如何寻找一家靠谱的公司

学网络安全也有3年了==
从啥也不会的小白到各方面略懂一点的script kiddie。
网络安全cyber security,分支那么多。
到有幸到black hat ctf 加大佬微信问入行经验,我要是还不明白发展方向,不如找块豆腐撞死得了。

有那么多生物狗、建筑狗要转行,我学的冷门专业转行也不冤~~我不是一个人。

我为什么要入行信息安全

记得pcat问我这个问题的时候,我的回答是感兴趣,其实感兴趣只是一方面。
2015年9月,当时我刚进大学,怀着对一切一切的好奇,从图书馆一楼逛到了五楼。
一楼有经济学相关的书、二楼有我最喜欢的文学类书籍、三楼是艺术相关、四楼理工科的,关于网络攻击与防御的书籍竟然有一大排书架,不乏《黑客大曝光》、《黑客防线》之类的经典。

关于职业规划,我也不是一开始就选择了渗透测试。
(==)因为爱好太广泛了,还学了汇编,想整0day;学了抓包,买了3070网卡,破解无线密码;学了C++,想做木马病毒;学了php,心想做个网页开发;学了linux,去搜索做个网管怎么样?网警呢?要不要考研之类的,反正纠结了有那么久。

其实感兴趣是一方面,我对现有的专业(油画),其实一开始也是感兴趣的。无奈,家境并不是大富大贵,还需要谋生存。从毕业以后就不能,也不好意思再问家里要钱了。

另一方面是互联网工资明显比传统行业要高。而且天朝这个生育率,要是做老师,明显10年、20年后有职业危机。

没有核心竞争力的话,就容易被取代,容易被取代的话,工资就只能勉强维持生存。

这是一个最好的年代,也是最坏的年代。
早四十年,市场经济还未开放,大锅饭制度,无所谓优秀也无需上进。早100年,动荡的年代无所谓生产以及生产效率,一切都是拳头以及权利说了算。

而我今年20岁出头,我这辈子也没什么太大的理想。
记得中学时代,被又红又专的思想洗脑,21世纪是生物的世纪。想成为一个(生命科学)科学家,两袖清风兢兢业业为社会做贡献。

而现在正在为了做一颗合格的螺丝钉而勤勤奋奋,实在嘲讽。

哦,也许还是有的。

记得当初爱因斯坦提出相对论的感动;引力波发现之时,令我震惊而久久不能忘怀。我并不认为我是个天才,理想就是能抱个大腿混饭吃。

行业

行业分为,资金密集型、技术密集型、知识密集型以及劳动密集型产业范畴。
当然,也有行业包含上述一种以上。

行业可以分为政策性发展、市场型发展.

知识密集型,例如IT行业,工资高; 资金密集型,例如传统行业,工资低

案例一:2008年四万亿——基建投入,让机械行业上升

案例二:高等教育行业缺乏老人淘汰机制。
终生教授机制,对中老年人友好,于是对年轻人不友好。 老龄化时代到来,学生数量下降,学科紧缩,大学倒闭(三本、专科)都有可能发生。

夕阳行业特点

技术和理论成熟,产品成熟(靠价格战取胜,降低工资)、靠投资带动发展
例如工程机械、造船、重工业
这就想起了之前谁说的一句话。公司营收翻倍,你说要不要给手下的人涨工资呢?
当然是不涨工资的,因为一个人的工资取决于市场上所有跟他差不多的人,要求最低的那个。
公司营收如何跟他一点关系都没有。

大公司、小公司

小公司

在这个“全民创业”的时代,除非我疯了才会随便加入一个小公司。
《浪潮之巅》这本书也说过,所有新开的公司,三年内会倒闭90%(不知道有没有记错数据)。
除非是我认识的很有才的人邀请我(一般不可能,我又不是大牛),并且小公司有着靠谱的客户和市场或者技术壁垒,否则我是不会去小公司的。

中等规模的公司

今年去实习的公司就属于这一类。我是作为打杂的实习生招进去的,作为就业经验为0的废萌,我不知道这家公司在互联网行业属于什么水平(=。=)。
招进来的人年龄都以2开头,有几个三四十的人作为管理或者技术核心。
中等规模的公司往往比大公司还要稳定,大公司有大裁员或者周期性重组。

大公司

优势:
比较大的公司才有实验室之类的部门。
很好理解,很多小国没有航天事业,因为ta们的人口不足以支持庞大的相关产业链的分工。
所以在大公司,有着成长机会。比如经理,在中型企业可能做个几年就升到头了,在大型企业天花板比较高

劣势:记得某位前诺基亚的程序员说过,他还参加过苹果的发布会,当时被触屏手机给震惊了。
但是还是听信经理给他们画的大饼,没有辞职去苹果公司。
在大公司工作需要警惕一点,就是颠覆性的科技
总有一些奇行种,人人都用马车的时候,他们研发出了汽车。
而某些注定要淘汰的大公司,总是粉饰太平,直到市场越来越差撑不下去了,最终倒闭。(当然这是一个很漫长的过程。)

信息安全界各个公司的比较

“公司不过是一群人在一起工作,共同做出某种人们需要的东西。真正重要的是做出人们需要的东西,而不是加入某个公司” ————《黑客与画家》

360、深信服、启明星辰、斗象科技、五一嘉峪、知道创宇、长亭科技、湖北灰科、绿盟…

简历也投了很多家,也收到过回复。实际上,找工作并不难,找满意的工作不简单。

作为一个对技术水平有所追求的人,应该去什么样的公司呢……

小公司案例分析

侧面信息

安洵信息(20-99人),2015年成立。
公司在一个别墅里,附近基本上都是类似的科技公司。

该公司基本依靠一些大佬来提供安全服务,小而精。不过能不能做长远并不清楚。

面试过程

这是我真正意义上的第一次面试。上一次实习并没有面试,电话聊完就去上班了。

首先做了40分钟的笔试题。(打听消息后自己推断的信息:有自己的题库,说明技术方面有积累、侧面说明有一定的技术氛围,反面例子看上面的中型公司)

面试过程挺愉快的,过没过不好说,要看招的实习生有没有比我技术更好的、学习能力更强的。

给几个关键词:真诚实战派技术为王

根据2015年成立,判断该公司在扩张期,有大佬,待遇不错,制度宽松。
最重要的一点是,应聘什么岗位就让我做什么工作,这一点很好。虽然我很菜==(据面试官说,某人被深信服招聘去写文档,这是原话)

中型公司案例分析

成都深思科技有限公司(100-499人),2011年成立,为中国电子科技集团公司的子公司。

第一点,hr用QQ邮箱给我发消息。


为什么HR不喜欢应聘者用QQ邮箱发简历?——随便一搜,就是这种消息。现在情况是我不用QQ,而HR用QQ。
我对QQ并没有什么特别的看法,但是如果面试IT岗位的话,gmail邮箱比QQ邮箱多证明了一点,那就是你熟练翻墙技能。对于一个陌生人来说,你不知道ta的年纪,性别,经历,学历,只有一个邮箱。

用gmail比用QQ让别人更加了解你一点点。

所以当我看到这个的时候,心里是有点无语的,接下来发生的事情,更加证实了我的判断。

第二点,面试过程

分为,技术面,hr面。

技术面是刚毕业的人来担当的,并且是第一次当面试官。(他自己说的)

面试就是交流。最后面试官(简称x)给我的建议是,学代码审计,了解php各个函数和可能出现的漏洞,多跟网上的朋友打CTF和多交流。

当然,我从来不掩饰水平菜==。我回答的时间很少,他自己自问自答的时间更多,往往我说了一个点,他就巴拉巴拉讲述了更深的知识点试图告诉我(这是社团教育后辈?)

从某句话看出来,他并没有做雇佣谁不雇佣谁的权利。他的职责是判断有2年渗透经验的人来实习。他们招不招得到,这并不关我的事。

在hr面试时,她尝试以自己的看法来影响我的判断,她认为我不应该来面试这个岗位,渗透测试会加班,而做美术教育安稳。

第三点,面试结果

当面试官说,我的水平在他们社团里算很菜的。我就知道大概没戏。

当hr开出2K的工资的时候,我是(==),最后他们让我等结果。

当天hr给我打电话,商量结果是,我水平暂时不足以担任渗透测试的实习岗位,但是想要让我做威胁情报的岗位。当然2K工作做非渗透测试我是拒绝的,但还是好奇威胁情报到底是个啥。

据他们主管说,威胁情报是是APT溯源,跟踪。呃,说了一堆,据我猜测,就是文档整理和发表之类小编的活。问了不需要编程技能。

一周四天,2K,无技术含量的活,呵呵。现在廉价劳动力这么便宜么?

半个国企,看来实在缺人呐== 祝您老龄化进程过山车愉快咯~

大型公司案例分析

360电话面试,让我回忆起了跟斗象科技面试的恐惧。
尤其是,最后你还有什么问题么?简直一毛一样。
…没有任何问题,继续学习呗。

给的钱很多,要求也不低。

绿盟,成立时间很长了。非渗透测试岗,钱不多,但既然有培训机会。

那如果安洵信息没答复(可以直接在大佬的指点下做渗透测试),就去绿盟了。

回忆

还记得当初跟某同事聊天,他说他毕业时曾经也有机会去绿盟。现在拿着一万出头的薪水,作为小组负责人,做着并不需要高深技术含量的工作。搭网络拓扑、服务器运维、做项目等等杂事。

这个公司,作为一个平台,是小白、企业与讲师之间的桥梁。企业需要安全培训等等服务。

作为首次工作的公司,我对“公司”这个词才有了直观的印象。

因为这是一个“桥梁”,所以并不以耕耘技术作为首要盈利的方式。

所以他在抱怨自己(作为一个hacker)水平菜的时候,是有理由的。


发展参考:


初级要求:
渗透指定目标,根据发现的漏洞提供渗透测试报告。

漏洞挖掘:挖掘各SRC漏洞,通用CMS漏洞等
搜集漏洞情报,交给队友编写poc

熟练:OWASP Top10原理和利用方式
一定的编程能力。
在SRC类漏洞平台有漏洞提交经验


进阶要求:
能够独立完成渗透测试服务
能够独立完成代码审计服务
能够分析最新漏洞,编写对应POC,以及批量利用EXP
根据项目需求编写自动化平台。攻击脚本、防御平台、监控平台。
有通用漏洞提交经验,CVE、CNVD。
三年安全渗透相关工作经验。(从毕业后成功进入一家安服企业算起,2023年才有资格投递简历)