本人情况:三非(非985、211非信安专业),拿过一些国家级奖项,参加过小hvv。暑期找实习的时候,从甲乙方offer中,选择了甲方安全。就着这三个月的甲方工作,对应届生和准应届生的offer该如何选择做一个分析,帮助一下还在找工作的同学。
甲方一般是指提出目标的一方,在合同拟订过程中主要是提出要实现什么目标。
乙方一般是指完成目标,在合同中主要是提出如何保证实现,并根据完成情况获取收益的一方。
在合同过程中,甲方主要是监督乙方是否完全按照要求提供自身需求的满足。 在合同执行结束后,甲方一般需要付出资金或者其他,以获得自身需求所需要的东西。通俗点说,甲方就是出钱的,乙方就是出力的。安全中的甲方,大多是监管方(如政府机关中的信安部门)以及互联网公司,乙方自然就是qax、某恒,某信服这些。
1.薪资。下面的第一张图是北京某互联网公司的薪资,第二张图是国内某一线安全厂商安全实验室薪资,谁高谁低一目了然。尤其在北京这样寸土寸金的地方,多六千块钱的生活质量还是差别挺大的。
2.工作性质。互联网公司的安全工程师,主要是负责公司内部的安全建设,包括对自家开发的各类产品进行渗透测试,一般产品都会在渗透测试通过后方可上线(渗透);自研防火墙、扫描器、蜜罐等安全产品(安全开发);把监管部门的合规要求转换成公司的安全项目来推进,避免上线产品因各种原因导致公司财产遭到损失(安全合规);对公司内安全建设进行推进(安全运营)等等
而乙方的安全岗位主要是有三种,安全驻场,主要负责对部署在甲方上的服务(如WAF、IDS、IPS等设备)进行维护和查看,对甲方的应用进行安全扫描,一般都是使用某ray,某by之类的软件一顿扫即可;渗透测试工程师,给你几个站让你去测试,然后生成一个测试报告,这会比较考验你的基本功是否扎实,因为会涉及到各种的绕过;安全研究工程师,算得上是乙方中站在顶端的岗位,需要你有一个扎实的基础,因为你的kpi可能是某软,某果或者其他大型IT公司的致谢、也可能是挖到了某款CMS的RCE漏洞、亦或是在某hvv项目中崭露头角等等高逼格的成绩
3.个人提升。在笔者角度上看,甲方大部分岗位和安全研究的天花板是很高的。在甲方安全的三个月里,跟不少同事都有接触,告诉我的是,甲方安全更重要的是要把控整个公司的安全视角,将安全问题从发现到治理形成一个完整的闭环,所以不仅需要有一个扎实的基础,还需要有一定的沟通(和业务撕*)能力,以及一颗大心脏,毕竟互联网公司995不是谁都受得了的。再说到安全研究岗,上班的很多时间都是在学习新的东西,比如近几年比较火的ATT&CK框架,研究如何绕过市面上的WAF,复现网上最新的漏洞、编写POC等等。
抛开独角兽公司(byte、ali、tx)不说,难度划分:互联网公司安全实验室>一线安全厂商安全实验室研究岗>=甲方互联网公司岗位>渗透测试岗位>驻场。
当然,如果能拿下BAT的offer自然是去BAT了,毕竟没人跟钱过不去。笔者觉得,刚进入安全行业的萌新其实并没有过深的安全知识,如果能到安全实验室的研究岗位去学习深造一年,再去冲击互联网公司,对职业发展来说会大有裨益(安全大佬们请直接冲ali or tx的实验室)。
1.因为笔者的三非经历,校内少有安全相关课程,很幸运的加入学校的安全社团,有学长和老师的支持下对安全有了一定的理解,这时候配合蚁景实验室靶场就事半功倍了。
2.安全目前来说还不是很卷,总结一下就是目前开设信安的高校不多,从事安全的同学基本都是自学为主。所以很多身边同事并非科班出身包括自己,大专学历也并非没有,所以感兴趣的同学可以尽早入行上车~
3.学习安全一定得有明确的学习路线,比如说渗透和安全开发,两者的学习路线就有明显的差异,找到自己的兴趣点,坚持学下去会有收获的。
以上是笔者在实习三个月的感受,欢迎行业内的大佬们进行批评指正~
