作為一名安全工程師是怎樣的體驗(yàn)

　　在某世界前三云計(jì)算公司做安全攻城獅，在中國也有業(yè)務(wù)但是和世界其他地方是分開的，我不負(fù)責(zé)中國區(qū)。

　　主要有幾大團(tuán)隊(duì)

　　安全運(yùn)營團(tuán)隊(duì)，分布在全世界幾大地區(qū)，輪流oncall，主要負(fù)責(zé)應(yīng)急響應(yīng)，和內(nèi)部業(yè)務(wù)團(tuán)隊(duì)溝通處理安全事件等等

　　安全整合團(tuán)隊(duì)，負(fù)責(zé)將安全作為主要功能結(jié)合在產(chǎn)品里

　　應(yīng)用安全團(tuán)隊(duì)，red team這種，對(duì)內(nèi)滲透測試和代碼安全審計(jì)。

　　安全平臺(tái)團(tuán)隊(duì)，寫各種安全相關(guān)的工具和管理平臺(tái)。

　　威脅情報(bào)團(tuán)隊(duì)，精英都在里面，人數(shù)很少技術(shù)很牛逼，主要研究botnet和malware。

　　更神秘的研究團(tuán)隊(duì)，挖0day，主要是hypervisor和內(nèi)核級(jí)的。

　　很多大產(chǎn)品團(tuán)隊(duì)本身也有自己的安全團(tuán)隊(duì)，我們主要就是有事和他們溝通了。

　　忙不忙看人品，有時(shí)候oncall一大早十來個(gè)page，有時(shí)候兩三天也沒一個(gè)。

　　具體負(fù)責(zé)什么主要看你在哪個(gè)團(tuán)隊(duì)了。

　　進(jìn)入大公司安全部門最大的挑戰(zhàn)就是熟悉業(yè)務(wù)，熟悉業(yè)務(wù)，熟悉業(yè)務(wù)，重要的事情說三遍。比如，有人給你們報(bào)了某產(chǎn)品有漏洞，你要知道去找哪個(gè)團(tuán)隊(duì)，由誰負(fù)責(zé)，又比如你們的掃描器發(fā)現(xiàn)某主機(jī)存在漏洞，你要知道這個(gè)主機(jī)是誰負(fù)責(zé)，上面有什么業(yè)務(wù)，存了什么數(shù)據(jù)等等。

　　另外就是要會(huì)寫小工具，有時(shí)候一下通知幾百上千個(gè)團(tuán)隊(duì)更新軟件包是件很痛苦的事情。

　　主要分為哪幾種類型的工作?

　　主要分類：安全運(yùn)維，安全審計(jì)。按照CISSP，安全要細(xì)分十個(gè)領(lǐng)域，不過真正在甲方工作的話，職位就這兩個(gè)差不多了。(不知道保安算在哪一種?)

　　有些公司是直接分到IT/技術(shù)部門;有些公司有安全部門，部分公司會(huì)有很多安全小團(tuán)體，共同向安全總監(jiān)匯報(bào)。第三種比較常見。

　　一般情況下一天的工作時(shí)間安排會(huì)是什么樣子?

　　不管具體是負(fù)責(zé)安全哪一塊的，都差不多是這樣工作的：

　　開會(huì)，總結(jié)安全的問題(被黑了，信息泄露了，公司發(fā)現(xiàn)了哪些安全脆弱了)

　　做產(chǎn)品(包括開發(fā)安全產(chǎn)品，各種需要的產(chǎn)品，包括寫文檔之類的，文檔很重要，可以把安全信息可視化，主要看公司的需求)

　　協(xié)助其他部門買產(chǎn)品或做顧問(買安全設(shè)備，檢查別的部門買的設(shè)備是否有明顯的安全漏洞，檢查別的部門的工作會(huì)不會(huì)影響公司的安全。不僅僅是指參與IT部門的安全啊，甚至包括財(cái)務(wù)人事等，各個(gè)部門，當(dāng)然會(huì)有分工的，不是一個(gè)人查全部。)

　　安全檢查(全方位，因?yàn)榇蠊�司要過安全審計(jì)的。這點(diǎn)很瑣碎，無所不及，而且還不能影響其他部門正常工作，所以基本是中午啊，半夜啊，雖然會(huì)有自動(dòng)化工具什么的，但是依然心里惦記著，晚上手機(jī)震動(dòng)就會(huì)醒了，以為有報(bào)警。)

　　會(huì)遇到什么在其他公司難以遇到的挑戰(zhàn)?

　　這里是重點(diǎn)：

　　1、團(tuán)隊(duì)人少是肯定的，安全部門不會(huì)很龐大，有經(jīng)驗(yàn)的就更少了，幾乎只有經(jīng)理級(jí)別的有經(jīng)驗(yàn)。大多數(shù)隊(duì)員們都是來自各行各業(yè)(開發(fā)啊，運(yùn)維啊，測試啊)就算是安全公司跳過來的，技能也比較局限，比如人家只會(huì)挖web漏洞，給他個(gè)二進(jìn)制的他也不行，給他系統(tǒng)級(jí)的安全問題，他也 不擅長，沒辦法，安全是需要積累的，但是堅(jiān)持下來的人很少。事多錢少背黑鍋。

　　2、事情雜多雜多的，全部要自己來。一般其他部門的開發(fā)就開發(fā)，運(yùn)維就運(yùn)維，安全部門基本上是自己做的。絕對(duì)不可能讓開發(fā)公司app的或web的團(tuán)隊(duì)幫你做安全產(chǎn)品。原因很簡單，他們是為公司賺錢的，安全表面上看不出賺錢。所以基本上開發(fā)測試上線運(yùn)維都自己來，雖說自己來是指安全部門或團(tuán)隊(duì)自己來，但是由于安全團(tuán)隊(duì)不可能跟開發(fā)團(tuán)隊(duì)人數(shù)比，所以實(shí)際工作中還是相當(dāng)于一個(gè)人能做的越多越好。之前說了，安全還要參與別的部門的事情，所以知識(shí)面必須很廣。比如銷售們出臺(tái)了一個(gè)活動(dòng)，你要放下手里的代碼，去看看他們這么玩行不行，會(huì)不會(huì)有安全隱患。根據(jù)經(jīng)驗(yàn)，人事部門，銷售部門經(jīng)常出問題。IT部門中的開發(fā)測試也問題多多，運(yùn)維也不省心，產(chǎn)品選型必須參與。有時(shí)心態(tài)也會(huì)調(diào)整不好，我那邊正忙著補(bǔ)一個(gè)漏洞呢，你們這種過家家的事還要浪費(fèi)我時(shí)間，但是不去不行啊，你這邊好不容易防護(hù)過濾通通上了，人家一做活動(dòng)，大字報(bào)一貼，什么奇奇怪怪的信息都能輕易的泄露出去。

　　3、安全部門地位尷尬。事情要做，但是沒人理你。舉個(gè)例子，要開發(fā)安全產(chǎn)品，沒有人給你資源，因?yàn)殚_發(fā)部門都不夠用呢。你要買安全產(chǎn)品，人家不批準(zhǔn)，因?yàn)榘踩�產(chǎn)品比較貴。你部署的要求，沒人理你，什么?你要加一個(gè)設(shè)備在我的網(wǎng)絡(luò)里?你要干嘛啊，我們網(wǎng)絡(luò)組好不容易把網(wǎng)維護(hù)的棒棒噠，你別多事。因?yàn)榘踩�很難引起管理層的重視。哪怕出了事故了也很難引起足夠的重視。

　　4、永遠(yuǎn)招人恨。業(yè)務(wù)部門想出來絕妙的點(diǎn)子。安全部門沖上去說不行!!! 開發(fā)部門來不及上新版本了，安全部門沖上去說慢著!!!人事部門只是發(fā)郵件收集一下信息，安全部門說等下!!!大家會(huì)覺得安全部門太TM煩了。安全部門的要求很難被理解。還會(huì)打擾人家。比如人家DBA玩的挺hi的你過去說：季度審計(jì)一下，不好意思配合做個(gè)。。。溝通永遠(yuǎn)是個(gè)麻煩的問題，更惡心的是安全沒有大家想象的那么閑的蛋疼，相反是很忙很忙。已經(jīng)盡可能避開業(yè)務(wù)高峰了。

　　5、專業(yè)背黑鍋。從CSO開始到工程師都背的。信息安全是全公司的事，并不是安全部門的事。但是大家不會(huì)理你的。每次溝通，說的再清楚也沒用。因?yàn)榘踩�一定�?huì)與便利性沖突，沒辦法CIA原則平衡起來確實(shí)困難。漏洞百出安全部門只能看在眼里也沒辦法。舉個(gè)例子：安全掃描(這個(gè)無論大小公司比做吧，而且一般是半夜做哦)發(fā)現(xiàn)一臺(tái)數(shù)據(jù)庫服務(wù)器有系統(tǒng)漏洞。然后跑去跟系統(tǒng)部門說吧，他們不理你，說這是DBA的事情啊。DBA會(huì)說：什么漏洞?我們的數(shù)據(jù)庫很安全的，絕對(duì)注入不了，安全部門要從何科普起好呢?這還是技術(shù)部門內(nèi)部。其他部門就更坑爹了，業(yè)務(wù)部門根本無法理解安全部門擔(dān)心的問題。覺得是想多了，也不好解釋這是風(fēng)險(xiǎn)控制吧，不好直接給她們看那個(gè)定性的量表圖吧?然后出事了，就是安全部門背黑鍋，雖然在具體追責(zé)的時(shí)候會(huì)追個(gè)人的責(zé)任，但是大家對(duì)安全部門印象好不起來。”我們的安全部門不行“。經(jīng)驗(yàn)得，出事情最多的：行政部(社會(huì)工程防不勝防)>測試部>運(yùn)維部>其他部門。

　　應(yīng)屆生來大公司(如阿里巴巴、騰訊、百度)，可能會(huì)遇到的最大的挑戰(zhàn)與困難是什么?

　　同上所訴，就是因?yàn)榛卮疬@個(gè)小問題，才決定匿的。個(gè)人覺得三家的安全部門百度管理的好一些。但也是50步笑百步，都比較散亂。最亂的是阿里個(gè)人感受。要補(bǔ)充說明一下，安全是非常隱蔽的，非專業(yè)人士難以評(píng)價(jià)的，這三家還有一些大公司在安全上都是付出了努力的，但是由于一些非常致命的原因，他們的安全還是會(huì)出問題，以及他們自己對(duì)安全不到位可能產(chǎn)生的后果的承擔(dān)能力不同，所以給人感受不同(簡單說就是，有企業(yè)明確安全目標(biāo)是：老子不怕你來黑我，這樣的指導(dǎo)思想會(huì)直接影響安全結(jié)果，與企業(yè)的一個(gè)安全工程師是否優(yōu)秀無關(guān)，安全是打全局戰(zhàn)的)

　　三家都有一個(gè)優(yōu)勢，就是他們的安全部門都已經(jīng)不僅僅是support部門了，都受到公司的重視了，可以有明確的目標(biāo)，有東西學(xué)。比如 阿里的云安全，其實(shí)是可以算作“盈利”的存在了。因?yàn)楸Ｗo(hù)的用戶不是散戶而是企業(yè)級(jí)的用戶。

　　另外，應(yīng)屆生的話，其實(shí)就是沒有經(jīng)驗(yàn)的學(xué)生，很遺憾的是，學(xué)生不等于沒有經(jīng)驗(yàn)，牛的學(xué)生足夠多，但是!做安全太依賴經(jīng)驗(yàn)了，所以安全行業(yè)的學(xué)生等于沒有經(jīng)驗(yàn)。所以，沒經(jīng)驗(yàn)的話我剛剛說的那么些(那些只是一部分工作內(nèi)容，還不是全部)基本不會(huì)給你接觸的，所以，學(xué)生其實(shí)只是做最落到實(shí)處的部分，比如：開發(fā)。區(qū)別就是人家開發(fā)app，你開發(fā)安全應(yīng)用咯。一定要說有什么工作上的區(qū)別，對(duì)學(xué)生來說可能就是你要學(xué)的東西太多了吧，具體上手不會(huì)有太多的區(qū)別的。人家開發(fā)你也是，人家寫文檔你也是。所以，學(xué)生做安全的一天基本上是這樣的：

　　開發(fā)

　　領(lǐng)導(dǎo)開會(huì)回來了，告訴你要繼續(xù)開發(fā)

　　開發(fā)

　　領(lǐng)導(dǎo)去參與其他部門的安全問題了，告訴你繼續(xù)開發(fā)

　　開發(fā)

　　驗(yàn)收開發(fā)的階段性成果

　　下班，下班前做一下安全審計(jì)的工作，很簡單很耗時(shí)

　　下班回家，擔(dān)心著自動(dòng)化的審計(jì)工具有沒有問題啊?

　　第二天上班，先查看一下昨天的審計(jì)是否順利，順利則上交審計(jì)數(shù)據(jù)，不順利?則今晚重來一遍。

　　開發(fā)。。。

　　當(dāng)然，這也只是一種，也有其他的，比如把開發(fā)改成運(yùn)維，審計(jì)改成分析log等等，大致就是這個(gè)節(jié)奏了。

　　安全工程師工作適合什么樣子性格和能力的人，怎么樣就算做得“優(yōu)秀”?

　　適合打人生下半場的人做。仔細(xì)回憶一下，身邊做安全的，好像沒什么人能堅(jiān)持下來從事這一行的。因?yàn)殄X少事多背黑鍋。所以嘗試轉(zhuǎn)行的基本上都轉(zhuǎn)回去了。學(xué)生來做的，紛紛轉(zhuǎn)行的也不少。

　　真正坐下來的，我認(rèn)識(shí)的從事這行也有5年以上，到十幾年的都有。他們已經(jīng)有很大的不可替代性了，已經(jīng)是manager級(jí)別的了。所以堅(jiān)持很重要。

　　回答最后一個(gè)問題，網(wǎng)上總會(huì)有各種人才，腳本小子也好，漏洞達(dá)人也好。我想說一下，那不是安全從業(yè)者追求的狀態(tài)。原因是這樣的，安全是正當(dāng)職業(yè)。雖然黑客也可以賺錢，而且暴利。但是很難洗白。真正的需要安全人才的公司不要流氓的。另外一個(gè)原因，安全很大的只是寬度，而不是深度。當(dāng)然，深度也需要，只是沒寬度重要。現(xiàn)在可以做黑客，找漏洞。那么10年之后呢?還繼續(xù)找漏洞?10年后公司不是需要一個(gè)找漏洞的人，而是可以保護(hù)企業(yè)安全的人，那時(shí)候你要可以全面評(píng)估企業(yè)資產(chǎn)安全，制定計(jì)劃，出臺(tái)安全政策。說了安全有10個(gè)領(lǐng)域，局限于一個(gè)是不行的。

　　最后說一下：安全不會(huì)比開發(fā)這種工作工資高的哦。都說了不受重視了。所以很有可能題主找工作的時(shí)候直接奔著錢就去做開發(fā)了，還懂些安全很受歡迎了�；蛘哂X得開發(fā)簡單一心做開發(fā)就好了，安全學(xué)那么多學(xué)都學(xué)不完。我技術(shù)不差為什么要受人指點(diǎn)，轉(zhuǎn)行吧。這兩個(gè)誘惑可以過，基本就適合做安全。

　　利益相關(guān)：CISSP，工作經(jīng)歷：大公司安全工作人員(SIEM)，曾在乙方主要做加密，DLP等方向。