已入职场 | AMA | 信息安全 - CyberSecurity - InfoSec
来自: 小能苗
搜了下组里还没有关于安全的AMA,我来开一个
楼主简介:
7年工作经验Security Engineer,人在湾区,本科研究生都学的是安全,本科🇨🇳 研究生🇺🇸,CISSP member。
03/14 发个update:
(ISC)2给了我一个entry level cybersecurity certification 名额,有兴趣的姐妹可以私我送你,最好附上一段自我介绍。
几个安全下面的职业大方向:
- Blue team 蓝队。攻防里面防的一方,主要作监测和回应(detection & response)。比如说公司的服务器被黑了,数据被盗了要怎么办,要怎么预防怎么检测。
- Red team 红队。攻防里面攻的一方,简单来说就是我黑我自己,看薄弱点在哪。红队和蓝队会合作,红队找到的漏洞给蓝队做预防检测。下面提到的bug bounty就是红队策略的一种。
- infrastructure / IT / corporate security。每个公司的org不一样我就给堆一起了。这个team主要给给漏洞打补丁,不仅仅是服务器的,也有电脑的,云上的。
- Product Security。这个主要是修复自己公司产品的安全漏洞,有的公司会和红队合并,有的是单独的。关键词:code analysis。SAST & DAST。OWASP。Product security要跟别的产品组紧密合作,不然等新的feature出来再做review就晚了,最好是在design期间就做security architecture review。
- Risk & Compliance & Privacy & Culture。这也是可以不同的team。主要负责公司在securtiy/privacy的法律这方面是没有问题的,也负责安全相关审计啊,员工的信息安全意识教育。
分享一些资源:
关于web app vulnerability的
- https://owasp.org/www-project-top-ten/
- https://portswigger.net/web-security
- 书:The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws
一些github index资源:
一个training的网站 https://tryhackme.com/
油土鳖就不提了,可以自行搜索
写几个最常被问到的问题吧,想到哪写到哪
Q:安全要不要会写代码?
A:看情况。有的是security analyst,主要是看alert,做investigation。并不需要会写代码。有的是security engineer,就会需要写代码。还有做privacy & compliance 相关的, 更像是program manager。
Q:好找工作吗?会不会比较敏感?
A:国内的情况不是很清楚,🇺🇸这边是如果是和政府相关的部门和企业就是要公民,比如说波音。其他的公司就无所谓了,H1b都给办的
Q:我不是学安全的,能不能搞安全?
A:可以的!我有同事network admin出身的,也有system admin的,也有之前是SDE的。都是后来觉得安全比较有意思转到安全的。
Q:关于bug bounty
A:Bug bounty就是一个你找到公司的一个安全漏洞,报告给公司然后拿钱。 有点像赏金猎人的感觉,coinbase最近付了一个$250k的漏洞。影响越大难度越高拿的钱就越多,有很多自由职业的reseacher主攻bug bounty。
Q:好多安全的证书啊!要不要考?
A:如果你是学生的话,建议还是好好学习做项目,考证可以当兴趣爱好,nice to have,不是必需品。工作之后:如果公司给你掏钱,去!自己掏钱的话没必要,很多证书都很贵的,SANS training + cert exam估计得$7k了。面试的时候基本上也不怎么看这些。
你的回应
回应请先 登录 , 或 注册
相关内容推荐
最新讨论 ( 更多 )
- 求助 大厂新人犯了大错误… (Endless Spring)
- 自学Python接单有前途吗 (平安是福)
- 有没有unity的姐妹?在这记录一下我的学习和工作(三更) (momo)
- 同舟女性互助成长平台招募合伙人 (同舟女性互助)
- 求助|hcix暑期项目 (bokuto)