[北京长亭科技] 主机安全产品安全研发工程师招聘

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

• 外包信息请发到 /go/outsourcing 节点。

• 不要把相同的信息发到不同的节点

这是一个创建于 1179 天前的主题，其中的信息可能已经有所发展或是发生改变。

牧云是长亭科技 “攻防知查抓” 安全防护体系中的重要一环，为主机安全方向，介绍信息可见 https://www.chaitin.cn/zh/cloudwalker。

下面是按照模块功能的一个粗略分类：

产品经理、设计师、测试、前后端等常见的岗位。
系统研发工程师，主要是牧云探针研发，提供安全检测插件运行环境、调度、系统底层 api 封装整合等功能。
安全工程师（其他的招聘网站上有时候也称为安全策略工程师）。
- 偏安全研究方向，专注几个小方向，提供检测思路，可能写代码较少。
- 偏安全研发方向，也就是我所在团队，目前五六个人，为小型化的团队。这是本招聘的重点所在。

安全研发我们目前的招聘方向偏研发，你能熟悉安全就更好了。

安全研究方向的同学也只是覆盖一小部分的主机安全场景，比如 Webshell 检测、Windows 安全相关等等，剩下的还是安全研发方向的同学在做，所以可以理解安全研发会更偏向写代码一些，但是并不是完全不去思考检测思路。

做过的事情举例如下：

很多文档方案中，检测反弹 shell 都是基于命令行特征和简单网络关系的粗糙处理，漏报会多一些，而我们将这些思路进行了非常精细化的处理，补充了一些新姿势，目前效果挺不错的。
从集成第三方杀软到自己编写很多 yara 规则到基于函数调用关系的恶意文件检测，而且能进行打标和给出详细说明。我们专注于黑客软件和 exploit 的检测，这是对企业安全最大的威胁之一。
命令审计，简单理解就是对命令行信息的匹配，比如 ssh 后门 ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oport=12345，堆规则大家都会，如何让这个插件效果更好呢？我们设计开发了基于 bash session 关系的黑客操作习惯检测、命令行中 ip 、域名等威胁情报检测、反弹 shell 记录全量命令等等功能。
弱口令识别不是对服务直接进行暴力破解，而是基于数据文件分析得到哈希值进行爆破的，比如 Linux 用户密码在 /etc/shadow 文件中存储，获取哈希比较简单，但是对于数据库类型（比如 MySQL+多种存储引擎、Oracle 、PostgreSQL 等），如何分析一个用户表数据文件得到哈希就需要对存储引擎进行深入的理解和研究了，我们都已经基本搞定了。
用户配置的密码字典可能比较小，需要按照攻击者的思维进行自动化的信息收集来生成一个新的字典供用户参考。

这个也没有关系，我们也维护多个安全检测服务，偏向后端方向，而且我们认为转安全方向也并不难。

做过的事情举例如下：

同步 nvd 、cnnvd 等漏洞情报数据、应用资产描述、oval 漏洞匹配规则、一些自行维护的漏洞匹配规则、系统补丁信息，将这些数据进行整合和编辑，输出为数据库，支撑漏洞匹配、漏洞情报、补丁管理、补丁情报等功能。
上述的漏洞和补丁相关功能为一个单独的服务，基于数据和规则文件进行扫描和匹配，和后端使用 rpc 通信，服务可以热更新。
恶意文件检测也是一个单独的服务，需要管理文件的分发规则，封装第三方杀软、自研引擎的接口，统一多种接入方式（因为这是一个通用项目，可能对接多种队列、数据上报 rpc 等），管理检测缓存，提供类似 VirusTotal 一样的内部扫描界面，管理引擎更新，引擎监控等。
弱口令识别中，需要类似彩虹表一样去缓存哈希运算的结果，但是又不能无限制的存储，需要去压缩和淘汰低频访问数据。
检测插件是 Lua 写的，但是这种语言对大型项目非常不友好，我们参考了已有的一些开源项目，最终选择了一种带类型的 Lua 方言，但是开源项目并不完全满足需求，我们又对其进行了修改和增加了一些配套工具，比如构建工具、lint 工具等。