Intro
最近面試了一間外商區塊鏈公司Security Engineer的職位並且順利拿到Offer
來紀錄(炫耀)一下這場大家口中甲方面試的經驗
My Background
現職:Application Security Engineer 學歷:美國Computer Engineering碩士 經歷:
- 7 年工作經驗(As 2023),資安經驗占5年
- 證照:OSCP / OSEP
- Skills:
- Penetration Testing
- Application Security
- Malware Analysis
- Reverse Engineering
雖然寫了這麼多擅長領域,但每種技能樹都不能算是非常完備
舉例來說 -
- 以逆向工程來說,我沒有碰過Windows driver底層的惡意程式
- 以滲透測試來說,我沒有待過乙方公司,只有接過滲透測試的案子
- 以Application Security來說,我經驗尚淺,所幸遇到同事很願意教我相關知識
綜觀以上,可以發現我貌似碰過不少東西,但是深度就有待加強
為了解決這樣的問題,目前我的目標算是放在把Application Security這塊技能樹多點一些,而不是嘗試一個新的領域
另一方面,甲方能夠接觸到的內容 與雜事,或許有機會比較深一些
在經過原公司一波三折裁員與Re-org,我的工作比起剛剛進來多了許多
目前的工作基本上會碰到SSDLC每一個環節,跟組員進行以下工作
- Threat Modeling
- Secure Code Review
- Penetration Testing
- Remediation
- 主管交辦的雜事
- 回覆Developer的各種問題
- 統計一些組內數字
面試流程
這間公司的面試,我從外面聽到的回報感覺算是相對較慢
但是以我自己的經驗,速度其實非常快
而且關卡也不少,前前後後總共面試了七位面試官
由於許多面試官人在美國,所以有不少面試是在晚上進行的
- 技術面試 x 2
- 直屬主管 & Director
- PM
- 其他部門Director x 2
最後的面試結束過兩天,HR就說Proceed,整體感受非常快速而且相當專業
意料之外的事情
在跟人資接洽的時候,我原本以為這個職位是偏向Senior的等級,不需要帶人
主要專心在技術層面像是Code Review,Penetration Testing
但隨著面試進行,我發現面試官更看重的是溝通技巧以及流程大方向的掌握,不僅止於所謂的"技術能力"
首先,背誦的考題其實很少(定義SQL Injection這類),更多在技術面試遇到的問題類似像是
- “你怎麼設計一個安全的Login”
- “我需要一個XXX功能,你會怎麼給developer建議”
- “你在做Secure Code Review,都會看些什麼類別”
再來,面試中有很大一部分,其實是在考驗你的溝通能力
幾乎每個面試官都會問一些情境題
-
“如果你找到個漏洞,Developer拒絕修理,你該怎麼做?”
-
“你怎麼定義一個漏洞的嚴重程度?”
意料之外的,這類問題反而是面試的主軸
面試準備
在面試之前,我有稍微梳理了一下現職的工作流程
也有惡補了一下面試常常被問的東西
- OWASP 10
- Network Security
- Security Design
不過到了最後,考最多的還是SSDLC流程/Secure Design
背誦的東西你隨時可以翻書/找Youtube/問GPT
或許每間公司的文化不一樣,我也遇過很多就是愛讓你回答背頌題目的面試官
但是這間公司問的題目,我個人認為我的回答都是依靠在工作的累積,而不是死記硬背
問問題的方式相當活
薪資範圍
這個職位(應該)算是非主管職資安工程師相對高的Package
至少我自己算滿意
一方面是因為公司是做區塊鏈,可能本來就比較大方
當然要跟豬屎屋的天價薪資相比,我就是個窮人lol
Package分為三部分
- 底薪
- Bonus
- RSU (尚未上市)
不過未上市公司基本都當作是廢紙
Take Away?
一個能夠獨立作業/跨部門作業的資安人員不僅僅需要技術能力
溝通能力(或許)也是非常非常重要的一環
你超厲害,但是你不知道怎麼把你找到的漏洞講解讓developer聽懂
那麼你超群的技術仍然無法轉換成結果
滿有趣的地方是,許多面試官的技術能力相當高,基本上是海放本魯
在這次應徵中得到了不少很不錯的feedback包含
- 我的經驗廣度不錯 (暗示沒深度? 我認了)
- 隨著年資增長,可以嘗試更以框架性來看待你的工作
或許有一天,我有機會能夠把技能樹點更深更廣一些
最後的感謝
現職的這份經驗,有聽公司裡面的人說是不錯的跳板
我也很幸運地在裡面遇到相當樂於教學/分享/不怕被我雷的同事以及主管
同事每個都很Carry
以一個沒有 Application Security 經驗的菜鳥,在這邊學到了相當多
不只是技術能力,而且在溝通以及帶人都有機會讓我涉獵
最後想感謝的是家人,家人的支持是我繼續前進的動力以及根源
身為有小孩的宅宅,沒有家人龐大的支援,是無法好好學習這些東西並且走到今天這個地方的