“ 原计划公众号第二篇应该是要继续写零信任架构的,但工作的事情要放第一位,最近一直在忙招聘,感谢公司给予了很多支持和自主权。
这篇硬核招聘文,是对安全管理、架构、人员规划上的一些想法,也是对用人的定位,希望能带来价值。”
文末包含大量福利、还有顶配iPhone等你拿,耐心多一点点哈!
01
—
安全部门的自我定位
一个公司对安全部门的定位应该是多方位的,不同视角对安全的期望和定位会有很大差异,会直接导致安全工作的开展,例如:
公司对安全的定位:不出事,少花钱应该是多数公司的定位,甚至是“不出事要你何用,出了事情要你何用”的尴尬定位;
业务对安全的定位:别搞我,少烦我,同样是多数业务部门的心声,轻者勉励配合,重则见安全如见瘟神。
这个时候安全对自我的定位就很重要了,上面都是客观存在的事实,但不代表正确,因为行业不一样,对安全的理解是不一样的,而安全负责人应该是要清楚的,这时的自我的定位往往决定了未来的方向,如果定位是救火队,最后可能会成为杰出的救火英雄,而我们的定位如下:
自我定位:服务业务、集中资源,统筹规划,翻译成人话就是业务优先,不能为了安全而让业务死掉(是的,我们不是安全第一),而集中资源,统筹规划是因为安全的成本并不低,集中资源和统筹才可以用尽量少的资源来获得较大的成效,安全需要考虑成本。
从结果上来看,按这个定位,一步步走下来是可以获得公司和业务的理解与支持。目前我们负责了全集团安全,通过集中化的平台以较低的成本输出各种安全服务来支撑业务,并不断的提高安全效率来让业务感受到安全是和业务一个方向,获得业务的理解和支持。
02
—
安全部门组织架构
我理解的安全组织架构并没有好坏、也没有标准之分,只有适合不适合,因为每个公司环境和发展阶段都不尽相同,我们的安全组织架构经历过三个阶段,如下:
(1)扁平化架构
其实就是穷,几个人的安全部还要什么组织架构不是。这个阶段的特点是每个人都身兼数职,安全运维、渗透、开发混在一起,大家工作起来也不分你我,效率其实不低,但问题是虽然能救火,但长远规划很难落地和做精,过了救火阶段后就不适合后面的阵地战了。
(2)攻、防、开发为模型架构
这个阶段特点因为资源相对充足点了,可以专人专事,而一般负责人的精力也不足以支撑超过10个以上同学了,因此这个阶段将部门以攻击、防御为视角进行了拆分,主要目的是:
明确职能,专人专事来保障结果与质量;
通过攻击团队来发现问题,以攻促防;
通过防守团队进行安全建设,构建防护体系,检验攻击效果;
通过开发团队来输出系统、平台,提供火力支援。
这个模式我们进行了很长一段时间,但后续问题也开始凸显,即评价体系难以落地,因为安全监控、响应分散在攻击和防守团队中,让自己评估自己是没有意义的。
(3)攻、防、检测、双开发模型
为了弥补裁判的问题,这个阶段将团队进行了进一步的拆分,将安全检测独立出来,负责安全分析、规则维护、事件调查与响应,以及将开发团队也拆分为两个小组,主要的目的如下:
03
—
招聘职位定位于分析
(北京地区)
这是篇硬核招聘文,这里是我们迫切要招的一些岗位,在这里对阐述下对这些岗位的定位与规划,当然最好的体验是加入我们!
(1)高级开发工程师
负责零信任体系中很非常重要的Linux agent、server端开发,我们的零信任定位是统一架构全端覆盖,包括服务器的覆盖,这个岗位会负责Linux端agent、server端的功能迭代。
游戏行业是会遇到真实的APT攻击,也会遇到很专业的rootkit、入侵手法,因此这个岗位在入侵检测技术对抗上会有很真实的挑战,以及会从攻,防,检测团队中获取一手需求与反馈来改进系统。
(2)业务安全工程师
游戏是完美世界核心业务之一,除此外我们还有很多互联网业务,因此在业务安全上,账号安全、薅羊毛、漏洞刷分等场景都会遇到。
这个岗位会借助我们统一分析平台的能力,协同业务,识别业务风险,建立风控模型,推动开发部门进一步完善平台能力。这部分的挑战在于,业务类型多变,如何找寻规则形成较为通用的方法,以及如何让安全数据发挥更大的价值。
(3)风控算法工程师
这个岗位是和业务安全工程师合作的岗位,即负责相关系统的开发。现有的SOC上我们已实现了实时、离线、机器学习、SOAR安全流程编排等能力,但在风控上还很薄弱,需要进一步丰富和完善风控模块和能力,给业务提供支撑。
另外借助零信任架构体系,安全解决了数据质量不高的痛点,可以形成完整的闭环,如何支撑这些海量数据的安全分析,更智能的关联,也是其中的挑战。
(4)渗透工程师
负责内网渗透、线上业务安全测试,通过内部红蓝对抗方式,推动安全运营能力的提升,用攻击来检验安全防守、分析团队的能力。
另外渗透工程师可以借助部门内的主、被动式扫描器,安全资产、钓鱼系统来提高攻击效率,以及将将重复性工作推动开发转为自动化的方式,让攻击测试也能效率化。
(5)安全运维工程师
负责零信任架构体系的实施、管理,运营。安全运维不是一个轻松的活,事实上充满了挑战,因为攻击团队只需要利用一个点就可以进行突破,而安全防守团队需要面对全集团数万设备,数百个业务系统的安全加固、权限管理、漏洞修复。
安全运维工程师一大方向是将繁琐重复性的工作转为自助和自动化,进而演变为以安全角度对业务整体环境进行评估,发现薄弱点并设计解决方案。毕竟没有人比安全运维工程师更懂业务。
(6)安全合规工程师
一直以来在合规上我们有着自己的想法,不请外部咨询顾问,所有的合规流程都自己走,这是因为合规本应该是安全最基本的要求。这里的挑战是如何找到业务和合规的平衡,保证合规的同时不要影响到业务的发展,将合规的需求融入到了安全体系、平台中,用系统来支撑合规。
这个阶段中我们希望把合规引导到数据安全方向,对合规的定位是对外、也对内,更要对自己,以合规推动标准化、数据安全系统化工程落地。
04
—
入职完美优劣势分析
任何一个选择都是有正有负,找到适合自己的是最重要的,因此我会从自己的视角尽量客观的分析入职完美安全的优劣势,希望对你的选择有所帮助:
(一)劣势
超大规模的场景:不是垄断型头部企业,没有春晚那类数亿人刷刷的超大场景,但有还算丰富的场景类型,安全各个领域都会涉及;(基础安全、渗透、移动安全、应急响应、业务安全、黑产等)
不成熟:无论是我自己还是系统、架构,我想是不如一线大厂的,事实上我们一直在不断试错,不断改进的路上;
(二)优势
讲人文关怀的公司:应该是少有让你每周都放下工作,强制你去学习的公司了,董事长对员工的成长关怀甚于你自己,公司氛围鼓励大家去尝试,去试错;
有理想的安全部门:追求卓越,希望真正解决公司安全问题的同时,可以提升自己,这也是为什么零信任架构、安全自动编排、等新技术,我们都乐于探索,并且有能力落地执行;
平等的工作氛围:没有森严的等级,勾心斗角的人际关系,有话直说既是完美的文化,也是部门的文化;
工作与生活的平衡:没有996、没有强制加班,只要结果棒,不加班年底绩效一样可以是S级;
友善的业务环境:没有山头、站队一说,业务普遍给予安全很大的支持与包容。(不然零信任架构也推不动...)
05
—
福利环节、福利福利福利
感谢你耐心的看到这里,写公众号是认真的,招聘是认真的,福利更是要认真,申请了两大福利:
(1)关注公众号,并转发有奖(3月18日 12:00截止)
转发本文,第一名,赠送完美世界 火炬之光游戏绝版大手办一个;
转发本文,第二、三名,赠送完美世界 姜小虎鼠年手办一个;
转发本文,第四 ~ 十名,赠送完美世界 好运茶二盒;
注:排名根据微信公众号后台统计数据,公平公正,需要先关注哦。
(2)推荐有奖(招满为止)
急招岗位:高级开发、业务安全、风控算法工程师,推荐入职后赠送 iPhone11 pro顶配
普招岗位:渗透、安全运维、合规工程师,推荐入职后赠送华为meta30 pro顶配
我叫何艺,甲方安全16年,目前负责完美世界安全工作,聚焦在安全管理、零信任架构、体系建设,安全架构和安全分析上,争取做个不走偏,服务型领导,欢迎加入我们。
欢迎推荐简历,邮箱:[email protected]
也可微信直投:
相关链接:
“ 尝试开始多做一些输出,即便是招聘也希望能带来点价值,不要浪费大家时间,如果觉得有所价值,请素质三连,关注、点赞、转发,后续会提供更多原创内容来感谢大家的支持。”
长按扫码关注