那些年走过的信安面试路续：我的甲方应聘之旅

*本文原创作者：zhukaiang7，本文属于FreeBuf原创奖励计划，未经许可禁止转载

前言

上一篇文章（ 那些年走过的信安面试路 ）之后我特地关注了一下评论，评论里的github链接总结的面试技术题目很赞，有兴趣的可以去学习下。

写文章的主要目的是为了分享面试的经验，让green hand少一点弯路，多一点套路，顺便骗一波稿费。

望所有人都可以在有生之年，

升职加薪！

迎娶白富美 ！

走上人生巅峰！

俗话说得好，“自古深情留不住，唯有套路得人心。”

第一步：当前社会分析

在笔者看来，不管什么行业，跳槽的大部分原因就是自己当前能力与当前薪资不匹配，或者当前岗位未来发展没有期待且没机会转岗甚至当前公司发展看不到一点光明。

说句实在话的，企业和员工都是各取所需，这个世界离了谁，地球都会转。

经常听到应届生，抑或是刚入行的兄弟们说，缺不缺人，工资不给都没事，主要是能进公司学习。

What a joke.

大公司会在乎你那几K的工资吗？进公司就是给公司压榨的，学技术只是顺便的还要看个人学习能力。

当你简历上写了经历的公司太多时。

某些HR会说，你跳槽太多了，虽然你技术面都过了，但是我们不能要你。

呵呵一笑，可能在她的角度有道理，但是反问一句，如果你企业很优秀，对待员工也不错的话，你会担心员工跳槽吗？

第二步：内心挣扎

抛开招聘JD（岗位介绍），我们直接来谈甲方面试的时候会问到的问题，在这次面试前我就准备放弃了。

然后招聘我的人苦口婆心的劝了一波：

第三步：准备心理战

甲方的面试跟上次我写的可能出入有点大。

这次准备我只能另辟蹊径。

对比甲方与乙方，公认的甲方安全人员懂得东西要更多，乙方安全人员懂得东西要更精。

所以首先我们需要把自己包装一下，就像第一次跟妹子见面一样。

我会先美美得洗个热水澡，再敷个面膜，涂点BB霜，然后喷点香水，弄个发型再出门。

毕竟论成败还看那一夜。

所以先来提提如何增加自己的闪光点。

1.安全培训

我们招个人进来，他能不能给我们的员工进行安全培训？所以你一定要能说会道。

如果你做过培训，你就讲你给多少人讲的，在什么地方，面对的听众是谁，可以往规模翻倍的讲。

如果你没做过，你可以说你给公司内部做过技术分享，给多少人讲的，在什么地方，可以往规模翻倍的讲。

带过好多新人，培训过好多安全知识，等等。。。

2.安全合规

也就是等保。

稍微看过信息安全等级保护的人都知道，分五级，级数越高越重要。

所以当面试人员问你有没有做过等保的时候，不管你做没做过，直接说做过。

因为等保技术含量不高，甚至会有专门机构配合你，问题不大，到时候临时抱佛脚也能完成任务。

如果做过就直接叙述自己的项目经验，自己的收获和感悟。

3.报告书写

众所周知，在甲方，日报、周报、月报、季度报、年报各种报告写出来。

因为这是准备给领导心情好的时候看的，所以写报告的能力一定要强。

所以我会想办法表现出我擅长写报告的美男子。

第四步：猜测甲方的需求

我猜测招人的主要目的是：

1.SDL安全开发生命周期：

设计-实施-验证-发布-响应

2.代码审计：

Fority SCA

RIP

3.安全设备运维

大致三点要求。

细致想想其实并不简单，甲方工作了那么多年的大佬头发都掉光了也不敢说自己都精通。

第五步：面试时刻

招人的人肯定不会想招一个比自己牛X的人，把自己比下去，所以第一心态不要担心自己太菜。

面试我主动带节奏，主要叙述了提前准备的2大点。

1.第一大点

我跟面试官说我经常做应急响应（ https://xz.aliyun.com/search?keyword= 应急响应）《《《===实际操作 可参考

我简单叙述了我会如何做：

1.公司的资产收集；
2.安全动态固定输出；
3.应急方案方案的提前输出；
4.修复指南的输出；
5.给公司人员传播信息安全理念。

围绕规范流程来理解（PDCERF）：

准备 – 检测 – 抑制 – 根除 – 恢复 – 跟踪

2.第二大点

又讲了我对乙方整个项目的把控：

1）熟悉项目现有情况，接头人工作需求；
2）实施入场；
3）信息收集：资产清单，网络拓扑，各应用接口人，安全防护手段和设备，安全管理制度规范；
4）对资产的安全服务：漏洞扫描，基线核查（默认配置不安全），渗透测试（白盒，黑盒，灰盒），漏洞整改（安全加固），风险评估，漏洞预警，应急响应，应急演练；
5）安全培训（针对CTF，安全意识）；
6）迎检；
7）验收项目文档梳理。

3.面试官的提问

最后讲了我在各种项目的渗透案例。

面试人主要问了我：

1）我们做安全的项目时跟谁对接，是开发还是安全团队还是运维；
2）secure doc的了解；
3）边界安全SOC的了解；
4)  数据安全加密的了解；
5）owasp top10常见漏洞。

其实当他问我简历上阿里云先知是啥的那一刻，我就觉得这次面试OVER了，应该是非安全领域漏洞挖掘的面试官，没啥共同话题。

聊了一个小时。整体都是围绕安全整体规划来讲，涉及到的渗透测试技术点较少。

第七步：后记

没有电面或者视频面的面试都是耍流氓。这一次主要吃了守诺的亏，JD上没有重点，对方对于我的简历也没有认真看，最终浪费了彼此的时间。不过也不后悔，以后跟客户谈安全又多了一点思路了。

这次总结的蹊径也以失败告终，大致总结了一下原因：

银行的编制有限，招人的目标应该是薪资可以稍微提高但是能力必须是全才又特别擅长安全体系建设的人，而我作为一个菜鸡儿再怎么套路也没用。

这一篇也是我面试套路的完结篇，希望以自己的一点小经历，给读者们一点点帮助。

*本文原创作者：zhukaiang7，本文属于FreeBuf原创奖励计划，未经许可禁止转载