第三次实习

不知不觉暑假已经过去了,而我混入安全圈的目标,也悄悄达成了。估计毕业以后应该能做渗透测试吧。

安全服务大致分为三部分的工作内容,应急响应+渗透测试+安全培训

应急响应,就是客户被黑了然后去客户现场恢复系统等等;
渗透测试,就是找找客户系统漏洞,然后写一份报告;
安全培训,就是给客户做安全意识、安全技能等方面的培训。

19年9月20日晨

今早呆立半响,写下这段文字。

我内推无果,觉得转正无望,但是仍然没有任何人来通知我这个事。我问了技术负责人,他也只是说下次找我谈这个事,但等了很久仍然没有找我谈。于是我找HR,跨越大半个城区,赶往电子科大学生中心。坐了两趟地铁、一趟公交,等待许久,终于轮到了我面试。我是最后一个面试的。

结果也是预料之中。但是过程令我惊讶的是,面试过程老总没有问我一个技术问题。他坦言我技术不如另一个实习生,我应该趁着秋招找找其他公司。我从其他同事口中多次谈到老总的名字,如他所言,确实是一个惯会做人的人。即使拒绝了我的转正,也是说的十分委婉动听,但是你要是信了他的话,那可就完了。他们这种人,说任何话都保有一丝余地,但并不是真的。

回顾实习的三个月,我做过渗透测试和安全培训。可是我从内心抵触做安全培训,因为我认为这种政策驱动的、给国企培训CTF并没有意义。但是我的渗透测试能力也不是多么卓然出群,而且代码审计也不如另外一个实习生。我转不了正。

可是理想主义者也要混口饭吃。

不是没有想过放弃。但是坚持比放弃难多了,坚持也比放弃更有意义。虽然活着没有意义,但是活着就是为了给生命赋予意义。虽然经常痛苦着,但有时也快乐。

我早在2017年就嗅到了经济危机的味道,因此早早的为就业做准备。没想到,缩招的趋势还是狠狠给了我一个打击,结果仍然不乐观。

我看到了2019年生育率进一步下降,而卫计委说“中国不缺人口,在未来一百年都不缺”。如果老龄化严重到2个人中就有1个超过60岁的老年人,那么钱再多又有什么用呢。劳动力不足,届时物价、工资飞涨,老年人存下来的积蓄很快就会用完。

晚上跟某安全从业者交流,他认为“挖掘0day才有前途,安全测试都是体力活”,但是挖掘0day需要很多基础,不是能够速成的东西,也没有什么定式可言。对于应届生来说,要求0day挖掘能力也不现实,只能在工作中,慢慢积累经验。

1
2
3
乙方工作十分辛苦,有能力去甲方尽量去甲方

0day的话,专门研究一个厂商的漏洞就够了

以上是前辈给的经验。要好好考虑下职业规划的事情了。

10月28日

大吉大利,最终我还是拿到还是去乙方渗透测试岗offer了,校招比社招要简单。

一点看法

我写这篇对公司的看法并不是说,说公司的坏话。实际上,在第一次实习的时候,有公司的管理者曾跟我说,对公司有任何建议和看法都可以提出来。我非常感动,因为我只是个小小的实习生。也许他只是随口一说,并没有真的认为真的认为我可以提出任何有建设性的意见。但我认为这种听取意见的态度是任何人都值得学习的。

在绿盟成都分部,只有几位经常来公司的安全服务人员,就规模来说,没有360人数多。据说360在安全业内是数以数二的规模和实力强大的企业了。

绿盟安服人员收入构成: 绿盟的客户主要是国企、事业单位(学校、医院等)以及一些省内企业的IT资产。所以有时候“技术”不是最重要的,不是说不重要。因为客户也不懂技术,销售以及对于表面功夫也很重要。比如说,管理者(总监)根本不懂技术也是可以理解的。

比如说,应届生培训并不是某类技术的深入传授,而是各种东西都要会,例如等级保护、渗透测试、APP测试、应急响应等,而这些都是很高深的东西吗?不是,或者也可以说是,因为单独的某一个方向,都是可以无限深挖的,而安全服务人员往往被要求使用工具参照指导手册来生成可以提交给客户的“成果”——一份像模像样的报告。

“有时候,要搞好人际关系,比搞技术更重要,要给XX送礼…… “这是公司内某人跟我说的原话。我对此的看法是,因为技术性不那么强,所以在A可以B也可以的情况下,有权利的人更愿意选择自己喜欢的人。社会就是如此。参见娱乐圈,有权利的人可以潜规则明星,明星是自愿的来换取自己想要的角色。人性如此,任何地方都不是净土,可以理解。

实际上,在做项目的时候,尤其是CTF培训,我感觉到技术并不是很重要,因为要用的都是很简单很浅的东西,而表达能力和沟通能力更重要。而这正好戳到了我的短处,绕开了我的长处。

对实习生来说,他们最大的优点是”便宜“,一个月只有两千多的工资,可以说是除了租房吃饭所剩无几。而这就是资本主义社会要达到的目的。让你为金钱工作、无休止的整日奔波吧。

而对于正式员工来说,他们要掌握的是各种项目的交付能力,能做的项目越多,对公司的盈利能力就越强,所以杂而不精(这点是我从其他人的文章中看的,有待商榷)。

从可替代性来说,35岁以后,安全服务工作的技术工作被年轻人取代的可能性也是非常大的,如果一直呆在这个企业,从事管理也是个选项吧。实际上,很多公司也是如青楼,不许人间有白头,老龄化社会延迟退休(俗称推迟发放养老金)是迟早的事情,自己早做打算吧。

指望自己“便宜”,来增加竞争力是可悲而被动的。

说了这么多,其实我还是很想留在绿盟的。tk教主曾经在绿盟呆了10余年,离职的原因是钱太少。。当然是对大佬来说,而对于普通技术员工,9K以上,也不能算太少了,当然不能跟房价相比。但是能凭借工资买房的工作在社会上也没有太多。而且绿盟的优点也十分显而易见,在绿盟的管理十分宽松,早上9点上班下午5点半下班。只要完成自己的本职任务,上班可以做自己的事情。业余挖挖漏洞赚奖金也是美滋滋。

这是我的一点浅显的看法,有任何意见可以给我发邮件指出。感谢阅读。