初入甲方
2019-10-29
之前一直是在乙方工作,想要转型到甲方锻炼。找到了一家组建的安全部门,开始了那片未知的领域,技术栈不会有太多的差别,做事的方式需要多去思考和改变。
甲方工作
20190625
来到公司里面,没有之前人力吹的那么好。安全部门除了领导是搞安全的,两个正式员工是开发,自己是做安全的。一个试用三个月的被辞退。又招一个开发,不到一个月,又走了。现在算是三个正式员工,一个领导,一个开发,加你一个安全。做的事情,实实在在的是甲方的活。要保护好自己公司的安全,对自己所做的事情负责。没有想象中的那么好,但也没有想的那么差,就是这个样子。需要调整心态,钱给的少些,加班有一些,做的事情杂一些,剩下来就是努力学习,提升自己各方面的能力,多去挖一些国外的漏洞,向世界的安全研究者看齐。
所做的工作
对SOC平台上的漏洞分发、跟进进展、协助开发修复、复查。
对安全应急响应中心,部署、漏洞审核、运营。
编写Web安全相关漏洞原理、修复等实践文档
编写安全测试题目,提升员工安全意识
对SOC、WAF安全产品提出优化建议及新的规则
评价
1、能及时的跟进和审核外部漏洞,部分推动漏洞的修复
2、编写部分安全类文档,作为安全知识库沉淀
3、收集整理第一版安全试题
4、对安全产品提出类部分改进建议
建议改进方向
1、继续提高安全基础知识,深耕某一部分(比如Web),就去深入搞懂每一个细节,做扎实
2、提高自己的安全敏感性,能及时的捕捉和跟踪到业内的安全情报
3、在和同事的业务沟通上需要提高自己的软实力,便于推动事情前进。
评语
具备一定的安全攻防基础,可以完成安排好的一些基本安全测试任务和运营任务,欠缺比较深入的知识,需要自己在日常工作中继续提升和专注。工作态度诚恳,但缺少主动性,对安全业务的方向性把控较少去思考,需要人为引导和安排工作,这块需要自己在工作中去思考和加强。
体现的价值
如何体现出自己的价值,对部门的产出是什么?比如Fastjson,你推动了,修复了30%-50%。如果没有你的推动,可能还是30%-40%,如何去体现价值呢。不是做了什么,而是做出了什么。看到具体的效果。成果,产出。
心得
很感谢在xm安全部的这段时间,在这里更深入的理解到安全不单单是漏洞发现修补,而是涉及到数据资产安全、员工的安全意识、安全制度的落地实施、安全产品等多方面。在安全技术上需要去深入研究其细节本质,要更好的和研发沟通交流,让其认识到问题产生的原因以及解决方案,从根本上来解决安全问题。在日常工作中需要敏锐的跟踪最新的安全预警,时刻关注钉钉内部信息,更好的来做好安全工作。
职言
毁掉职场里的年轻人很快,就两三年的事。缺少经验的年龄也缺少主见,领导只向他施以指令,让他执行而不要思考,所有创造性的行为都会遭受冷遇和挫败,时间一长,他将发现一套生存法则并深信不疑,开始抵触改变,沉沦到职场底层。” 昨晚与一位HRD闲聊,他说的很好。国内这样的情况很多。
这几个月的甲方工作经历,要去重新思考自己工作的方式。在互联网不像之前在乙方,到点下班就走,现在是根本没有什么准点下班,都是磨蹭到晚上八点多。做的事情要多去深入思考,怎么去做的更好,一个安全标准怎么去推动到落地。甲方的安全建设,你要形成自己的一套思路,接下来多去看一个人的安全部这样的文章,学习方法,然后在实际工作中去实践。要动脑子去思考,有自己的想法,沉淀的价值是自己的。
技术要再深入的研究,做业务安全的时候,别丢了安全技术。沟通能力的学习,如何更好的和研发同事沟通,推动事情的进展。不单单再是漏洞那么简单的问题,而是从大局思考,在一家互联网公司如何做好安全。