本文总结于九月份找工作之后，在小白成长群为小伙伴们分享的一点心得，本人会记录自己学习工作中的经验和思考第一时间分享于信安之路的知识星球，欢迎来星球给我提问。

之前的两周在北京集中面试了八家企业，其中包含了安全团队 20 人左右的互联网公司、没有安全部门的创业型互联网公司等，不同的公司需求也不太一样，所以总结了一些面试的心得。

未组建安全团队的公司

这类公司通常是因为存在一些安全痛点需要人去解决，比如：业务安全的问题，也有些是安全相关工作由运维或者研发兼职在做，然后需要一个专门负责这一方面的人去做，所以需要一个这样的人来填补空白。

这些公司如果去了，本身地位会比较低，需要一步一步的提升安全在公司的地位，压力也会比较大，做的事也会比较多，对于自身的能力要求会比较高。听他们说，有些大厂出来的安全工程师，去那些公司也不他合适，因为本身在大厂和乙方做安全的工程师，做的事情会比较专一，知识面有，但是没有太多的落地经验，他们也会觉得不太合适，确实现在的乙方安全从业人员都在向甲方靠拢，寻找甲方的安全工作机会。

对于我而言，之前做了一年多的甲方安全建设，也算一个人的安全部，自己说了算，然后做的事情挺多的，但是不成体系，与一些比较大的安全团队差距比较大，之前做安全建设，因为本身公司不太重视，然后对于安全的投入几乎没有，所以做的都是些不用花钱的事情，用一些开源的产品，自己写一些脚本，提升自动化的能力。

但是如果一个甲方想要做好安全这个事情，不花钱是不现实的，如果团队人数比较少的话，最好还是买一些安全产品来用比较好，不然会给自己挖很多的坑，因为开源产品是不用花钱，但是问题很多，得不到快速解决，而且出了事也只能自己担着，所以能买就别自己搞，切记。人多的团队，自研这个可以做，不然那么多人也没啥存在的必要了。

20 人左右的安全团队

对于这种团队来说，内部人员较多，角色分的比较细，招聘的岗位也比较专一，比如招 web 安全就是专门做 web 安全测试的、招移动安全会分 安卓和 IOS，所以面试的时候，也会根据你所擅长的来，不过应用安全招的人最多。

一个公司的安全团队，从组建开始，发展的初期，对于应用安全方面是最重视的，也是最容易被黑客利用的，也是安全负责人跟领导汇报，最容易出成绩的，所以对于应用安全的重视程度，目前来说，大部分的互联网公司都是非常重视的，招聘的岗位也是最多的。

现在都在说红蓝对抗，大家都在学习相关技术，但是在甲方公司，根本无法做到防御，能把边界守护好，应用做到安全上线，已经非常难得了，像红蓝对抗会涉及员工的个人电脑安全、内部网络安全、员工的邮件安全、域安全等，这部分基本上在中小公司都是空白，像 bat 这样的头部企业还有一些政府、军工类企业会对这方面做很强的防御，其他的公司心有余而力不足也。

红蓝对抗这种服务一般的公司也不会去购买，不买都知道放不住，像红蓝对抗服务针对的是那些对于整个防护体系很全面，用户上网通过统一出口代理，只允许 http 协议上网，而且流量网关做安全设计，个人终端使用云桌面，U盘口禁用，登录使用双因子，云桌面禁止白名单之外的进程启动，等等防御措施，边界守好，人员安全意识超强，个人电脑上网严格管控，外接设备严格控制访问，然后在不知道哪里会出问题的情况下，再购买一些红蓝对抗的服务才会更有效果。

总结

我也在思考对于我而言什么样的公司更适合我，想去做什么，越想越迷茫。不过在这个面试的过程中也在不断的学习成长，跟不同的安全小伙伴聊天也是可以互相进步的，也更容易认清自己，思考未来的路。

有些安全的负责人在面试我的时候，也会问我一些比较深的问题，刚开始没咋准备就去跟人聊，问的我是一脸懵逼，很久没去看那些 web 相关的细节了，以我这些年的工作经历来看，走的路线就是哪种知识面比较广的那种，而非几年时间就只做安全的某一方面的工作，所以去这种公司感觉不太合适，但是也不是不能做，对于甲方而言，真正工作的时候也不太需要你有多深的安全造诣，能够找出安全问题，提供安全解决方案，推动其他部门配合落地就可以了，如果企业的安全建设已经到了安全运营的阶段，需要做的是更新安全规则、做安全分析提取安全事件等，那么需要的安全技能就可能要很深才行。

面试其实就是一个互相了解的过程，如果面试官对你了解的话，可能不太需要问什么，相信你，如果对你一点都不了解，就会去问题很多问题，来确定你的广度的边界在哪，深度的底在哪，这样来判断你是否能够胜任该岗位以及给你定一个什么样的级别。

面试的一个小时很难将你的水平完全展现，也是需要一些其他方面的东西来辅助，比如写写技术研究的文章、挖挖 SRC 的漏洞、考一些 xxx 证书啥的，虽然没啥大用，但是对于忽悠那些不懂安全的还是很有用的。