自驾南疆大环线
自
安全从业人员如何选择公司
安
我们都知道选择比努力重要。在人生中,我们不断面临大大小小的选择,而选择下一家公司则是其中最重要的之一。这个选择将关系到你未来几年甚至整个职业生涯的成功与否。不论是技术能力、管理经验、薪资水平,甚至与另一半的关系,都会受到这个选择的影响。选择一家合适的公司将让我们在接下来的几年里获得事半功倍的成长。 业务对安全是否强诉求 在选择公司时,如果只保留一条原则,最关键的一点是要考虑公司业务对安全的强诉求程度。 那么如何判断公司业务是否对安全有强烈的需求呢?从安全的角度来看,几乎所有公司都有敏感数据,都会提供网络服务,都需要安全人员来保护。然而,实际情况往往并不像我们期望的那样,尤其在公司快速发展的情况下。在业务对安全非强诉求的公司中,安全部门往往被视为支撑部门,一旦公司面临困境需要裁员时,安全部门往往是首先被裁减的部门。同时,从资源投入的角度来看,这类公司对安全的投入相对较低。...
理解网络安全行业现状
理
行业处于起步阶段@2019 现代网络安全行业发展的时间相对较短,许多企业由于资源投入和建设时间限制,导致安全建设的广度和深度还有挺大提升空间。甚至一些国内大厂的安全水平可能并不如我们所想象的那样高。很多企业的安全水平仅能够对抗一些初级白帽子级别的攻击,而面对专业的黑客团伙持续定向攻击,大多数企业则无法有效防御。在HW以及各家SRC的数据中能反应出目前的安全状况。 从业人员薪酬起步高上限也高 由于安全行业起步较晚,安全人才供不应求,导致安全从业者的薪资水平不断攀升。在所有行业中,互联网行业被公认为薪资最高的领域之一,而在技术类岗位中,安全工程师的薪资水平更是普遍高于其他技术人才,与当前发展迅猛的AI行业能一较高下。优秀的信息安全本科毕业生可以获得每月2万到3...
辅导新人快速落地
辅
使新人快速融入团队 新人进入一个新的环境,首先应该帮助他快速融入团队。作为主管并不一定有足够的时间去辅导,同时他也会有很多事情并不一定都愿意来打扰主管。为他安排一个靠谱的师兄,能够在融入过程中起到很大作用。 师兄除了在做事过程中辅导同学,同时也可以作为生活中的帮手,带新人熟悉公司环境,让团队的人尽早认识自己,了解自己的背景也有助于后续的工作开展。但同时要注意,一方面可以突出自己之前的经验,但同时这些经验在后续的工作中也可能成为自己的拖累,尤其是从小公司到大公司会越加明显,原有的经验不一定现在还管用,需要调整好心态。 想要更好的融入一家公司,最好的办法是从最开始的时候一起经历。既然错过了开头,那就需要去了解,了解这家公司的业务、历史和文化,去适应这家公司的文化。同时也要去了解以后每天会一起工作的团队同事,了解每个人的背景和当前的职责。 为新人确定试用期目标...
Log4shell(Log4j2 RCE)
L
Log4j2是一个广泛使用的Java日志框架,允许开发者通过简单的方式记录日志。该漏洞被标识为CVE-2021-44228,通常称为“Log4Shell”,通用漏洞评分系统 (CVSS) 评分为 10,其影响范围极广泛且能造成严重后果,是有史以来最危险的漏洞之一。 Log4j2主要有两个模块log4j-api和log4j-core,log4j-api是公共接口模块,主要用来定义日志的格式。log4j-core是核心实现模块,提供具体的日志记录功能。log4j-core依赖log4j-api。Log4j 1.x在2015年停止了维护,提到的Log4j默认指2.x版本。 漏洞产生的核心原因在于记录日志中提供了JNDI功能,如果日志内容中存在JNDI LDAP,Log4j会连接该服务器并下载恶意对象,通过反射机制来实例化该对象并调用其方法。 <dependencies>...
如何设定网络安全目标
如
恰逢半财年,又到了绩效目标设定的时候。上周给其他团队安全同事们分享了在网络安全运营指标制定的一些想法,得到了比较好的评价。想着整理下思路并分享出来,与各位探讨,不一定适用于每家公司,仅作为抛砖引玉希望能有一些帮助。由于时间仓促,如有错漏还请指出。 一个好的目标是事情成败的关键,在出现需要抉择的路口能指引我们朝着正确的方向去努力。 目标来自哪里? 首先我们需要解决目标来自哪里?很多情况下我们面临的问题是不明确的,老板的要求是不具体的,需要我们自己去寻找目标。 多数情况下,我们的目标来自于上级老板目标的拆解。要拆解老板的目标,首先得理解上级方向、目标和策略,找准自己团队的定位和独特价值。与主管对焦其目标背后的意图,同时也需要了解各个横向团队和上下游的的规划,以及回过头看看做完这些事情对实际关键风险能起到控制作用。...