OK,與其說是心得,比較像是在介紹我實習的工作環境,希望能給將來不管是打算進入安華聯網,或是正在尋找資安相關的實習的同學們一點參考資料。
我是誰
- 大家都叫我小曹,這是從我第一份打工就被取這個名字了,也習慣了
- 私立科技大學的五專學生,專五出來實習,因爲補修+學校政策,不是整天待在實習單位
- 略懂資安,以前是打 CTF 的,但自覺沒天份沒有奇技淫巧的頭腦,已從前線放棄
- 資安各領域都略懂一些,但基本只是個雜魚,只有 Pwn 花了比較多的時間在學習
- 我投的職位: 技術處資安檢測實習生,就是歸技術處管理囉
- 7月初 offer get,但中途跑去服分階段兵役,9月才正式上路
我負責了什麼工作
我做的工作真的蠻“實習生”的XD,通常都是例行性、比較偏純人力的工作。
1. 跟著正職一起打設備,把過程、結果通通記錄下來備用
原本打算要解釋一下這段的…但發現哇靠太多心得講不完啊~簡而言之我測試分成兩階段: 檢測(依照既有的測試標準要求完成的項目)、滲透測試(客製化,有什麼奇技淫巧都盡量打出來)
舉例來說,標準中要求所有的 API Query 都得加密,那我就架個 Proxy 出來攔截流量,去確認它到底有沒有加密過。(檢測)
那如果它是明文傳輸,那首先這個測試標準要求就不會通過,我再依這個安全隱患,去想辦法再挖出漏洞、漏洞有沒有適用的 Attack Scenario。(滲透)
標準內要求要測的項目是蠻死板的,有時候看到測試項會自己 OS: 「幹…這真的有測試的必要嗎? 你確定這個測項如果找出問題,會有適合的 Attack Scenario ???」
滲透測試就純屬自由發揮,有抓到漏洞時候真是非常爽,不過也常常面臨 Footprinting 能拿到的資訊太少,不好打之類的(汗)。
總而言之,標準內要求的要完成 + 自己想辦法挖,就是這項工作的內容。
2. 承上,然後寫報告
老實說報告依照每個廠商所需要的,都會有點不同;像是 A 廠想要我們做成簡報、每週開個視訊 meeting,B 廠想要落落長測試總結文件,C 廠只需要一份試算表,條列需要修正的項目。
這邊最麻煩的是,因爲我剛入職的時候,我們組內沒有統一的一個報告標準,C 廠今天要的試算表,D 廠某些回報資訊不需要,所以沒辦法直接拉同一份試算表,變成每換一家廠商,就要重新製作報告,有夠累。之後我有向團隊回報這個問題,最後有開會歸納哪些資訊是屬於通用的、哪些是比較客製化的,如果廠商沒有要求,則一律給出我們制定的標準報告。
3. 整理威脅情資
常規工作。上網找嵌入式設備最新發現的漏洞、Exploit,然後記錄起來,每週整理成小報告寄給主管。
4. 找個主題去研究
這項工作比較像是大富翁抽中的機會牌XD,不是常規工作項目。
舉例來說: 最近有個企業級 Router 爆出漏洞而且有 Exploit,公司剛好有一台沒在用,把漏洞復現出來,分析一下原理。
我認爲想要投實習生的人不用擔心自己會不會技能不夠,因爲主管都會依照你的能力,去分配你可以獨立完成的工作。
這邊的環境怎麽樣
組織架構
就我的瞭解,有技術服務處、企業合規處、產品研發處這三大處級單位。
技術服務處主要是負責接洽資安檢測、滲透測試等需要技術人員手工測試待測項目的一個單位。
技術服務處底下分三個小組:IoT 組、Mobile 組、PT 組,分組的目的也只是區分比較常接觸哪種類型的裝置而已,做的事前大同小異。
主管會依照你的技能專長去分配給哪個小組,如果你跟我一樣是屬於”平均型”的人,我會建議你在面試的時候先跟面試官提出你對哪個組比較有興趣,主管會再依照人力、能力等綜合考量給你答覆。
薪資
實習生的薪資請參考 104,應該是沒人拿超過表定的時薪,很強的大大可以談談看調薪。正職的薪水起跳多少我不知道,因爲有薪資保密條款所以我也不太敢開口問。
但離開前有打聽到正職的薪水結構是12+1個月+績效獎金+營運獎金,這大概只是技術處的工程師的薪水結構,業務或顧問我就不清楚了。
休假
表定工時 09:00 ~ 18:00,彈性打卡制,提早來上班半小時就可以提早半小時離開、晚來上班半小時就得晚半小時離開。
實習生是時薪制的,中午休息一小時不給薪。只要在當初跟主管談好的上班時間來工作都可以,如果是上學期跟下學期的課表不一樣導致要調整時數或班表也都ok,主管很好說話。我因爲學校實習政策的關係,規定實習得領月薪,不得以時薪計算,最後也跟主管商量好改領月薪。
每週三爲運動日,可以提早一小時離開,表定工時 09:00 ~ 17:00,彈性打卡制同樣適用。(實習生不享有此福利,畢竟是時薪制)
年休特休,計算方式我忘了,要問一下 HR。實習生沒有年休特休。
有生日假,需在生日前休完,不得換薪。實習生沒有生日假。
遇到連假可以提早下班,像是遇到農曆過年時,中午 12 點就可以離開了,端午連假也是 3 點後就可以下班。不確定實習生提前下班有沒有算薪。
請假以小時爲單位,有一定額度的有薪病假,沒記錯的話,一天內的請假不用付證明。實習生要請假直接告知主管即可,請假的時數不給薪。
其他福利
請直接參考 104,我這邊做點小補充。
零食櫃聽行政說,會依照公司有多少員工去配額,所以不是吃到飽噢,不過也是補很多啦,每次補充零食櫃,櫃子都快塞爆了。
慶生會每兩個月舉辦一次,內容就是訂個比薩、炸雞、壽司什麼的,然後生日快樂歌切蛋糕,再玩點小遊戲,每次慶生會內容不一樣,沒有固定模式XD。
主管不定時會請客吃下午茶,珍奶雞排車輪餅blablabla。
不算福利的部分(?),公司有冰箱、微波爐,可以自己帶便當來微波,我曾經帶電子快煮鍋、雞蛋、泡麵、肉,直接在辦公室煮泡麵XDDDDD。
我所提到的內容在面試的時候主管就會讓你知道啦~
我在實習期間有什麼樣的體會
我認爲實習不是來培養你的技術力,而是學會怎麽解決問題,以及建立人脈。
要培養技術,你可以直接待在家瘋狂寫 Code、讀 Paper,但公司並不是䀻請你來讓你增加自己的價值,而是䀻你來幫忙團隊完成專案,甚至直接面對客戶、解決客戶的問題。
舉個我印象很深刻的例子,Mobile 組的 PM 麥克哥有一次在休息時間的時候跟我們這群實習生閒聊。
你知道爲什麼我早上發任務給你們,即便在時程的安排上你們下午就可以完成測試,我卻還是跟客戶說本週五會產出測試結果嗎?
你想,假設我跟客戶約好今天下午就繳出結果,並且也確實繳出了,客戶只會認爲你準時交出結果是你對這份工作的負責,是你應該要做到的事。
那我跟他事前約好死線訂在週五,並且今天下午就繳出報告,透過言語的包裝,營造出「因爲你很重視這份報告,而我司也很重視你,所以我司爲了你提前完成工作」的氛圍。我們先不論這樣子做會不會因爲我這個舉動而拿到下一張訂單,畢竟窗口也是受僱於他人,下一次還會不會委任安華聯網不是他能做的決定。
即使下一次不再委任安華聯網,那窗口個人的潛在意識中會不會爲安華的品牌形象有所加分呢?如果會,那我的目的就達成了。
上面的小故事我做了一定程度的刪減,不過我想表達的是,職場上有太多無法光靠「技術強」就能解決的問題,在我方立場上該如何緩和利益衝突方的情緒、讓甲方爸爸舒服又不損乙方的尊嚴(?)也是非常重要的。
至於人脈,如果說個人能力決定了生涯的起跑點,我認爲人脈就決定了生涯的天花板。在一成不變的工作環境下,我們的思考與觀點容易變的單一,思維變得僵化,這時候我們就需要第三者從客觀的角度分析問題,使我們獲得新的想法與觀點,進而提升工作表現。
如果上面的說法你未能理解,那我換一個簡潔有力的說法闡述人脈的重要性:工作機會。實習的價值就在於你比同年齡的人更早接觸職場,你不僅可以結交學校的朋友,更能超前經營社會上的人脈。藉由建立人脈,可以接觸到新的專業領域、新的工作機會,也許未來的某一天,你的前同事會因爲曾經跟你共事的愉快經歷而引薦你一份新的工作。
結語
好的,上面大致上介紹完我自己的工作內容、安華的工作環境以及我個人的實習小心得,點進來看這篇文章的人八成是想要投安華的工作吧?希望這篇文章能稍微帶你認識安華聯網。
如果您有其他問題,歡迎透過 Email 聯繫我!finn79426@gmail.com
也謝謝在我實習期間帶領我的 Daniel、Ann,以及技術處的前輩們,跟你們共事是我的榮幸,謝謝!
