您的位置 » 首页 » 人文创业,生活笔画 » 职业感悟:从面试中看安全人员发展趋势

职业感悟:从面试中看安全人员发展趋势

发表于2年前 | 作者: seay | 分类: 人文创业, 生活笔画 | 孵化于:2015年04月02日 | 文章热度:7,518 次 全屏阅读

显示不全请点击全屏阅读

黑客

   安全,未知攻焉知防。

   我把安全人员定义为成攻防两派人,安全甲乙方我都待过,回顾总结面试过的人,很明显的一个趋势是安全人员在慢慢转学院理论派。

   现在不少大学开始开设网络安全课程,我没上过大学,之前跟一些学生了解过,大多高中毕业生抱着期待和激动的心情去大学上课,却发现大学里面教的都是理论和基础,最后扼杀了学生的兴趣,这很能理解,学校不可能去教怎么入侵,这里面有法律风险。这时候整个安全环境就开始变化了,网上出来的文章也开始偏学院理论,找资料更少了,不像安全早期的时候,没有学校,技术得靠自己去琢磨和实战,搞渗透和挖漏洞,连续几个通宵都没问题。

   我面试渗透的时候经常会问面试者有没有搞过未授权的入侵,来甲方面试的应届生大部分是没有做过的,只有在实验室里面搭建的环境下测试过某些漏洞。另外一个问题是,如果让你来入侵(注意是未授权入侵)我们公司,你有什么比较高效的思路?第二个问题我会再去挑战细节的东西,这两个问题可以刷掉大部分的应届生,没经验的人扛不住细节挑战。

   我时不时会跟公司团队的人说,搞安全不能太中规中矩,不然做到最后就废了,思路会被局限掉。那些牛逼的安全人员往往都是实战派,*************************************,挖漏洞的手里大多攒着0day,安全真正有意思的在这群人身上,理论派基本混不进这个圈子,我曾经说过,*********************************,也是基于对这个圈子的了解得出来的结论。
 
   还是那句话,未知攻焉知防,最好的防御一定是最懂的攻击的人设计的,因为安全是个木桶原理,攻只要找一个点,而防却要全面,只有站在攻的角度才能更全的知道该怎么防。

  
   安全商业化,未来肯定会越来越受关注,越来越值钱,但也肯定会越来越多泡沫和口水。我个人还是比较怀恋以前的氛围,不是任何帽子任何客,只为了自己的兴趣去做喜欢的事情。

Tags:

职业感悟,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/4158/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

已经有16个筒子的人留下了脚印...

  • xiao_hen 说:
    1楼
    2015 年 4 月 2 日 下午 3:41 回复

    现在好少有那种不为钱,只为兴趣的人。生活所逼阿

    • 【管理员】seay 说:
      2015 年 4 月 2 日 下午 3:44 回复

      安全慢慢会开始值钱的

      • 默小尛 说:
        2015 年 4 月 22 日 下午 7:07 回复

        默小建就是利用网络技术赚了几百万

  • 冰神舞 说:
    2楼
    2015 年 4 月 2 日 下午 4:06 回复

    年龄大了,虽然有这个兴趣爱好,只能在业余时间随便整整了,只涂个愉快。

    • 【管理员】seay 说:
      2015 年 4 月 4 日 上午 4:13 回复

      有兴趣就还好

  • 东吃 说:
    3楼
    2015 年 4 月 3 日 下午 12:54 回复

    这是一个迷茫的时代,学院派的人 少有脱裤,少有没授权的入侵, 非学院派的学生 也在迷茫,不知道该不该多学点理论知识(编程,算法等)
    学院派的学生 也不知道如何入门········· 如何学渗透、
    世界变化太快, 还是选择太多导致太迷茫?

    • 【管理员】seay 说:
      2015 年 4 月 4 日 上午 4:14 回复

      理论和实践都是必备的,这两样可以同时拥有的

      • 东吃 说:
        2015 年 4 月 21 日 下午 10:32 回复

        恩! 请教,学历问题 对于安全从业者来说 是不是最重要的,

        • 【管理员】seay 说:
          2015 年 4 月 27 日 上午 12:39 回复

          主要看你以后的职业规划了,技术工作大多数公司都没有学历限制的,百度例外

  • cracer 说:
    4楼
    2015 年 4 月 17 日 下午 3:01 回复

    你好,欢迎添加友情链接
    cracer
    http://www.cracer.com

    • 【管理员】seay 说:
      2015 年 4 月 27 日 上午 12:40 回复

      好的

  • 跳跳鱼 说:
    5楼
    2015 年 4 月 23 日 下午 10:23 回复

    我是个学院派,我觉得可能是我们从中取得的东西不一样,有些人搞到别站后会有一种成就感,觉得自己很牛逼,可是我第一次实战环境拿到shell后一定都没有兴奋,真正让我觉得兴奋的是我知道了一个漏洞是怎么产生并且被利用的···虽然我也搞实战,但是还是更喜欢研究它的原理,这可能是学院派的固有思维吧。。。

    • 【管理员】seay 说:
      2015 年 4 月 27 日 上午 12:42 回复

      我说的实战派不仅仅是渗透哦,包括挖漏洞,研究漏洞,企业大多数岗位还是需要实战经验多的人,做自己喜欢的事情就好,兴趣和开心才是第一位

  • 互联网 说:
    6楼
    2015 年 6 月 23 日 上午 11:20 回复

    博主,你好,
    想看你的源代码,打不开,想了解你的审计工具的原理是什么,用什么方法(或工具)做的分析引擎,还是自己开发的分析引擎。

    还有一个观点:个人认为学院派并是如你所想那样在信息安全领域不堪,你看到的现状是因为信息安全起步较晚,国内这方面的东东教和学都是处于起步阶段。但系统的专业性理论研究是必不可少的,否则,正如你所说:安全防护是需要系统研究的,系统性的理论如没有根本不能做防护。

    我也想做代码检测,想学习下。

  • 互联网 说:
    7楼
    2015 年 6 月 24 日 上午 9:35 回复

    博主还是没有说其原理,我看了一些博主的说明,好象还是关键字查找,即使是用正规式,还是关键字查找的基本原理,是这样吗,还有什么技术用在代码审计中,希望博主能提供相关信息,我们也好学习啊。

  • 互联网 说:
    8楼
    2015 年 12 月 25 日 下午 5:43 回复

    我今年一直在做一个代码安全审计国标制定的项目,刚好今天邮箱收到了博主邮件推广的一本书《代码审计:企业级Web代码安全架构》,我不知该如何说???希望有机会和博主交流。

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)