Kate Li (Taiwan)的部落格

首頁

安全招聘之安全從業人員必備貭素

作者 zindani 時間 2020-03-13

基礎能力(自我驅動+自主學習)+專業能力(滲透攻防+軟體發展)

基礎貭素

攻防滲透和軟體發展

首先要明確一個概念,術業有專攻在安全行業不是常態。安全本身就是一個覆蓋了用戶端、前端、網絡、後端、服務器等涉及JavaScript、Python、PHP、Java等各語言的工作,如果非要講究術業有專攻就沒法做了,當你可以有擅長的方向,但前提是你都懂,這個懂不應該停留在瞭解的層面,如果你是安全開發工程師除了研發技能外還必須知道常見漏洞的形成原因、利用管道和修復方案,如果你是滲透工程師除了理解各種漏洞的攻擊細節外,還必須有基本的開發能力。

同時擁有攻防滲透和軟體發展的人,在後面做事的方方面面會體現出極大的優勢。

我們有過很資深研發工程師,但安全產品不同於用戶產品,往往是都沒有經驗也沒有參照物的,摸黑前行最好的情况是你曾住過這個房子,所以往往需要有很强的安全背景/不斷的試錯調整才能開發最好的產品。甚至在很多時候,溝通交流/思維上都需要進行轉變才能更好的合作,减少代溝和溝通成本。這個要求並不是非要精通各種。

現狀是安全行業更多的人是偏向於攻防滲透,而如果同時擁有很强的開發技能,優勢將非常明顯。在安全產品開發/漏洞挖掘/程式碼稽核上。

不同崗位間的互補顯得非常重要,做漏洞掃描器的如果在SRC挖過漏洞、做程式碼稽核如果會軟體發展、做合規稽核的如果有CISP證書就會得心應手。

自我驅動(興趣/金錢/上進心/不服輸)

像安全產品開發一樣,滲透測試也需要不斷的試錯,不斷的將各種可能存在漏洞的地方一一測試,往往測試數百個請求才有所收穫,這需要很好的堅持,但堅持這種品質無法立刻學會,但往往有很多東西能促使我們堅持,比如興趣、金錢、上進心、不服輸精神等。我對於安全的堅持就是興趣所驅動的,我會遇到一個線索從早上折騰到淩晨,會因為一個突破點從晚上摸索到下午。我見過太多優秀的白帽子都是因為熱愛,他們能跨行業的熱愛。

僅僅能驅動自己不斷前行遠遠不夠,前行對路太長了你對驅動能量是有枯竭的一天,學會自我激勵是一項必備貭素,在關鍵時刻為自己加油。

自主學習

軟體工程師是三年換一輪新技術,而安全工程師則是每年都有新的方向。每天都會有新的漏洞/新的攻擊方式/新的語言漏洞,每年也會有新的安全技術、安全防禦手段、安全方向,而應對別無他法唯學習,良好的自驅自學能力是一切的基礎。

進階貭素

智商和情商

聰明除了指IQ之外還有EQ,傾聽、開放,你跟別人聊天能快速接收資訊,能跟上別人的頻道,快速理解別人意圖,能和各個團隊合作方打好交道。

敢於面對困難,樂觀對待一切

聰明有才華,但如果遇到問題就抱怨也難成事。前行的路上如果一直一帆風順的話,當遇到一個大浪可能再也起不來了。我們前行的路上會遇到各種坎坷,也許能繞過並忽略這些坎坷,但你也同時丟了這些鏟平坎坷的經驗。不為任何理由找藉口,有條件上,沒有條件創造條件上。

吾日三省吾身

又聰明又樂觀但是油鹽不進,看不到自己的問題,也不能妄自菲薄,吸納各方面的資訊讓自己的認知更完整。