最近在招人,面了一些应届生或准应届生。在面试的最后,我经常会问,有什么想问我的吗?这次比较有意思,候选人大部分都问,请问我该怎么继续学、我还有什么地方需要加强或你对我有什么建议吗?
不知道什么时候开始,现在的安全研究员有点不太敢想了。也有人可能说,这是因为现在网络比之前安全了,导致安全研究员怂了。但是从我自身观察,网络可能没有变得更加安全,在大家看不见的地方,各类安全事件还是频繁发生。这也反映了一个问题,那就是安全研究员不能仅仅依赖于外界的评价、预期来判断自己的能力和潜力。在我对我们实验室新人培养的时候,我从来不会跟他说这个工作有多难,而是说业务的细节,这也让我成功引导我们的应届生毕业论文选择了rasp这个方向,如果我开始就说了rasp有多难,那他们自己就先打退堂鼓了。
安全行业是一个竞争非常激烈的领域,在这样的环境下,外界的评价和业界标准往往会影响我们对自己能力的认知。因此,除了关注这些评价和标准,更重要的是要有自己可靠的信心来源。例如,我个人更看重在数据分析方面能够得出的直接和有用的结果,而不是过分依赖他人的评价。
在大学快毕业的时候,我曾经给自己定了一些目标,例如入侵topX以内的所有公司。为什么我要这么做呢,因为那个时代,只有入侵才能证明一个人的能力,如果我没能力入侵xxx,那你怎么说我是一名黑客呢?当然,入侵的这些地方,漏洞我都交给他们的src了><。这样的目标设定,虽然现在看起来有些极端,但它至少给了我一个明确的方向和激励,让我知道要朝哪个方向努力。
也有人会说,挖洞吗?谁都会挖。我当然定的不是这种水货目标,我定的是打到内网,拿到核心数据,这才算完。
回到给应届安全研究员建议的这个问题上。如果真的想让别人刮目相看,你至少得整点狠活。狠活,如果不知道什么是狠活,那就自己收集一些近年来各大安全会议的ppt,选一些自己觉得很牛的当作狠活的参考。当然,狠活不仅仅是技术层面的,还包括如何与团队合作,如何高效解决问题,以及如何在压力下保持冷静。
在面试官,用人单位的角度来讲,招人实际上在做某种工作的补充。拿安卓逆向来说,某些公司招聘这个岗位往往是为了进行竞品分析。具体来说,他们想通过逆向工程来了解竞争对手的产品特性和优缺点。更深层次是要监控自己的服务商在签了2选1协议以后,是不是跑到友商又赚福利去了。
所以这个工作,除了考察应聘者在逆向工程上的广度,例如潜在竞品、优势竞品和直接竞品的应用逆向能力,也会重点考察他们对能力深厚的直接竞品防御体系的对抗能力。通俗来讲,你能不能在出问题的时候迎头而上。这也意味着,作为应届生,你不仅需要有技术能力,还需要了解业务逻辑和市场需求,这样才能更好地融入团队和公司。
很多公司招人的时候,都会写有XXX排名、CVE编号、XXX证书等优先,这个其实在服务市场行为。如果大家分析过安全行业的招标文件,你们就可以发现,CVE编号也可以成为一个招标参数。CISP、PMP、CISSP、OSCP四证合一的项目经理正成为安全行业招标参数中的天选之子。工作,要服务与市场,市场要什么,工作也要做什么。如果说你是做web的,我在招二进制,咱们俩肯定不会产生什么共鸣,你也会有面试挫败感。
资格证书可能是一个加分项,但它绝不是决定因素。雇主更看重的是你能为公司带来什么具体的价值,你在过去的项目中有何表现,以及你的问题解决能力如何。资格证书可能能帮你打开面试的大门,但走进去之后,你需要用你的实际能力来证明自己。
面试不仅是公司评价你的机会,也是你展示自己的平台。面试时问的问题,可能就是你以后的工作。对于我来说,学习是第一位,所以我经常问一个人怎么学习。其实这是在考察你的学习能力上限。如果一个人只是看看安全咨询网站,他接触的可能都是二手信息。如果一个人加了漏洞百出、代码审计、赛博回忆录等知识星球,他就可以接触到一手的安全信息。如果一个人英语很好,跟安全研究员们谈笑风生,那他可能就是一手信息的来源。所以,记住,面试考察的不仅仅是技术能力。
还有就是,我建议候选人更直接一点,直接问面试官现在有什么难题需要解决。因为我每次换工作都是这么换的,有没有需要解决的难题,没有难题让我解决我也不想来。
在这个快节奏的时代,不仅要有出色的技术能力,还要能快速适应不断变化的市场需求和业务环境。拿到面试的机会是第一步,如何让面试官记住你,并确信你能为公司带来价值,才是关键。
最后,有兴趣的可以关注下方的招聘信息。