在某世界前三雲端計算公司做安全攻城獅,在中國也有業務但是和世界其他地方是分開的,我不負責中國區。
主要有幾大團隊
安全運營團隊,分佈在全世界幾大地區,輪流oncall,主要負責應急響應,和內部業務團隊溝通處理安全事件等等
安全整合團隊,負責將安全作為主要功能結合在產品裡
應用安全團隊,red team這種,對內滲透測試和程式碼安全審計。
安全平臺團隊,寫各種安全相關的工具和管理平臺。
威脅情報團隊,精英都在裡面,人數很少技術很牛逼,主要研究botnet和malware。
更神祕的研究團隊,挖0day,主要是hypervisor和核心級的。
很多大產品團隊本身也有自己的安全團隊,我們主要就是有事和他們溝通了。
忙不忙看人品,有時候oncall一大早十來個page,有時候兩三天也沒一個。
具體負責什麼主要看你在哪個團隊了。
進入大公司安全部門最大的挑戰就是熟悉業務,熟悉業務,熟悉業務,重要的事情說三遍。比如,有人給你們報了某產品有漏洞,你要知道去找哪個團隊,由誰負責,又比如你們的掃描器發現某主機存在漏洞,你要知道這個主機是誰負責,上面有什麼業務,存了什麼資料等等。
另外就是要會寫小工具,有時候一下通知幾百上千個團隊更新軟體包是件很痛苦的事情。
主要分為哪幾種類型的工作?
主要分類:安全運維,安全審計。按照CISSP,安全要細分十個領域,不過真正在甲方工作的話,職位就這兩個差不多了。(不知道保安算在哪一種?)
有些公司是直接分到IT/技術部門;有些公司有安全部門,部分公司會有很多安全小團體,共同向安全總監彙報。第三種比較常見。
一般情況下一天的工作時間安排會是什麼樣子?
不管具體是負責安全哪一塊的,都差不多是這樣工作的:
開會,總結安全的問題(被黑了,資訊洩露了,公司發現了哪些安全脆弱了)
做產品(包括開發安全產品,各種需要的產品,包括寫文件之類的,文件很重要,可以把安全資訊視覺化,主要看公司的需求)
協助其他部門買產品或做顧問(買安全裝置,檢查別的部門買的裝置是否有明顯的安全漏洞,檢查別的部門的工作會不會影響公司的安全。不僅僅是指參與IT部門的安全啊,甚至包括財務人事等,各個部門,當然會有分工的,不是一個人查全部。)
安全檢查(全方位,因為大公司要過安全審計的。這點很瑣碎,無所不及,而且還不能影響其他部門正常工作,所以基本是中午啊,半夜啊,雖然會有自動化工具什麼的,但是依然心裡惦記著,晚上手機震動就會醒了,以為有報警。)
會遇到什麼在其他公司難以遇到的挑戰?
這裡是重點:
1、團隊人少是肯定的,安全部門不會很龐大,有經驗的就更少了,幾乎只有經理級別的有經驗。大多數隊員們都是來自各行各業(開發啊,運維啊,測試啊)就算是安全公司跳過來的,技能也比較侷限,比如人家只會挖web漏洞,給他個二進位制的他也不行,給他系統級的安全問題,他也 不擅長,沒辦法,安全是需要積累的,但是堅持下來的人很少。事多錢少背黑鍋。
2、事情雜多雜多的,全部要自己來。一般其他部門的開發就開發,運維就運維,安全部門基本上是自己做的。絕對不可能讓開發公司app的或web的團隊幫你做安全產品。原因很簡單,他們是為公司賺錢的,安全表面上看不出賺錢。所以基本上開發測試上線運維都自己來,雖說自己來是指安全部門或團隊自己來,但是由於安全團隊不可能跟開發團隊人數比,所以實際工作中還是相當於一個人能做的.越多越好。之前說了,安全還要參與別的部門的事情,所以知識面必須很廣。比如銷售們出臺了一個活動,你要放下手裡的程式碼,去看看他們這麼玩行不行,會不會有安全隱患。根據經驗,人事部門,銷售部門經常出問題。IT部門中的開發測試也問題多多,運維也不省心,產品選型必須參與。有時心態也會調整不好,我那邊正忙著補一個漏洞呢,你們這種過家家的事還要浪費我時間,但是不去不行啊,你這邊好不容易防護過濾通通上了,人家一做活動,大字報一貼,什麼奇奇怪怪的資訊都能輕易的洩露出去。
3、安全部門地位尷尬。事情要做,但是沒人理你。舉個例子,要開發安全產品,沒有人給你資源,因為開發部門都不夠用呢。你要買安全產品,人家不批准,因為安全產品比較貴。你部署的要求,沒人理你,什麼?你要加一個裝置在我的網路裡?你要幹嘛啊,我們網路組好不容易把網維護的棒棒噠,你別多事。因為安全很難引起管理層的重視。哪怕出了事故了也很難引起足夠的重視。
4、永遠招人恨。業務部門想出來絕妙的點子。安全部門衝上去說不行!!! 開發部門來不及上新版本了,安全部門衝上去說慢著!!!人事部門只是發郵件收集一下資訊,安全部門說等下!!!大家會覺得安全部門太TM煩了。安全部門的要求很難被理解。還會打擾人家。比如人家DBA玩的挺hi的你過去說:季度審計一下,不好意思配合做個。。。溝通永遠是個麻煩的問題,更噁心的是安全沒有大家想象的那麼閒的蛋疼,相反是很忙很忙。已經儘可能避開業務高峰了。
5、專業背黑鍋。從CSO開始到工程師都背的。資訊保安是全公司的事,並不是安全部門的事。但是大家不會理你的。每次溝通,說的再清楚也沒用。因為安全一定會與便利性衝突,沒辦法CIA原則平衡起來確實困難。漏洞百出安全部門只能看在眼裡也沒辦法。舉個例子:安全掃描(這個無論大小公司比做吧,而且一般是半夜做哦)發現一臺資料庫伺服器有系統漏洞。然後跑去跟系統部門說吧,他們不理你,說這是DBA的事情啊。DBA會說:什麼漏洞?我們的資料庫很安全的,絕對注入不了,安全部門要從何科普起好呢?這還是技術部門內部。其他部門就更坑爹了,業務部門根本無法理解安全部門擔心的問題。覺得是想多了,也不好解釋這是風險控制吧,不好直接給她們看那個定性的量表圖吧?然後出事了,就是安全部門背黑鍋,雖然在具體追責的時候會追個人的責任,但是大家對安全部門印象好不起來。”我們的安全部門不行“。經驗得,出事情最多的:行政部(社會工程防不勝防)>測試部>運維部>其他部門。
應屆生來大公司(如阿里巴巴、騰訊、百度),可能會遇到的最大的挑戰與困難是什麼?
同上所訴,就是因為回答這個小問題,才決定匿的。個人覺得三家的安全部門百度管理的好一些。但也是50步笑百步,都比較散亂。最亂的是阿里個人感受。要補充說明一下,安全是非常隱蔽的,非專業人士難以評價的,這三家還有一些大公司在安全上都是付出了努力的,但是由於一些非常致命的原因,他們的安全還是會出問題,以及他們自己對安全不到位可能產生的後果的承擔能力不同,所以給人感受不同(簡單說就是,有企業明確安全目標是:老子不怕你來黑我,這樣的指導思想會直接影響安全結果,與企業的一個安全工程師是否優秀無關,安全是打全域性戰的)
三家都有一個優勢,就是他們的安全部門都已經不僅僅是support部門了,都受到公司的重視了,可以有明確的目標,有東西學。比如 阿里的雲安全,其實是可以算作“盈利”的存在了。因為保護的使用者不是散戶而是企業級的使用者。
另外,應屆生的話,其實就是沒有經驗的學生,很遺憾的是,學生不等於沒有經驗,牛的學生足夠多,但是!做安全太依賴經驗了,所以安全行業的學生等於沒有經驗。所以,沒經驗的話我剛剛說的那麼些(那些只是一部分工作內容,還不是全部)基本不會給你接觸的,所以,學生其實只是做最落到實處的部分,比如:開發。區別就是人家開發app,你開發安全應用咯。一定要說有什麼工作上的區別,對學生來說可能就是你要學的東西太多了吧,具體上手不會有太多的區別的。人家開發你也是,人家寫文件你也是。所以,學生做安全的一天基本上是這樣的:
開發
領導開會回來了,告訴你要繼續開發
開發
領導去參與其他部門的安全問題了,告訴你繼續開發
開發
驗收開發的階段性成果
下班,下班前做一下安全審計的工作,很簡單很耗時
下班回家,擔心著自動化的審計工具有沒有問題啊?
第二天上班,先檢視一下昨天的審計是否順利,順利則上交審計資料,不順利?則今晚重來一遍。
開發。。。
當然,這也只是一種,也有其他的,比如把開發改成運維,審計改成分析log等等,大致就是這個節奏了。
安全工程師工作適合什麼樣子性格和能力的人,怎麼樣就算做得“優秀”?
適合打人生下半場的人做。仔細回憶一下,身邊做安全的,好像沒什麼人能堅持下來從事這一行的。因為錢少事多背黑鍋。所以嘗試轉行的基本上都轉回去了。學生來做的,紛紛轉行的也不少。
真正坐下來的,我認識的從事這行也有5年以上,到十幾年的都有。他們已經有很大的不可替代性了,已經是manager級別的了。所以堅持很重要。
回答最後一個問題,網上總會有各種人才,指令碼小子也好,漏洞達人也好。我想說一下,那不是安全從業者追求的狀態。原因是這樣的,安全是正當職業。雖然黑客也可以賺錢,而且暴利。但是很難洗白。真正的需要安全人才的公司不要流氓的。另外一個原因,安全很大的只是寬度,而不是深度。當然,深度也需要,只是沒寬度重要。現在可以做黑客,找漏洞。那麼10年之後呢?還繼續找漏洞?10年後公司不是需要一個找漏洞的人,而是可以保護企業安全的人,那時候你要可以全面評估企業資產安全,制定計劃,出臺安全政策。說了安全有10個領域,侷限於一個是不行的。
最後說一下:安全不會比開發這種工作工資高的哦。都說了不受重視了。所以很有可能題主找工作的時候直接奔著錢就去做開發了,還懂些安全很受歡迎了。或者覺得開發簡單一心做開發就好了,安全學那麼多學都學不完。我技術不差為什麼要受人指點,轉行吧。這兩個誘惑可以過,基本就適合做安全。
利益相關:CISSP,工作經歷:大公司安全工作人員(SIEM),曾在乙方主要做加密,DLP等方向。