那些年走過的信安面試路續:我的甲方應聘之旅
*本文原創作者:zhukaiang7,本文屬於FreeBuf原創獎勵計劃,未經許可禁止轉載
前言
上一篇文章( 那些年走過的信安面試路 )之後我特地關注了一下評論,評論裡的github連結總結的面試技術題目很贊,有興趣的可以去學習下。
寫文章的主要目的是為了分享面試的經驗,讓green hand少一點彎路,多一點套路,順便騙一波稿費。
望所有人都可以在有生之年,
升職加薪!
迎娶白富美 !
走上人生巔峰!
俗話說得好,“自古深情留不住,唯有套路得人心。”
第一步:當前社會分析
在筆者看來,不管什麼行業,跳槽的大部分原因就是自己當前能力與當前薪資不匹配,或者當前崗位未來發展沒有期待且沒機會轉崗甚至當前公司發展看不到一點光明。
說句實在話的,企業和員工都是各取所需,這個世界離了誰,地球都會轉。
經常聽到應屆生,抑或是剛入行的兄弟們說,缺不缺人,工資不給都沒事,主要是能進公司學習。
What a joke.
大公司會在乎你那幾K的工資嗎?進公司就是給公司壓榨的,學技術只是順便的還要看個人學習能力。
當你簡歷上寫了經歷的公司太多時。
某些HR會說,你跳槽太多了,雖然你技術面都過了,但是我們不能要你。
呵呵一笑,可能在她的角度有道理,但是反問一句,如果你企業很優秀,對待員工也不錯的話,你會擔心員工跳槽嗎?
第二步:內心掙扎
拋開招聘JD(崗位介紹),我們直接來談甲方面試的時候會問到的問題,在這次面試前我就準備放棄了。
然後招聘我的人苦口婆心的勸了一波:
第三步:準備心理戰
甲方的面試跟上次我寫的可能出入有點大。
這次準備我只能另闢蹊徑。
對比甲方與乙方,公認的甲方安全人員懂得東西要更多,乙方安全人員懂得東西要更精。
所以首先我們需要把自己包裝一下,就像第一次跟妹子見面一樣。
我會先美美得洗個熱水澡,再敷個面膜,塗點BB霜,然後噴點香水,弄個髮型再出門。
畢竟論成敗還看那一夜。
所以先來提提如何增加自己的閃光點。
1.安全培訓
我們招個人進來,他能不能給我們的員工進行安全培訓?所以你一定要能說會道。
如果你做過培訓,你就講你給多少人講的,在什麼地方,面對的聽眾是誰,可以往規模翻倍的講。
如果你沒做過,你可以說你給公司內部做過技術分享,給多少人講的,在什麼地方,可以往規模翻倍的講。
帶過好多新人,培訓過好多安全知識,等等。。。
2.安全合規
也就是等保。
稍微看過資訊保安等級保護的人都知道,分五級,級數越高越重要。
所以當面試人員問你有沒有做過等保的時候,不管你做沒做過,直接說做過。
因為等保技術含量不高,甚至會有專門機構配合你,問題不大,到時候臨時抱佛腳也能完成任務。
如果做過就直接敘述自己的專案經驗,自己的收穫和感悟。
3.報告書寫
眾所周知,在甲方,日報、週報、月報、季度報、年報各種報告寫出來。
因為這是準備給領導心情好的時候看的,所以寫報告的能力一定要強。
所以我會想辦法表現出我擅長寫報告的美男子。
第四步:猜測甲方的需求
我猜測招人的主要目的是:
1.SDL安全開發生命週期:
設計-實施-驗證-釋出-響應
2.程式碼審計:
Fority SCA
RIP
3.安全裝置運維
大致三點要求。
細緻想想其實並不簡單,甲方工作了那麼多年的大佬頭髮都掉光了也不敢說自己都精通。
第五步:面試時刻
招人的人肯定不會想招一個比自己牛X的人,把自己比下去,所以第一心態不要擔心自己太菜。
面試我主動帶節奏,主要敘述了提前準備的2大點。
1.第一大點
我跟面試官說我經常做應急響應( https://xz.aliyun.com/search?keyword= 應急響應)《《《===實際操作 可參考
我簡單敘述了我會如何做:
1.公司的資產收集; 2.安全動態固定輸出; 3.應急方案方案的提前輸出; 4.修復指南的輸出; 5.給公司人員傳播資訊保安理念。
圍繞規範流程來理解(PDCERF):
準備 – 檢測 – 抑制 – 根除 – 恢復 – 跟蹤
2.第二大點
又講了我對乙方整個專案的把控:
1)熟悉專案現有情況,接頭人工作需求; 2)實施入場; 3)資訊收集:資產清單,網路拓撲,各應用介面人,安全防護手段和裝置,安全管理制度規範; 4)對資產的安全服務:漏洞掃描,基線核查(預設配置不安全),滲透測試(白盒,黑盒,灰盒),漏洞整改(安全加固),風險評估,漏洞預警,應急響應,應急演練; 5)安全培訓(針對CTF,安全意識); 6)迎檢; 7)驗收專案文件梳理。
3.面試官的提問
最後講了我在各種專案的滲透案例。
面試人主要問了我:
1)我們做安全的專案時跟誰對接,是開發還是安全團隊還是運維; 2)secure doc的瞭解; 3)邊界安全SOC的瞭解; 4) 資料安全加密的瞭解; 5)owasp top10常見漏洞。
其實當他問我簡歷上阿里雲先知是啥的那一刻,我就覺得這次面試OVER了,應該是非安全領域漏洞挖掘的面試官,沒啥共同話題。
聊了一個小時。整體都是圍繞安全整體規劃來講,涉及到的滲透測試技術點較少。
第七步:後記
沒有電面或者視訊面的面試都是耍流氓。這一次主要吃了守諾的虧,JD上沒有重點,對方對於我的簡歷也沒有認真看,最終浪費了彼此的時間。不過也不後悔,以後跟客戶談安全又多了一點思路了。
這次總結的蹊徑也以失敗告終,大致總結了一下原因:
銀行的編制有限,招人的目標應該是薪資可以稍微提高但是能力必須是全才又特別擅長安全體系建設的人,而我作為一個菜雞兒再怎麼套路也沒用。
這一篇也是我面試套路的完結篇,希望以自己的一點小經歷,給讀者們一點點幫助。
*本文原創作者:zhukaiang7,本文屬於FreeBuf原創獎勵計劃,未經許可禁止轉載