天博 > 天博文化 > 天博活动 > 天博文化
天博活动

天博渗透测试团队的技术评价说事儿

时间:2020-03-21   编辑:admin

  天博天博官方网站

  首先,这不是招聘广告,我们不招目前正在规划中的人。当我们设计这项技术的评价体系确实,以查看了大量的工作,但也发现了一些渗透测试工作的招聘信息是千篇一律的内容,初中或高级安全工程师工程师渗透是否似乎如此之少,我们做了一些的内容这篇文章更适合设计不同层次的渗透测试工作的招聘信息。

  背景

  在渗透测试团队建设的开始,工作人员可以更小,甚至有可能是一个人的球队,这一次只忙着做项目,做应急,单独写程序就行了,没人能有什么表现评估的基础上,你的工资一般是发际领导高度上的一组。

  但随着越来越多的人,每个人都擅长的方向和领域也有所不同,这个时候要每个人 - 是有一定难度。也有人说,科技工作付出这么好,只要技术肯定是高的,说的技术能力和良好评价的技术岗位,但付出是不是技术层面更多,并且还积极性,饱满度,贡献等。,但说好技术能力评估估计是没有仔细考虑,例如,你可以说更多的孔渗透测试项目挖更加突出,但你的评价如此之强也有点比别人牵强能力。

  基于这些考虑,我们内部的团队开发出的技术渗透测试团队一个评级系统,供大家参考。

  因为我们所从事的技术背景,没有工资和人的经验,制定了评分系统只从技术角度考虑,那肯定是一些不合理的,大佬们不要笑~~

  评分原则

  我们开发的评级系统原则如下:

  这是设计技术评价体系的核心。作为一个小的启动渗透测试小组(一个十几人的规模,和水位都比较厚道,所以这种机制可能并不适用于大型团队或实验室),我们需要一个透明的,自动化的机制,确保技术评级这个敏感问题(直接链接到他们的工资)尽可能在公平。

  毕竟,创业团队,我们还处于发展的初级阶段,所以气氛也是一个很好的技术,可以指导你可以学习更深的可以走的更远,尽量避免一些人满足于工作后做项目对于数年,技术较为一般生长缓慢,但老资历将不得不抑制一些新人的能力时薪。而一个良好的评价考核标准可以更好地指导你到更高的技术水平。

  当我们在设计指标已经讨论了提供可以量化,以确保内容不是很宽或模糊的内容每次评估,尽量让大家在课堂上可以申请鉴定,以根据自己的工作相匹配的项目。

  我们不仅评级这项技术给最终球队的分类,我们将结合个人绩效考核(参与重大项目数量,项目质量,报告的质量,做工丰满,热情等。)年度业绩,确定会员可享受。绩效考核是绩效考核内容的月薪,将会对成员的月收入有一定影响,但我们今天讨论的不是重点。

  范围

  在快速成长的团队,能力和变化程度的成员是比较大的,新员工的情况下,以赶上老员工比较普遍,这时候就需要有一个良好的技术等级标准来衡量合适的技术以提高评估。

  每个级别都有不同的10条评定规则,这10条规则来衡量的整体水平的人的肯定比较片面,天博所以我们尽量挑选一些比较有代表性和普遍的技术角度,员工或领导是否认可:如只要能够达到这个水平的个人能力代表相应等级。

  每个级别10度的要求都是经过仔细的筛选,这也算认识,使信息可用于设计工作或面试主考官的不同技术方面。

  评级方法

  目前,我们要求会员将适当的技术水平时,在每个级别需要规则第10条评估能够满足7及以上。

  此外,它允许大约级别适用条款,如准备申请T3阶段T2的成员,T3可一些入学要求没有得到满足,但他有一些必需的物品T4,那么他也可以使用一个或多个T4的缺乏时间来弥补所需的项目T3应用。

  评分规则

  我们将测试技术穿透能力区分七个级别,因为我们的队名是汰渍,所以我用了T取代的各级鉴定。此外,我们的能力“来形容”这是描述了一些阿里提请水平P级?

  再次,因为我们属于创业团队,所以相对较低的水平,这个水平评估的水平,我们可以看到,用得上,付出是容易系列,传递的时候,看看就行了玩笑酋长(> _ <)

  等级设计为:鲜实习生,Web安全初学者

  年要求:0--1年

  薪酬水平:6K-8K

  技能要求:

  1。熟悉网络安全知识的网络安全,移动安全和另一端的网络安全法规和行业标准的理解;

  2。熟悉国内外主流安全产品和工具,如:Nessus的,Nmap的,天线加权向量,打嗝,Appscan能够等;

  3。它可以更好地完成渗透测试程序开发,文件的准备;

  4。该测试可以通过一个测试来执行;

  五。有较强的学习能力和钻研精神;

  6。熟悉各类操作系统和数据库常见的安全漏洞和风险,熟悉的OWASP TOP10的;

  7。熟悉各类网络安全设备,系统,如防火墙,VPN,IPS,WAF,防火墙,网页防篡改系统;

  8。有一定的编程基础,了解或熟悉C / C ++ / Perl的/ Python的/ PHP /启动/ Java等开发语言;

  9。良好的沟通能力和语言表达能力;

  10。拥有自己的博客,Github上,安全戒指等。;

  等级设计:独立完成项目,具有一定的漏洞挖掘能力,应急能力

  年要求:0--1年

  薪酬水平:8K-10K

  技能要求:

  1。熟悉的Web安全技术,掌握网络安全漏洞的程序和预防措施,包括SQL注入,XSS,XXE,RCE等安全隐患的原则;

  2。可以逐项进行了深入的测试案例的测试,测试的所有谅解备忘录的脆弱性,并能进行测试;

  3。熟悉至少一种编程语言C / C ++ / Perl的/ Python的/ PHP /启动/ Java的,等。,可以是脚本,写或重写脆弱性验证POC;

  4。熟悉Linux和UNIX操作系统和主流的主流数据库(SQL,MySQL和甲骨文等。),并有渗透测试的能力;

  五。你可以巧妙地内置无人机和复制的脆弱性,并有文章总结超过3个输出;

  6。在企业SRC平台主要平台的安全漏洞,并提交bug;

  7。处理过的木马,病毒,入侵,网络攻击等安全事件的经验;

  8。高风险漏洞和利用技术的原则,相关技术文档的书面总结;

  9。包括WEB /应用(Android)渗透测试,检测数据隐私,安全评估,增强安全性,应急响应,安全性和交付能力护送实施例;

  10。还有一些研究经验CTF游戏网站的主题,了解加密和解密优先。

  T3(中级工程师)

  等级设计为:专业安全领域

  年要求:1年以上

  薪酬水平:10K-14K

  技能要求:

  1。天博一个熟练的使用Perl / Python的/ PHP /启动/ java中,快速POC自主研发,如爬行动物,裂纹类脚本;

  2。WAF绕过其他的保护措施有一定的了解;

  3。发表了超过五更关心知名安全媒体文章;

  4。有一些源代码审计(PHP / ASP / JSP / Python)的能力,发现或发表文章通用漏洞;

  五。熟悉汇编,smali代码具有一定的能力,扭转,可以分析病毒,木马,APP等;

  6。具备一定的网络渗透,渗透领域,有成功案例;

  7。熟悉的Windows,Linux平台的渗透测试,分析后门,加固; 熟悉各种类型的攻击技术,入侵分析及各种类型的攻击取证的;

  8。CTF有大赛经验,网络攻防大赛经验,熟悉CTF技巧,并能获得一定的分数;

  9。通用漏洞和独立发掘,有CNVD证书原件或CVE证书;

  10。有在工业控制,网络,云安全,人工智能,大数据的安全性和富有成果的领域的一些研究。

  等级设计为:关注反转,内引导外部贡献

  年要求:2年以上

  薪酬水平:14K-20K

  技能要求:

  1。在一个以上的脚本语言精通,能独立完成中小型企业发展的保障或对接需要安全平台将定制开发;

  2。有旁路等WAF,WAF可以写自己的规则来绕过各种防护用品的更深入的研究;

  3。有一个证书NSATP,CCNP,RHCE,CISSP,CISA等;

  4。具有强大的网络渗透,渗透域,具有三个或更多中型网络成功案例;

  五。熟悉J2EE或PHP开发框架,熟悉主流的Web框架; 有JAVA / PHP开发经验或代码的安全审计功能(白盒)和生产量;

  6。在列或公众人数超过五篇文章,论文/期刊1年出版;

  7。熟悉在x86 / x64系列汇编语言,C / C ++语言,熟练使用IDA,WinDBG的,Ollydbg的,免疫调试器和其他分析工具,熟悉静态分析,动态调试,代码跟踪方法中的,具有强烈的不良的分析能力;

  8。CTF参加国内高水平的竞争,更多的得分搭班子,以帮助实现更好的排名,熟悉常用的加密算法,推翻或PWN优先;

  9。独立及以上提交三个高风险漏洞,比如天空或SRC,天博SRC积累了超过一万个奖励;

  10。具有三个以上的证书或CVE Cnvd原始凭证。

  等级设计为:在某一领域擅长,更深入的研究

  年要求:3岁以上

  薪酬水平:20K-3五K

  技能要求:

  1。反向熟悉的知识,多平台反向(的iOS /安卓/ Windows)中,对研究模拟器的测试经验,能深入的病毒,木马的分析;

  2。熟悉的浏览器,办公的Adobe Flash以及软件的内部运作和技术的相应的软件漏洞分析和使用;

  3。对于CTF游戏PWN,反向主题深入研究的经验; 熟悉对称和非对称密码术通用加密算法; 熟悉的流量分析,数据隐秘,取证等技术;

  4。前三名阿里,蚂蚁金色礼服,腾讯,360,百度等知名SRC;

  五。每年有超过一共有一列或公众三个数字的10多发表文章,论文/期刊多;

  6。你可以掌握一门或几以下技术:PHP / Python的/壳牌/中的JavaScript / AJAX系统的开发,精通至少一个数据库应用程序,如MySQL和Redis的,MongoDB的等等;

  7。在攻防技术行业前列,研究跟踪,可以单独处理公共信息安全事件和热点事件进行跟踪,以抵御最新的安全漏洞和安全事件处理作出反应;

  8。内部网络的普及,APT攻击和防御,黑灰生产更深入的分析,研究和生产量与反欺诈/反爬虫/业务风险控制/威胁的情报分析能力;

  9。之一的安全技术操作系统(赢/ MAC /赢),移动终端,工业,网络和其他的方面有深入和卓有成效的研究输出一个以上;

  10。熟练掌握主流语言如PHP的胸腺五肽,警予或蟒蛇烧瓶,Django的一个框架,把握安全漏洞的框架和利用。

  等级设计为:技术专家指导技术团队内

  年要求:5年以上

  薪酬水平:35K-60K

  技能要求:

  1。矿业浏览器,办公,则Adobe Reader,Flash和其他客户端软件和网络协议的常见漏洞; 熟悉相关操作系统的安全机制,掌握基本方法绕过漏洞的缓解措施;

  2。发布电子书或实体书在一个领域,它有一定的影响;

  3。熟悉常用的算法和数据结构,一个或在C / C ++ /爪哇/围棋/ Python的/壳/ Perl语言更熟练,可以进行漏洞扫描器,web爬行器体系结构设计与产品开发; 能够完成自动安全扫描或预防框架;

  4。论文发表在深入的技术或自主出土著名的开源应用程序/大厂家的高风险漏洞的经验;

  5。熟悉的病毒木马,Rootkit的核心原则和行为,并做了深入的技术分析和扭转;

  6。参加讲座的geekpwn,XCON等大型安全会议;

  7。精通防火墙,入侵防御,防病毒,漏洞扫描,审计制度,认证和信息安全产品,安全部署,根据客户的需求提供解决方案,其他的基本原则的;

  8。开展事故调查/追溯攻击者的经验,国际奥委会大型加工经验,APT攻击和防御能力; 从流量识别威胁,日志,事件和其他数据分析能力和威胁的情报能力的能力;

  9。精通各类常见的漏洞原理,测试方法和解决方案,提供了分析研究安全漏洞的能力; 并且有丰富实践经验的渗透进攻,模糊测试测试能力的;

  10。有大CTF游戏(DEFCON,XCTF等。)或国内顶级赛事奖。

  等级设计为:行业专家,基本无所不能

  年龄要求:8岁及以上

  薪酬水平:60K-1000000k

  技能要求:

  1。参与国家和地方相关部门制定信息安全行业标准;

  2。主导了安全建设中型网络,互联网应用;

  3。前沿研究和使用安全攻防技术,熟悉本行业的动态安全攻防,国内外都具有最新的安全攻击和防御技术;

  4。它有新兴的大数据技术,人工智能,网络,工业安全,块链,成为熟悉最新的攻击,渗透技术和国防技术有较深研究;

  5。拥有非常丰富的应急处置,事故调查经验,运用技术进行事故调查/追溯攻击;

  6。要建立与降落的丰富经验的开发生命周期的安全系统,规划和设计的安全架构和安全规范;

  7。熟悉一般的信息安全风险管理流程和框架为国际和国内信息安全标准,如ISO27001,保护的标准水平等有了更深入的了解,并具有丰富的标准集成着陆系统和推广经验;

  8。代码虚拟化,反调试,反钩,等。有一定的造诣,具有较强的逆向分析,攻防作战,炮击,抗锯齿相关的能力;

  9。各种操作系统中的漏洞,应用系统有了更深的认识,具有安全加固,实施经验的渗透测试,应急响应等安全服务;

  10。拥有自己的R&d专利,知识产权; 出版了较高的评价书相关领域的。

  两个问题

  毕竟对于大多数创业团队的,市场更多的钱,更多的企业很多暴君的人。有没有办法对大多数小公司靠资金来吸引人才。因此,我们相信,通过良好的团队氛围,工作环境,用正确的,有薪酬水平的竞争力,是人们一种更好的方式。此外,我并没有被编披露的工资,薪金,以上纯粹。

  肯定是不合适的。前面也说,这10仅仅是一个标准线水平,是一个引导的方向,是实现适当级别代表的技术能力水平,包括但不限于这些项目,我们应该有一个与你实现适当的级别,他们也不会只有几。另外,我们有比绩效考核更多的维度,技术评审会。

  电子下载

  浪潮技术安全团队的评价电子版:链接:https://开头锅。百度。COM / S / 1pCCvtewKJGDElZaSO5fxTQ提取码:eo4g

  点击下方“阅读原文”查看原图。

  推荐阅读

热线电话| 投诉建议Copyright © 2002-2011 天博 版权所有 湘ICP备14009798号 | 技术支持:天博官方网站