某世界500强全球云服务招聘资深安全专家、安全产品资深研发

2016-03-10 22:08:33 ayazero 互联网企业安全

全球性云服务,几百亿至千亿美金业务规模,完全的互联网氛围,兼具体量和成长速度,体量决定安全的舞台有多大,能做的事情有多少。业务本身的成长速度则是安全从业的投资回报中最大的红利,安全体系建设的目标是对标业界最佳实践:态势感知、威胁情报之类的我们都玩,我们承认自己不太勤于参加那些营销性质的活动,但是更加追求这些名词背后的实质。

因为是全球性业务,所以不只是对标国内的最佳实践,更会参考全球互联网领域的最佳安全实践,这个目标并不是用来激励团队或者向上鼓吹业绩的口号,而是实实在在的KPI,这也使得挑战也是实实在在的,当然坦诚地说我们也不会只寄希望于少数个体来完成这个目标,而是借助公司这个全球化平台上的各种资源,以及各个团队(我们的安全团队有很多个)来共同完成这样的任务。

在这里你有机会与国际知名企业的安全专家一起工作,也很容易有机会参加blackhat、defcon、RSA等各种海外安全大会,当然更重要的业务需求和安全投入决定了你能玩很多前沿的东西,更能经历安全体系,包括高成本的纵深防御体系从0到1建设的全过程。关于有些人所好奇的环境和福利等问题,可能公司比较低调,不太宣传,但是真的不用担心。

以下职位的经验要求和薪酬待遇不方便直接写数字(内部合规性要求),但可以参考阿里P5-P9,腾讯T2.2-T4.1,百度T4-T8,大概是这样一个水平区间。

目前可选工作地主要为:上海、深圳、南京 ,非高端岗位非特殊情况一般不面议其他工作地。

为了降低简历投递的门槛,以及不将岗位划分的过细,所有JD均不写太细,如果自认为某方面比较牛可以无视JD直接投简历,因人设岗也不是没可能。

1.攻防相关类

主要几个方向:

渗透测试,web/app应用安全威胁建模,代码审计,安全产品运营(编写和优化WAF/HIDS/RASP/扫描器……规则)

这个大类里有点门槛的几个方向:

web/app产品安全性设计/用户平台安全架构设计,访问控制体系/入侵感知体系/运维安全策略类设计,根据业务场景提炼防御模型并组织成具体可落地的安全实施方案;

二进制流也需要:挖洞并非第一需求,架构和安全特性设计占了较大比重,要求熟悉现代操作系统设计与实现,熟悉android/ios安全机制和安全体系,熟悉TPM,了解移动端安全生态。

相对有点特殊的:

SRC运营,行规,妹子优先

2.安全开发类

偏前台,agent和系统功能。

安全产品开发:linux下的c/c++,有能力修改系统命令、共享库的源代码或直接给ELF文件加“外挂”来实现安全功能;

或熟悉各种流行语言的运行时环境(语言虚拟机例如Zend和JVM),能利用虚拟机API接口添加深度安全检测功能的;

或熟悉网络高并发IO模型,能给nginx这样的开源程序写流量分析模块的;

如熟悉linux kernel,具备在内核态修改系统调用等经验则更具竞争力(自己写rootkit玩的不算,必须是线上稳定运行的产品)。

如果你有相关的经验你肯定能猜到我们要做什么,如果你功底很好但不能在第一时间明白要做什么我们也愿意跟你做初步交流,如果你的真实想法是想知道安全体系该如何做而不是来谋求职业发展,我建议你把日程往后排,最近真的有点忙。

偏后台类

熟悉主流的大数据平台,例如hadoop及其替代技术storm/spark等,能使用java/scala/python实现基本的算法以及正则表达式过滤。

稍微有点要求的:熟悉大规模服务器集群,跨IDC部署环境下的海量日志收集,实时数据处理,对性能优化和数据量裁剪有经验的。

对算法要求比较多的:熟悉常用的机器学习算法,例如聚类算法解决海量IDC不同业务场景下的入侵感知数据分析,能利用机器学习和统计学算法解决业务安全、风控领域的常见问题;

同样,如果你有这块经验一看就明白,JD写太多行意义不大。

3.隐私保护类

要求熟悉各种安全标准,若熟悉欧盟隐私保护法案则更佳(该职位工作地仅深圳可选)

以上所有的岗位职责跟我谈,坑也不是无限的,先来先得。

所有简历请投递至:ayaz3ro@qq.com 注明来自微信公众号
,来者必回。