前言
本人情況:三非(非985、211非信安專業),拿過一些國家級獎項,參加過小hvv。暑期找實習的時候,從甲乙方offer中,選擇了甲方安全。就着這三個月的甲方工作,對應屆生和準應屆生的offer該如何選擇做一個分析,幫助一下還在找工作的同學。
甲方,乙方
甲方一般是指提出目標的一方,在合同擬訂過程中主要是提出要實現什麼目標。
乙方一般是指完成目標,在合同中主要是提出如何保證實現,並根據完成情況獲取收益的一方。
在合同過程中,甲方主要是監督乙方是否完全按照要求提供自身需求的滿足。 在合同執行結束後,甲方一般需要付出資金或者其他,以獲得自身需求所需要的東西。通俗點說,甲方就是出錢的,乙方就是出力的。安全中的甲方,大多是監管方(如政府機關中的信安部門)以及互聯網公司,乙方自然就是qax、某恆,某信服這些。
差異性
1.薪資。下面的第一張圖是北京某互聯網公司的薪資,第二張圖是國內某一線安全廠商安全實驗室薪資,誰高誰低一目瞭然。尤其在北京這樣寸土寸金的地方,多六千塊錢的生活質量還是差別挺大的。
2.工作性質。互聯網公司的安全工程師,主要是負責公司內部的安全建設,包括對自家開發的各類產品進行滲透測試,一般產品都會在滲透測試通過後方可上線(滲透);自研防火牆、掃描器、蜜罐等安全產品(安全開發);把監管部門的合規要求轉換成公司的安全項目來推進,避免上線產品因各種原因導致公司財產遭到損失(安全合規);對公司內安全建設進行推進(安全運營)等等
而乙方的安全崗位主要是有三種,安全駐場,主要負責對部署在甲方上的服務(如WAF、IDS、IPS等設備)進行維護和查看,對甲方的應用進行安全掃描,一般都是使用某ray,某by之類的軟件一頓掃即可;滲透測試工程師,給你幾個站讓你去測試,然後生成一個測試報告,這會比較考驗你的基本功是否紮實,因爲會涉及到各種的繞過;安全研究工程師,算得上是乙方中站在頂端的崗位,需要你有一個紮實的基礎,因爲你的kpi可能是某軟,某果或者其他大型IT公司的致謝、也可能是挖到了某款CMS的RCE漏洞、亦或是在某hvv項目中嶄露頭角等等高逼格的成績
3.個人提升。在筆者角度上看,甲方大部分崗位和安全研究的天花板是很高的。在甲方安全的三個月裏,跟不少同事都有接觸,告訴我的是,甲方安全更重要的是要把控整個公司的安全視角,將安全問題從發現到治理形成一個完整的閉環,所以不僅需要有一個紮實的基礎,還需要有一定的溝通(和業務撕*)能力,以及一顆大心臟,畢竟互聯網公司995不是誰都受得了的。再說到安全研究崗,上班的很多時間都是在學習新的東西,比如近幾年比較火的ATT&CK框架,研究如何繞過市面上的WAF,復現網上最新的漏洞、編寫POC等等。
offer難度
拋開獨角獸公司(byte、ali、tx)不說,難度劃分:互聯網公司安全實驗室>一線安全廠商安全實驗室研究崗>=甲方互聯網公司崗位>滲透測試崗位>駐場。
選擇
當然,如果能拿下BAT的offer自然是去BAT了,畢竟沒人跟錢過不去。筆者覺得,剛進入安全行業的萌新其實並沒有過深的安全知識,如果能到安全實驗室的研究崗位去學習深造一年,再去衝擊互聯網公司,對職業發展來說會大有裨益(安全大佬們請直接衝ali or tx的實驗室)。
一些tips
1.因爲筆者的三非經歷,校內少有安全相關課程,很幸運的加入學校的安全社團,有學長和老師的支持下對安全有了一定的理解,這時候配合合天的靶場就事半功倍了。
2.安全目前來說還不是很卷,總結一下就是目前開設信安的高校不多,從事安全的同學基本都是自學爲主。所以很多身邊同事並非科班出身包括自己,大專學歷也並非沒有,所以感興趣的同學可以儘早入行上車~
3.學習安全一定得有明確的學習路線,比如說滲透和安全開發,兩者的學習路線就有明顯的差異,找到自己的興趣點,堅持學下去會有收穫的。
以上是筆者在實習三個月的感受,歡迎行業內的大佬們進行批評指正~
學網安就來合天網安實驗室