长亭百川云 - 文章详情

乙方转甲方的职业痛点;安全产品经理的职业困惑 | FB甲方群话题讨论

FreeBuf网络安全行业门户

36

2024-07-19

乙方转甲方的职业痛点;安全产品经理的职业困惑 | FB甲方群话题讨论

各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 240期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。

话题抢先看

1. A同学:乙方安服转甲方应用安全,上升无望,只能做一个小兵蛋仔,日常的工作较流程化,应该如何规划下一步职业发展?

2. B同学:在乙方做安全产品研发两年,后转到甲方小团队里做安全开发一年,开发了漏洞管理、SOC平台等,自觉甲方安全团队自研能力不足,研究在安全方面和开发方面的增长都有限,应该如何规划下一步职业发展?

3. C同学:安全产品经理,已经换了几次工作,均是在乙方做安全产品,认为自己没有开发或渗透能力,会感觉经常被牵着鼻子走,并感觉做产品很难受,不是真的解决问题,很多时候是为了做而做的功能,希望自己能走出困境。

话题:聊聊职业规划与发展

场景一:安服转应用安全

A同学,在乙方安服一年,后转到甲方做应用安全SDL两年,包括业务上线评审、代码审计、渗透测试等工作。同时自己也挖挖SRC。
目前问题:上升无望,只能做一个小兵蛋仔,日常的工作较流程化。想晋升则做不出突出的成绩,想换工作但技术没有其它乙方的强,也没有其它甲方需要的安全建设能力。应该如何规划下一步职业发展?

A1:

最底层的渗透、代码审计,上升思维比较难,一共3年纯技术经验,下一步应该走审计路线提升认知和思维 ,或者走开发安全管理标准管理方向。

A2:

渗透是起步,好转岗,但是不能一直干,累不说,一眼望到头。

A3:

渗透不好转岗吧? 思维就圈在代码这个层次了,除非跳出代码思维技术思维。

A4:

建议了解CSO/CISO所需的能力,补足短板,特别是用业务语言沟通和管理层视角看问题。最好考业务相关的证书,在本公司上升无望就看机会换工作。而且可以在大甲方和小甲方之前互换,这样升职较快。

A5:

SDL、业务上线评审、代码审计、渗透测试等工作能深入研究,制作规范,保障落地,能做好就很厉害了。

A6:

这不会是真人案例吧,看甲方性质,偏向于国字头的,就老老实实跟着文件跟着人。如果是其他,尽量去大公司学习,然后往小公司跳,从0到1。

A7:

再换个甲方环境,会更能找到自己的定位。根据内容发现到了甲方做的还是乙方那些安全的检测,没接触到安全架构和管理,想走技术就跳互联网甲方,想晋升安全管理就要去碰到安全架构和框架。

A8:

我觉得,A同学当小兵,只是目前的一个工作状态,但是至少他属于一线的执行人员,在乙方安服的一年经验,以及接入的两年SDL工作经验,完全是可以继续把开发安全做好,并持续做Devsecops,是可以做到比较优的成效出来。如果再自学开发架构的知识,可以在项目的上线前,对架构做安全风险评估的。

A9:

甲方如果有体系化的安全建设的话大部分工作都是流程化的,在量化数据上确实不太好体现出来做的事情。

A10:

我觉得他这个上升无望,不是针对自己的职业的上升无望,应用安全有很多可以做的事情,只是他不做,他不想做,他想不到要做。安服都有一个执念,那就是渗透才是安全,所以才会焦虑(我之前也这样想)。

A11:

从问题描述中可以看出,此公司存在SDL等安全投入,至少对安全是有一定的重视,可以跳出技术思维,站在更高的视角看待安全,盘一下公司安全现状,比如,通盘考虑如何从技术侧保护业务安全:

1. 从研发全生命周期考量;

2. 从数据全生命周期考量;

3. 从业务流程考量(非软件侧)。

从上述三个视角切入,梳理并形成可执行性方案,往自己直属领导处提建议,后续就看领导态度。

A12

其实我觉得这个问题得分开看。晋升跟职业规划是两码事。我觉得A同学的迷茫还是自身能力和认知问题。
晋升是需要具备一定的能力的。这里IQ和EQ都很重要,IQ方面体现就是深度思考一个简单的工作也可以做出很多产出的。比如渗透测试,每个阶段深入研究都能做出产出。样本,方法论,工具等等。EQ方面就是向上向下横向管理等等。比如跟其他团队合作,利用其他人的能力一起做事情。跟领导沟通想晋级,有没有可以产出的项目。另外就是软技能,思考表达和项目管理能力,这个懂得都懂(这里有个点,如果向上管理成功就向上,不行就跑路)。
至于职业规划这个就大了,安全的方向又多,只提升技术会很难。我觉得还是做好自己目前的领域,成为领域专家,多多提升自己的认知和行业影响力。

场景二:安全开发

B同学,在乙方做安全产品研发两年,后转到甲方小团队里做安全开发一年,开发了漏洞管理、SOC平台等。
目前问题:甲方安全团队自研能力不足,漏洞管理平台也只是使用Django实现简单的系统,SOC平台也就ELK一套,研究在安全方面和开发方面的增长都有限。去乙方做安全研发别人会觉得技术不深,薪资明显落差,去其它甲方则还是做一些流程化工具平台的开发。应该如何规划下一步职业发展?

A13:

去乙方还不如转型当业务研发了,但是现在业务研发也不太好找工作。

A14:

做业务研发,人家觉得你不行,都没有大规模C端经验。做甲方平台/产品,可能好点儿,不过也需要是比较大的互联网企业。

A15:

现在好多安全部门一般也几个人,做开发目标性比较强,一般就流程实现了就行了。

A16:

问题是安全乙方,肯定更想找量大管饱的业务研发啊。

A17:

乙方初入甲方往往容易陷入一定的牛角尖,准确点说有过多责任心的人都容易让自己陷入牛角尖。简单说在某些事情上你认真对待,多数人打马虎眼得过且过,越想刷存在感,就越容易感觉没有存在感。学会换些视角、上升些高度看待问题,就会淡然看开很多。

A18:

安全开发本质是开发,所以要首先思考自己是要做开发还是安全。

A19:

有时候需要自己考虑很多,比方说对外说的时候,自己为啥做这个平台,平台能给团队带来多大的价值;有时候也需要自己做个闷葫芦,得过且过,对自己负责的模块负责,对自己负责的产品负责,对自己带领的团队负责,当然更需要对自己的身体负责。你如果老是盯着自己的同学、身边的大佬啥的,你不是给自己找麻烦么。学会给自己找不足,不是让别人否定自己。

A20:

甲方由于人员编制有限,所以不可能找很多开发人员,所以都是通过外包开发人员的方式做技术开发的。B同学可以先做好漏洞管理平台的定位,是作为资产管理?数据中台?漏洞工单?再根据规划好的思路,提出开发的预算,在人员配备完整的基础上,对现有产品做二次开发,引入第三方的平台,解决现有漏洞管理的不足。

A21:

甲方可能是永恒的归属了,乙方除了少数技术狂人可以拿到很好的未来,大部分最后能留下的岗位也是偏甲方的,制度与流程才是永恒的,开发只是开始,没有人能一直持有高强度的开发能力,但是对于流程管理、架构管理是越磨炼越有经验,这种知识是难以被淘汰的,推荐去甲方从流程化工具开发开始,到逐步理解流程,优化流程,最后开始自己制定一些流程,这样再次调到其他企业,就是妥妥的CSO了。

场景三

C同学,安全产品经理,已经换了几次工作,均是在乙方做安全产品。
目前问题:一方面自己没有开发或渗透能力,会感觉经常被牵着鼻子走,比如需求的评估是不是合理、技术的实现周期是多久等,需要别人帮助来评估指导,想学一下技术但花了很长时间也学不深入;另一方面感觉做产品很难受,不是真的解决问题,很多时候是为了做而做的功能,自己有很多好的想法却落地困难;本身自己喜欢做产品的,但是国内是否都是这样?应该如何规划自己的职业发展呢?

A22:

换了几次工作,工资涨了多少,能力的上涨可以从工资的上涨幅度上反馈出来。

A23:

把某一个安全产品研究透彻,了解市场上所有类似产品的差异和特征,特别是海外TOP产品白皮书。多和甲方沟通,了解甲方对于产品的痛点和难点。我见过某个大佬不会技术,另辟蹊径,他专门研究海外的英文文档,把体系化的东西映射回国内产品。

A24:

感觉C同学方向错了,没必要继续,停下来转身就是进步。

A25:

1. 产品经理的核心是理解用户需求并转化为产品方案,技术能力是加分项而非必备项;
2. 重点学习安全产品相关的技术原理、实现方式、优缺点等,无需深入到代码层面;
3. 与研发团队保持良好沟通,虚心请教,借助他们的技术、Expertise,完善产品判断;
4. 关注安全技术博客、论坛、公众号等,参加安全技术培训和研讨会,使用一些在线学习平台。

A26:

看到这个同学的疑问,突然觉得大厂的晋级制度有可取之处。看这位同学的描述,技术应该处于中级工程师的中间层,也就是能独立完成领导交接的任务也能做好。如果要继续干,可以尝试仔细梳理自己目前的工作和安全开发的技能树对比。仔细梳理工作中存在哪些问题,这些问题的关连点是啥,全部解决会有怎么样的效果,如何拆分和解决。如果要跑路就赶紧看看招聘,对比所需技能,恶补一下,自己尝试做个项目放到Github上。东西是死的,人是活的,不要想着用工作性质提升自己的阅历。

A27:

至于想法落地难的问题,虽然不知道这位C同学是不是在安全大厂,但是很多产品很臃肿,避免为了做功能而做功能,要多与一线安全人员、客户沟通,了解他们的痛点和真实需求,需要在功能、性能、成本、周期等方面找到平衡点,如果公司产品导向不符合个人理念,可以考虑跳槽到更注重产品和技术驱动的公司。

A28:

作为产品经理,没必要学开发渗透能力,产品经理要深入产品原理,方向错了就错了,深入理解了产品,再加上客户反馈,方向自然就有了。

A29:

职业规划还是和很多大佬说的一样,现在某一个细分领域成为专家型的产品经理,比如防火墙、漏扫或者威胁情报甚至大模型,积累产品经验之后如果不想做产品可以转型架构师,为客户提供定制化的安全解决方案,腾讯安全里面就有这类的岗位;最后积累了好的想法和资源,有底气的话可以考虑创业或者加入初创公司实现财富自由。

A30:

做产品首先需要自己是产品体验官,也就是要有丰富的产品使用经验的沉淀,才可以。多到客户现场走一下,深入地了解客户的实际需求,才能落地真正有用的产品,实际解决问题。现在我遇到的很多通用的产品,都是为了满足市场的需求先上,到后面有些客户就直接变成小白鼠了。我们曾经用过一款终端安全系统,当时号称市场覆盖率第一,但是到我们实际部署的场景下,出现各种问题,联系售后甚至400,都说他们之前没有遇到过,有些优化的需求,也是排期到很久。所以,我们引入一款产品,一定不能被忽悠,更多的是要缩小试错的成本,也可以参考互联网的经验。大公司的话,还得做好异构。

A31:

感觉这位同学走歪了,产品经理的核心技能是:市场分析和研究,项目管理,沟通和谈判技巧,UX/UI理解,数据分析等能力。感觉他遇到的问题都是这些能力不足导致无法落地。
看各位大佬说了这么多,我也简单说说,我建议这位小伙伴提升自己的"专业"能力先。比如被技术说这个事情,项目管理和沟通能力OK的话,可以开会沟通由开发主管来评估周期,自己跟进度和结果就行。专业的人干专业的事挺好的。
想法无法落地还是自己沟通表达能能力的体现,说明自己表达不到位,层次不清晰、跟公司主线不一致等。无法说服老板提升优先级等。当然实际情况可能有很多差异不太好做具体单方面的评价。

A32:

产品经理重在理解业务需求,也就是客户的真实需求,也需要一定的技术基础,至少对主流技术有一定了解,光从做好产品经理的角度来说,两方面都是需要不断扩展的。
但是从职业规划的角度,可以专一下技术给自己留条后路,毕竟一般的产品太容易被替代了,甲方转的产品肯定比你懂业务需求,技术转产品肯定比你懂技术,当然产品也有产品的沉淀,只是多项技术多条退路。

本周话题总结

本期话题围绕三位网安人的职场困惑展开。讨论认为A同学应跳出当前技术执行的局限,从提升综合能力和拓展视野入手规划职业发展。包括深化在SDL、代码审计、渗透测试等领域的技术专长,并探索DevSecOps等新兴领域,以增强个人竞争力。其次,提升业务理解能力,学会用业务语言与管理层沟通,站在更高视角审视公司安全现状,提出建设性建议。同时,加强项目管理、团队协作和领导力等软技能,为晋升和承担更多责任打下基础。

B同学应明确自己的职业定位和发展方向,是继续深耕开发领域还是转向安全管理。若选择开发,则需考虑如何提升自己的技术深度和广度,如学习更先进的开发框架、深入研究安全开发最佳实践等。同时,也要关注行业动态,了解新技术、新工具的发展,以保持竞争力。此外可以主动寻求在甲方内部的发展机会,若日后觉得甲方内部发展空间有限,B同学也可以考虑跳槽至其他甲方或乙方公司。在选择新公司时,应重点关注公司的技术实力、项目规模以及自己在团队中的定位和发展空间。

C同学作为安全产品经理,应明确职责,提升对安全产品的理解和市场洞察力。加强与技术团队和甲方的沟通,学习技术原理但不需深入代码。提升项目管理、沟通和数据分析能力,确保产品顺利落地。规划上,可专注细分领域成专家,或转型架构师、定制化解决方案。同时,学些技术基础为后路。

近期群内答疑解惑

Q:非安全开发的安全人员的编程能力,一般要掌握到什么程度才算合格?能独立开发安全系统?

A1:

能独立开发一个简单系统吧,否则涉及到开发安全就会懵逼。

A2:

会开发简单系统也不够,碰到安卓/iOS的开发安全还是会懵逼。

A3:

那个是App安全吧,基本上会安全加固就行,要不然哪里有那么多精力学,一个反汇编想搞精通,就能要了半条命。

Q:大家数据库有加密么,用的什么技术加密呢?

A1:

数据库硬盘加密了。具体到字段的话,敏感数据已经勒令研发AES加密了。

A2:

这样就不担心硬盘被拔了。

A3:

硬盘加密只是防物理丢失。

A4:

在公有云上,物理也丢失不了,只能逻辑拷贝。

A5:

敏感信息和重要数据肯定是分类分级,加密存储,打码展示,业务上做加密,不是数据库做加密。

Q:大佬们有用GitHub Copilot的吗,会不会有什么安全合规风险?

A:

贵的那款还行,便宜的那款肯定会上传代码的,一定会有风险的。微软卖Business的时候就明确说了。只承诺Business版才不会上传你的代码。

Q:有没有好用的全端口扫描工具?

A1:

Goby还行。

A2:

Goby全端口不行,有缺失。

A3:

端口扫描必须 Nmap 啊。

A4:

都差不多,基本上都是Nmap,那种设备扫描也是用的Nmap。

A5:

Goby界面看起来舒服点,扫描原理都一样,都大差不差。

Q:针对领红包的营销活动,安全防护措施都有哪些,根据领红包活动不同情况(如活动预算成本和活动次数少、活动预算多、次数多等等),如何设计一个安全方案,主要考虑安全项目成本投入问题,和业务达到一个相对平衡?

A1:

必须微信登录,确保PII,参与用户身份的真实性。对于超过XXX元的大额红包,增加手机短信验证码或多因素认证。此外人数上限、金额上限、人均次数上限,禁止外挂。

A2:

HVV电台话题征集

一年一度的护碗即将开始,各位赛博保安准备好了吗?

听说有蓝队已经在全国各大机场火车站出口,对背着电脑包疑似红队的进行流量排查......

也有落榜生已经转战某团众包......

这次,你不再是一个人,知识大陆电台等你来聊!

下周,我们将上线HW专题,

AI变声+匿名,

没人知道你是红队眼中只会封ip的猴子,
还是蓝队眼中只会用扫描器的吗喽,

不吐不快,大胆畅聊!

扫码即刻入场

你有HVV相关疑问,可以填写表单,我们将在下期话题为您答疑解惑!

表单链接:http://sdj7kmq3evmbkio2.mikecrm.com/EiGIHuA

甲方群最新动态

上期话题回顾:

内存马如何查杀;项目中如何施行安全三同步

活动回顾:

碰撞AI安全的火花,探索企业安全建设新路径 | FreeBuf企业安全俱乐部广州站

活动预告:

议题全公布 | FreeBuf企业安全俱乐部·北京站

近期热点资讯

并购新纪录!谷歌拟豪掷230亿美金震撼收购Wiz

Cisco曝超严重漏洞,黑客可修改管理员密码
因白宫禁令,卡巴斯基彻底退出美国市场
1.1亿用户数据被窃后,AT&T向黑客支付了37万美元赎金
GitHub 令牌泄漏, Python 核心资源库面临潜在攻击

FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!

【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】

注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员

“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1300+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2