(全方位,因为大公司要过安全审计的。这点很琐碎,无所不及,而且还不能影响其他部门正常工作,所以基本是中午啊,半夜啊,虽然会有自动化工具什么的,但是依然心里惦记着,晚上手机震动就会醒了,以为有报警。)

  会遇到什么在其他公司难以遇到的挑战?

  这里是重点:

  1、团队人少是肯定的,安全部门不会很庞大,有经验的就更少了,几乎只有经理级别的有经验。大多数队员们都是来自各行各业(开发啊,运维啊,测试啊)就算是安全公司跳过来的,技能也比较局限,比如人家只会挖web漏洞,给他个二进制的他也不行,给他系统级的安全问题,他也 不擅长,没办法,安全是需要积累的,但是坚持下来的人很少。事多钱少背黑锅。

  2、事情杂多杂多的,全部要自己来。一般其他部门的开发就开发,运维就运维,安全部门基本上是自己做的。绝对不可能让开发公司app的或web的团队帮你做安全产品。原因很简单,他们是为公司赚钱的,安全表面上看不出赚钱。所以基本上开发测试上线运维都自己来,虽说自己来是指安全部门或团队自己来,但是由于安全团队不可能跟开发团队人数比,所以实际工作中还是相当于一个人能做的.越多越好。之前说了,安全还要参与别的部门的事情,所以知识面必须很广。比如销售们出台了一个活动,你要放下手里的代码,去看看他们这么玩行不行,会不会有安全隐患。根据经验,人事部门,销售部门经常出问题。IT部门中的开发测试也问题多多,运维也不省心,产品选型必须参与。有时心态也会调整不好,我那边正忙着补一个漏洞呢,你们这种过家家的事还要浪费我时间,但是不去不行啊,你这边好不容易防护过滤通通上了,人家一做活动,大字报一贴,什么奇奇怪怪的信息都能轻易的泄露出去。

  3、安全部门地位尴尬。事情要做,但是没人理你。举个例子,要开发安全产品,没有人给你资源,因为开发部门都不够用呢。你要买安全产品,人家不批准,因为安全产品比较贵。你部署的要求,没人理你,什么?你要加一个设备在我的网络里?你要干嘛啊,我们网络组好不容易把网维护的棒棒哒,你别多事。因为安全很难引起管理层的重视。哪怕出了事故了也很难引起足够的重视。

  4、永远招人恨。业务部门想出来绝妙的点子。安全部门冲上去说不行!!! 开发部门来不及上新版本了,安全部门冲上去说慢着!!!人事部门只是发邮件收集一下信息,安全部门说等下!!!大家会觉得安全部门太TM烦了。安全部门的要求很难被理解。还会打扰人家。比如人家DBA玩的挺hi的你过去说:季度审计一下,不好意思配合做个。。。沟通永远是个麻烦的问题,更恶心的是安全没有大家想象的那么闲的蛋疼,相反是很忙很忙。已经尽可能避开业务高峰了。

  5、专业背黑锅。从CSO开始到工程师都背的。信息安全是全公司的事,并不是安全部门的事。但是大家不会理你的。每次沟通,说的再清楚也没用。因为安全一定会与便利性冲突,没办法CIA原则平衡起来确实困难。漏洞百出安全部门只能看在眼里也没办法。举个例子:安全扫描(这个无论大小公司比做吧,而且一般是半夜做哦)发现一台数据库服务器有系统漏洞。然后跑去跟系统部门说吧,他们不理你,说这是DBA的事情啊。DBA会说:什么漏洞?我们的数据库很安全的,绝对注入不了,安全部门要从何科普起好呢?这还是技术部门内部。其他部门就更坑爹了,业务部门根本无法理解安全部门担心的问题。觉得是想多了,也不好解释这是风险控制吧,不好直接给她们看那个定性的量表图吧?然后出事了,就是安全部门背黑锅,虽然在具体追责的时候会追个人的责任,但是大家对安全部门印象好不起来。”我们的安全部门不行“。经验得,出事情最多的:行政部(社会工程防不胜防)>测试部>运维部>其他部门。

  应届生来大公司(如阿里巴巴、腾讯、百度),可能会遇到的最大的挑战与困难是什么?

  同上所诉,就是因为回答这个小问题,才决定匿的。个人觉得三家的安全部门百度管理的好一些。但也是50步笑百步,都比较散乱。最乱的是阿里个人感受。要补充说明一下,安全是非常隐蔽的,非专业人士难以评价的,这三家还有一些大公司在安全上都是付出了努力的,但是由于一些非常致命的原因,他们的安全还是会出问题,以及他们自己对安全不到位可能产生的后果的承担能力不同,所以给人感受不同(简单说就是,有企业明确安全目标是:老子不怕你来黑我,这样的指导思想会直接影响安全结果,与企业的一个安全工程师是否优秀无关,安全是打全局战的)

  三家都有一个优势,就是他们的安全部门都已经不仅仅是support部门了,都受到公司的重视了,可以有明确的目标,有东西学。比如 阿里的云安全,其实是可以算作“盈利”的存在了。因为保护的用户不是散户而是企业级的用户。

  另外,应届生的话,其实就是没有经验的学生,很遗憾的是,学生不等于没有经验,牛的学生足够多,但是!做安全太依赖经验了,所以安全行业的学生等于没有经验。所以,没经验的话我刚刚说的那么些(那些只是一部分工作内容,还不是全部)基本不会给你接触的,所以,学生其实只是做最落到实处的部分,比如:开发。区别就是人家开发app,你开发安全应用咯。一定要说有什么工作上的区别,对学生来说可能就是你要学的东西太多了吧,具体上手不会有太多的区别的。人家开发你也是,人家写文档你也是。所以,学生做安全的一天基本上是这样的:

  开发

  领导开会回来了,告诉你要继续开发

  开发

  领导去参与其他部门的安全问题了,告诉你继续开发

  开发

  验收开发的阶段性成果

  下班,下班前做一下安全审计的工作,很简单很耗时

  下班回家,担心着自动化的审计工具有没有问题啊?

  第二天上班,先查看一下昨天的审计是否顺利,顺利则上交审计数据,不顺利?则今晚重来一遍。

  开发。。。

  当然,这也只是一种,也有其他的,比如把开发改成运维,审计改成分析log等等,大致就是这个节奏了。

  安全工程师工作适合什么样子性格和能力的人,怎么样就算做得“优秀”?

  适合打人生下半场的人做。仔细回忆一下,身边做安全的,好像没什么人能坚持下来从事这一行的。因为钱少事多背黑锅。所以尝试转行的基本上都转回去了。学生来做的,纷纷转行的也不少。

  真正坐下来的,我认识的从事这行也有5年以上,到十几年的都有。他们已经有很大的不可替代性了,已经是manager级别的了。所以坚持很重要。

  回答最后一个问题,网上总会有各种人才,脚本小子也好,漏洞达人也好。我想说一下,那不是安全从业者追求的状态。原因是这样的,安全是正当职业。虽然黑客也可以赚钱,而且暴利。但是很难洗白。真正的需要安全人才的公司不要流氓的。另外一个原因,安全很大的只是宽度,而不是深度。当然,深度也需要,只是没宽度重要。现在可以做黑客,找漏洞。那么10年之后呢?还继续找漏洞?10年后公司不是需要一个找漏洞的人,而是可以保护企业安全的人,那时候你要可以全面评估企业资产安全,制定计划,出台安全政策。说了安全有10个领域,局限于一个是不行的。

  最后说一下:安全不会比开发这种工作工资高的哦。都说了不受重视了。所以很有可能题主找工作的时候直接奔着钱就去做开发了,还懂些安全很受欢迎了。或者觉得开发简单一心做开发就好了,安全学那么多学都学不完。我技术不差为什么要受人指点,转行吧。这两个诱惑可以过,基本就适合做安全。

  利益相关:CISSP,工作经历:大公司安全工作人员(SIEM),曾在乙方主要做加密,DLP等方向。

【作为一名安全工程师是怎样的体验】相关文章:

1.英语好是一种怎样的体验

2.怎样做一名合格的监理工程师

3.盲人当速录员是一种怎样的体验

4.造价工程师的职业素养是怎样的

5.怎样成为一名优秀监理工程师

6.怎样做好一名文秘

7.作为一名管理怎么和上下级沟通

8.作为一个秘书应该拥有怎样的口才