从乙方工程师转为甲方工程师的一些思考
2020 年的第一天,就由我来开篇吧,我在 2018 年从乙方转到了甲方工作,能够转甲方一方面是机会,更重要的一方面是因为自己的积累和在面试之前的准备,准备时间大概花了半年多,期间看了 《cissp 认证考试指南》,收集了几个 G 的甲方安全工程师分享的演讲 PPT,先从思维上进行转换,从乙方思维转为甲方思维,后来才有了进入一个甲方负责安全建设的机会。
大家都说,选择比努力更重要,但是如果没有努力,你可能连机会都没有,即使有了机会,也会因为努力不够而被淘汰,能做到每一份工作都让领导认可,并舍不得你离开,那么你的价值一定非常高,我们任何一个人都可以成为这样的人。
甲方和乙方分别是什么?
从需求上来看,提出需求的就是甲方,实现需求的就是乙方,安全圈大部分的安全从业者都在乙方,而甲方的安全工程师就很少了,能拥有自己独立安全团队的公司也都是些头部公司了,而安全工程师占 IT 人员的比例能有百分之一,也就很不错了,可想而知,甲方的安全工程师有多稀缺。
我从 2013 实习到 2018 年,五年时间都是在乙方,做的是渗透测试和红蓝对抗相关的工作,这期间,主要做的就是攻击测试,为甲方找安全问题,其实就是安全服务的工作,这类工作的从业者是安全圈最多的,因为光靠卖设备已经不能满足甲方的需求,需要专业的人才服务,帮助甲方运营安全设备,处理安全事件。
乙方的工作岗位大概包括:安全产品相关(产品、研发、测试、售前、售后、商务等)、安全服务相关(渗透、驻场、代码审计、应急响应、安全运维等)、安全研究相关(红蓝对抗、病毒分析等)、安全合规相关(等保测评师、ISO 测评等),一个人能在一个方向工作多年都是没有问题的。
而甲方的工程师,根据公司的情况来定,主要情况分以下几种:
1、无安全部门的公司,这类公司基本不做安全,主要靠运维、研发的安全意识来保障一定的安全,目前国家强制要求做等级保护,所以也会让运维或者研发去做这方面的事情,主要目的是拿个证书。
2、个位数的安全工程师团队,这类公司就是常说的一个人的安全部,每个人要做的事情非常多,主要跟安全工程师的视野有关,比如等保合规、应用安全等比较重要的项目。如果有安全预算,可能回去买一些安全的服务,比如:众测、渗透测试等服务,还可能买一些安全设备,比如:waf、HIDS、扫描器这些;如果没有安全预算,可以用一些开源的安全工具,比如:洞察、wazuh、opencanary 等
3、几十上百个安全工程师等团队,像百度、阿里、腾讯、头条、美团、滴滴、京东、贝壳等头部企业,对于安全重视且预算充足,会有大量的 hc,这样的公司,内部安全工程师的分类会比较细,比如:安全研发、渗透测试、红蓝对抗、数据安全、业务安全等,一个人或者多个人负责一个方向,前期可能会以购买乙方服务为主,后期人员充足会采用自研安全需要的产品。
我有幸经历了所有类型的公司,可以为大家输出一些不同情况下的建设经验。
在甲方和乙方工作的体验如何?
大部分工作的小伙伴都在乙方工作,做安服驻场的居多,很大的原因是需求多,对于学历要求不高,可能培训一段时间或者自学都可以获得一份相关工作,这个工作体验我就不说了,大家都懂,只有那些还未参加工作的同学没啥概念,目前正常从事相关工作的可以留言分享一下。
甲方安全从业者的来源,一方面来自于校招,好多大厂回去一些高校去校招,在大学毕业之前,一些基础比较好,比较优秀的小伙伴就被各个大厂盛情邀请了,剩下的部分就来自于社招,社招的要求普遍偏高,比如:之前的工作就是来自甲方的安全工程师,无论大厂还是小厂出身,各有优劣,直接从乙方招的工程师会比较少。
从乙方转甲方是需要过度的,毕竟甲方做安全和乙方做安全的思维习惯是不同的,甲方普遍思考问题偏防御,看到安全问题首先想到的是如何解决问题、找谁来解决问题、需要什么样的资、如何落地等等,而乙方安全人员想到的是如何扩大战果,危害有多大,能够做那些更危险的事情,所以很多甲方大佬不太喜欢直接招乙方的渗透或者安服人员,招进来是需要时间来培养的,这个成本是比较大的。
在甲方工作更多的时候,不是找出安全问题,而是一个安全问题,需要涉及大量的人,如何推动别的同事来解决这个安全问题,比如:一个漏洞,需要先找到对应的负责人,然后告诉他漏洞的位置,然后修复上线,这个过程,可能会存在不配合的情况,也可能会存在影响业务的情况,所以一个漏洞对于乙方工程师来讲已经结束了,而对甲方工程师来说,才是刚刚开始。
总结
今天就说到这里吧,还有几个方面的思考就先不写了,后面有空再来补充,如果你有想法从乙方转到甲方来工作,那么你是需要做一些准备的,首先要了解甲方都有哪些岗位,有什么样的要求,如何从攻击者思维转变为防御者思维,如何让别人帮自己干活,这是需要情商的,因为安全问题不只是安全工程师的问题,更多是公司参与者都可能涉及的问题,如何让别人配合你,消灭所有安全隐患才是对甲方安全工程师最大的考验。
自从信安之路成立,一路走来,从一个攻击者身份转变为一个防御者身份,记录了这两年的工作经历和一些心得体会,还有过程中学习的一些资料,都沉淀在来信安之路的知识星球,如果你有想法转变思维,想做一个防御者,那么一定要加入我们,这方面我的经历是可以提供帮助的