Вдобавок к этому мы работаем коллективно, и многие приложения, которые мы использовали для размещения в наших собственных системах, теперь размещаются в облаке. Хотя эти новые тенденции создают массу возможностей, растущая сложность систем, конфиденциальность данных и расширение доступа к нашим сетям означает, что роль специального инженера по безопасности стала важной для большинства компаний.
Инженеры по безопасности (Security Engineer) - это не просто ваш стандартный инженер программист или разработчик, привлеченный из другой функции для проверки безопасности. Лучшие кандидаты обладают уникальным набором навыков и подходов, которые делают их профи для этой цели.
1. Кто такой инженер по безопасности?
Раньше инженеры и разработчики несли ответственность за безопасность систем, над которыми они работали. Возможно, где-то в начале восьмидесятых одна или две компании начали нанимать людей с единственной целью - сосредоточиться на безопасности, но роль инженера по безопасности не стала популярной до начала 2000-х.
1.1. За что несут ответственность инженеры по безопасности?
Основная задача - подготовить вашу компанию к кибератакам. Среди прочего, они будут исправлять небезопасные процедуры, применять политики обновления программного и аппаратного обеспечения и разрабатывать средства управления доступом к различным системам и данным.
Инженеры по безопасности всегда думают об угрозах вашей системе. Это означает ответственность за определение, перечисление и моделирование любых и всех потенциальных угроз безопасности. Они также несут ответственность за требования безопасности ваших компьютерных систем и сетей. Итак, как они это делают?
1.2. Какие виды работы выполняют инженеры по безопасности?
Инженерные решения - большая часть работы. Инженеры по безопасности также внедряют и обеспечивают соблюдение политик безопасности. При наличии политик они должны отслеживать, поддерживать и применять любые меры по снижению рисков, контрмеры и другую инфраструктуру безопасности. Они также несут ответственность за создание, а затем разработку действий и руководств по реагированию на инциденты.
Защита систем, безусловно, является частью работы, но инженерам по безопасности часто приходится думать о том, какие типы активов хранятся в этих системах. Помимо защиты сети и ИТ-инфраструктуры вашей компании, они также сосредоточены на защите интеллектуальной собственности компании, хранящейся в этих местах. Они также имеют дело с некоторой физической безопасностью, поскольку кибератаки часто имеют физический компонент.
1.3. Зачем нужен инженер по безопасности?
Инженер по безопасности или группа инженеров по безопасности берут на себя ответственность за эту важную область разработки ПО. Развивая специальные знания в области безопасности, инженеры по безопасности могут достичь лучших результатов, чем это сделала бы обычная команда разработчиков. Это в первую очередь потому, что они лучше справляются с новыми угрозами, включая уязвимости, обнаруженные в популярном программном обеспечении. Сделав своей задачей реагировать на эти угрозы, они могут защитить компанию до того, как они будут использованы против них. Имея специального специалиста по безопасности или группу безопасности, ваша компания может перейти в наступление против угроз и защитить себя, вместо того, чтобы смягчать последствия нарушения.
Преимущества повышенной ИТ-безопасности означают, что вы все чаще находите преданного делу человека или команду, посвященную безопасности, в средних и крупных компаниях, где вы не нашли бы их всего несколько лет назад. Эти команды часто включают пентестеров помимо инженеров по безопасности. Пентестеры - это инь для инженеров безопасности. Инженер по безопасности создает в вашей системе средства защиты, а пентестер пытается найти способы их прорвать. Выявляя уязвимости, пентестер помогает инженеру по безопасности построить более надежную защиту.
При этом формальных требований, чтобы стать инженером по безопасности, нет. Для большинства людей это сочетание глубокого понимания информатики и понимания человеческой психологии.
2. Что важно знать ИТ рекрутеру о безопасности?
События смены парадигмы в сфере безопасности довольно редки. Но этот факт не должен вызывать самоуспокоение. Все, что вам нужно сделать, это обратить внимание на то, как часто в ваш антивирус приходят обновления, чтобы понять, что новые атаки, уязвимости и другие проблемы безопасности возникают ежедневно.
Со временем эти атаки имеют тенденцию меняться и развиваться в определенных направлениях. Например, в настоящее время чаще встречается атака XSS, чем ранее популярный вредоносный Java applet. Однако рекрутер должен понимать, что безопасность требует очень глубоких знаний в области ИТ.
Инженеры по безопасности должны понимать системное администрирование, компьютерные сети и программирование. Им также необходимо понимать, как все эти компоненты объединяются, чтобы создавать препятствия и устранять слабые места. Целостный системный подход может эффективно решать проблемы безопасности в сети.
3. С какими инструментами и методами должен быть знаком инженер по безопасности?
Как и во многих других областях техники, инженерам по безопасности доступно множество инструментов. К ним относятся фреймворки, библиотеки и другие инструменты, используемые для отслеживания, защиты и определения вероятных причин нарушений безопасности.
Помимо инструментов, инженерам по безопасности необходимо разбираться в проблемах, специфичных для предметной области. К ним относятся социальная инженерия, фишинг, переполнение буфера, XSS, нулевые дни и Metasploit. Они должны хорошо разбираться в инструментах администрирования, брандмауэрах, антивирусных решениях и моделировании угроз. Наконец, ежедневно требуется понимание систем обнаружения вторжений / систем предотвращения вторжений или систем управления информацией и событиями безопасности.
3.1. Опыт работы кандидатов в инженеры безопасности
Для решения проблем, связанных с безопасностью, важны навыки администрирования серверов, администрирования парка, сетевого администрирования и базового программирования сценариев. Хорошим показателем того, что ваш кандидат занимался проблемами безопасности, является коммерческий опыт работы на аналогичных должностях. Помимо коммерческого опыта, участие в проектах с открытым исходным кодом, связанных с безопасностью, и участие в мероприятиях, связанных с безопасностью, таких как игры CTF или конференции по безопасности, являются сильным показателем интереса к навыкам безопасности. Также полезен опыт тестирования на проникновение или исследования безопасности.
4. Оценка специалиста по безопасности по его резюме
Резюме вашего кандидата - хороший способ, чтобы узнать, с чем он знаком. Но настоящая ценность в том, чтобы служить ориентиром для опроса на этапе собеседования. Помимо опыта, о котором мы упоминали выше, важно обратить внимание на определенные важные технологии в резюме кандидата. Чтобы помочь вам, мы составили глоссарий терминов, связанных с безопасностью.
4.1. Глоссарий инженеров по безопасности для IT рекрутеров
APT (повышенная постоянная угроза): долгосрочная атака, при которой злоумышленник или группа злоумышленников остаются прикрытыми в течение длительного периода времени, обычно с использованием передовых методов и неизвестных уязвимостей, известных как 0 дней.
Выполнение произвольного кода (ACE): см. Удаленное выполнение кода.
Антивирус: программное обеспечение, предназначенное для повышения безопасности, особенно для конечных узлов. Он используется для обнаружения вредоносных программ или нежелательного программного обеспечения с помощью статического анализа с использованием сигнатур или поведенческого анализа.
CCNA Security Certification (Сертификат Cisco Certified Network Associate Security Certification): Сертификация Cisco, ориентированная на безопасность.
CIA Triangle/Triade/Principle (иногда называемый AIC, чтобы не ошибиться с разведывательным агентством): CIA означает конфиденциальность, целостность и доступность. Три ключевых аспекта безопасности, которые помогают в моделировании угроз и обеспечении безопасности компьютерной системы.
CISSP (Сертифицированный специалист по безопасности информационных систем): хорошо известный и уважаемый сертификат безопасности.
CSRF (подделка межсайтовых запросов ): атака, использующая доверие, которое сайт имеет к пользователю / браузеру. Злоумышленник пытается обманом заставить аутентифицированного пользователя непроизвольно выполнить действие, например, отправив подготовленную ссылку.
CVE (Common Vulnerability and Exposures): система, поддерживаемая MITER Corporation, которая предоставляет уникальные идентификаторы для публично известных уязвимостей.
DLP (потеря данных / утечка / предотвращение утечки): технологии и набор инструментов, используемых для обеспечения безопасности жизненно важных данных. В системах DLP используются прозрачные методы шифрования / дешифрования для фильтрации трафика, который содержит критически важные и ценные данные, чтобы гарантировать, что незашифрованная информация никогда не покинет сеть организации.
Hardening: действия, предпринимаемые для повышения безопасности приложения или компьютерной системы путем применения исправлений, установки дополнительных модулей или удаления ненужных частей. Усиление защиты уменьшает поверхность атаки и в некоторых случаях предотвращает нанесение злоумышленником какого-либо значимого вреда после успешного взлома.
HSTS (строгая безопасность транспорта HTTP): мера безопасности, которая защищает от снижения стандарта безопасности передачи по HTTPS.
Социальная инженерия: взлом людей, а не машин (например, убеждение секретаря, что она должна скопировать документ, а не взламывать и красть его).
IDS / IPS NIDS / HIDS (система обнаружения вторжений / система предотвращения вторжений, сетевая система обнаружения вторжений / система обнаружения вторжений на хост): системы, предоставляющие инструменты для обнаружения, распознавания и сообщения о вредоносном поведении, которое может быть вызвано вторжением. IPS также обеспечивает возможность смягчения вторжений после их обнаружения.
Проверка на проницаемость: авторизованный процесс тестирования безопасности системы или приложения, моделирующего реальную атаку. Он предоставляет знания о реальной безопасности испытуемого. Тестирование на проникновение можно разделить в зависимости от знаний, которыми обладают тестировщики. Белый ящик - это тип атаки, при котором злоумышленники имеют глубокие знания о цели. Напротив, черный ящик - это сценарий, в котором тестировщики мало или совсем не знают о тестируемой системе.
Вредоносные программы / программы-вымогатели: термин «вредоносное ПО» обозначает вредоносное программное обеспечение и описывает программы, которые являются вредоносными по своей природе. Вредоносное ПО - это широкий термин, который описывает несколько типов вредоносных программ, таких как компьютерные вирусы, руткиты и черви. Программы-вымогатели - это вредоносные программы, которые блокируют данные пользователей, обычно шифруя их и требуя выкуп за расшифровку.
Metasploit: программное обеспечение, разработанное и поддерживаемое Rapid7. Это можно было бы назвать швейцарским армейским ножом пентестера. Metasploit предоставляет базу данных известных эксплойтов, а также дополнительное программное обеспечение и методы (например, используемые для защиты от вирусов), которые помогают проводить тестирование на проникновение.
Nmap / сканирование портов: сканирование портов - это процесс определения, какие сетевые порты открыты, путем отправки пакетов TCP или UDP на исследуемый хост и интерпретации полученного ответа. Nmap - популярный сканер портов, инструмент, который используется для сканирования портов.
ОБСЕ (Сертифицированный эксперт по безопасности нападений): сертификат тестирования на проникновение.
OSCP (сертифицированный специалист по наступательной безопасности): сертификат тестирования на проникновение.
PBKDF: в криптографии KDF (функция получения ключа) - это функция, которая создает секретные ключи на основе секретного ввода. PBKDF означает функцию получения ключа на основе пароля и используется для получения секретного ключа из пароля пользователя.
Фишинг: тип атаки, направленный на получение учетных данных пользователя, конфиденциальных данных. Обычно он состоит из отправки электронных писем, выдающих себя за какой-либо авторитет (например, службы безопасности, начальника, работодателя), и перенаправления пользователей на веб-сайт, имитирующий надежную страницу входа. Это можно сделать, установив в домене URL-адреса одинаковые буквы (например, заглавную i и строчную L) или используя типосквоттинг. Это атака, в которой используются не только технические уязвимости, но и методы социальной инженерии.
Красная команда: группа специалистов по безопасности, которая бросает вызов системам и процедурам безопасности организации в реальных сценариях. В оценках красной команды могут использоваться не только кибервекторы, но и физические, такие как проникновение в здания, установка устройств в сети и компьютеры организации, которые могут помочь взломать ее системы. Возможным результатом может быть кража конфиденциальных данных. Красные команды нанимаются для помощи в обучении синих команд - специалистов, чья работа заключается в обеспечении безопасности системы компании, мониторинге инцидентов и реагировании на них, а также минимизации последствий взломов.
RCE / ACE (удаленное выполнение кода / выполнение произвольного кода): описывает влияние уязвимости, которая позволяет злоумышленнику выполнять произвольный код или команды в целевой системе. RCE возникает, когда злоумышленник может выполнить произвольный код на удаленном узле по сети.
Песочница: термин, используемый для описания типа безопасной, непривилегированной и изолированной среды, в которой может выполняться ненадежное программное обеспечение, не причиняя вреда другим системам.
SIEM (информация о безопасности и управление событиями): сложные инструменты, используемые для агрегирования журналов, мониторинга и анализа в реальном времени предупреждений и событий, созданных программными и аппаратными решениями в сети организации.
СПАМ: нежелательные и нежелательные сообщения, отправленные по электронной почте.
Целевой фишинг: целенаправленная фишинговая атака, направленная на одного человека / организацию и т. Д. Обычно ей предшествует длительная и исчерпывающая разведка.
SQL-инъекция (SQLi): одна из самых популярных атак на запросы к базе данных в приложениях. Они вызваны неправильной очисткой, кодированием и обработкой данных, предоставленных пользователем. Атаки SQLi приводят к выполнению произвольных операторов SQL в базе данных и к утечке или изменению ее содержимого.
SSTI (внедрение шаблона на стороне сервера): метод внедрения кода, который происходит, когда сервер использует данные, отправленные пользователем в шаблоне. Этот тип атаки может привести к выполнению произвольного кода на стороне сервера.
Моделирование угроз: это процесс распознавания, выявления и определения приоритетности потенциальных угроз. Например, он может выявить уязвимости, которые могут быть использованы злоумышленником для взлома компьютерных систем. Моделирование угроз помогает разрабатывать и внедрять процедуры, политики и действия для защиты ценных активов, делая атаки нерентабельными. Чтобы упростить моделирование угроз, были разработаны такие методологии, как VAST.
VAST (визуальное гибкое и простое моделирование угроз): методология, используемая при моделировании угроз.
Оценка уязвимости: процесс поиска в системе известных угроз (известных уязвимостей) с использованием таких методов, как сканирование портов и снятие отпечатков пальцев. Во время оценки уязвимости результаты анализируются, чтобы определить слабые места системы, и предоставляются меры по снижению риска или воздействия возможной атаки.
WAF (брандмауэр веб-приложений): инструмент, используемый для повышения безопасности веб-приложений. WAF проверяют вводимые пользователем данные и отслеживают запросы на наличие вредоносных, затем блокируют их и отправляют отчеты.
XSRF: еще один акроним от CSRF
XSS (межсайтовый скриптинг): класс уязвимостей компьютерной безопасности, обычно в веб-приложениях, который позволяет злоумышленнику внедрять клиентские сценарии (обычно на JavaScript, иногда на VBScript). Выполнение кода в браузере пользователя может помочь в обходе некоторых методов контроля доступа, таких как SOP (политика одинакового происхождения), эксфильтрация данных аутентификации (куки) для олицетворения зарегистрированного пользователя или динамического изменения веб-сайта.
XXE (внешний объект XML): атака на приложения, обрабатывающие XML, которые неправильно обрабатывают ссылки на внешние объекты. Обычно этот тип уязвимости приводит к раскрытию данных.
4.2. Наиболее распространенные названия инженерных систем безопасности, которые взаимозаменяемы
CRSF <-> XSRF (см. Глоссарий)
4.3. Совершенно разные версии тем безопасности
SSTI обычно предшествует XSS, но это приводит к выполнению кода на стороне сервера. Напротив, XSS предназначен для выполнения кода на стороне клиента.
4.4. Насколько важны сертификаты инженеров безопасности для оценки навыков программирования кандидата?
Сертификаты, конечно, еще не все, но есть некоторые известные сертификаты, которые уважают инженеры по безопасности. Это хорошо, но не обязательно. Самыми распространенными уважаемыми являются:
- CISSP
- OSCP
- ОБСЕ
- CCNA [Безопасность]
4.5. Другие вещи, на которые следует обратить внимание в резюме инженера по безопасности
Хорошо иметь список присланных CVE (см. Глоссарий)
Вопросы для интервью со специалистом по безопасности, которые следует задать во время технического интервью по телефону / видеозвонку. Резюме инженера по безопасности может дать вам представление о знаниях и опыте инженера по безопасности, но важно иметь возможность проверить, о чем кандидат действительно может говорить и как они применяли свои знания в прошлом.
5.1. Вопросы об опыте кандидата
В1: Вы справились с нарушением? Как это произошло? Как это можно было предотвратить? Кандидат сможет поделиться своим опытом работы в данной отрасли. Огромные нарушения случаются не каждый день, но случаются мелкие аварии, поэтому кандидат должен иметь некоторые мысли и выводы по этой теме. Обратите внимание, что конкретные случаи представляют собой жизненно важную информацию, а детали могут быть конфиденциальными, поэтому собеседнику может быть отказано в их обсуждении.
В2: Что вы думаете о роли инженера по безопасности в компании?
Кандидат должен знать обязанности инженера по безопасности в организации. Обратите внимание, что определенные задачи могут выходить за рамки этой функции или входить в ее объем - это зависит от структуры организации.
В3: Что вы думаете о BYOD (принесите собственное устройство)?
Независимо от того, какую сторону дополнения выбирает кандидат, важно понимать риски, слабые места и правильное обращение с ненадежными устройствами и доступ к данным организации.
5.2. Вопросы о знаниях и мнениях кандидата В1: Что такое угроза, уязвимость, эксплойт и меры по устранению? (объясните)
Этот вопрос позволит кандидату продемонстрировать свое понимание и базовые знания терминов, используемых в сфере ИТ-безопасности. Кандидат должен указать, что смягчение последствий - это исправления / исправления, применяемые к программному обеспечению (или другим механизмам, используемым, например, на уровне ядра), для предотвращения использования уязвимости.
В2: Что такое SQL-инъекция и чем она отличается от XXE? (объясните)
Кандидат должен быть в состоянии продемонстрировать базовое понимание некоторых распространенных уязвимостей, встречающихся в современных приложениях.
В3: Что приводит к SSTI (внедрение шаблонов на стороне сервера) и опаснее ли это, чем XSS? Чем они отличаются?
Уязвимости сложны. Иногда возникновение ошибок одного типа может указывать на то, что другая часть приложения также работает некорректно, и реальная угроза оказывает гораздо большее влияние, чем предполагалось изначально.
В4: Что такое: IDS, IPS и EDR. Чем они отличаются?
Кандидат должен уметь различать основные классы инструментов, используемых для обнаружения и предотвращения причинения злоумышленниками убытков.
В5: Как работает асимметричное шифрование? Когда его использовать? Какие плюсы и минусы по сравнению с симметричным шифрованием? Назовите один симметричный и один асимметричный алгоритм шифрования. Криптография повсеместно используется для защиты современных приложений. Кандидат должен знать недостатки асимметричного шифрования (например, скорость).
В6: В чем разница между потоковым шифром и блочным шифром? Кандидат должен быть в состоянии продемонстрировать базовые знания об инструментах, предоставляемых современной криптографией, и вариантах их использования.
В7: Что такое хеширование (криптографическое), для чего оно используется, когда и чем оно отличается от шифрования? Назовите один алгоритм хеширования, который не следует использовать, и один «не доказанный небезопасный». Кандидат должен знать, что, например, хранение паролей клиентов в виде открытого текста является предосудительной практикой, и именно здесь должны быть развернуты функции хеширования. Например, незащищенная функция - MD5. У SHA256 до сих пор нет доказательств наличия коллизий, и его довольно безопасно использовать.
В8: Что такое PBKDF, как он работает? Зачем это нужно?
Кандидат должен быть в состоянии продемонстрировать знания о существовании этих механизмов и эффективных / удобных способах обеспечения безопасности на повседневной основе.
В9: Чем CSRF отличается от XSS? Кандидат должен уметь различать классы общих уязвимостей.
В10: Что такое отпечаток пальца?
Эта тема позволяет кандидату рассказать о методах идентификации обнаруженных систем. Этот прием обычно используется нападающим на этапе разведки. Кандидат также может рассказать об уникальных методах отслеживания на основе отпечатков пальцев.
В11: Как проверить правильность загруженного файла?
Этот вопрос дает кандидату возможность продемонстрировать некоторые практические и базовые знания о контрольных суммах, алгоритмах хеширования и криптографических подписях.
В12: Объясните принцип ЦРУ.
Принцип ЦРУ или треугольник ЦРУ - это базовая модель, используемая для создания политик безопасности. Кандидат должен суметь использовать его, чтобы показать свое глубокое знание того, какие правила следует учитывать при разработке правил и политик.
В13: Что такое стук порта?
Кандидат должен быть знаком с основными мерами безопасности. Этот вопрос немного сложен, потому что детонация порта не должна считаться пуленепробиваемой.
В14: Назовите безопасный протокол для управления удаленными серверами?
Кандидат должен уметь рассказать об основных инструментах, обеспечивающих безопасность при выполнении повседневных задач, таких как управление удаленными серверами. SSH - один из них.
В15: Что такое rlogin и нужно ли его использовать? Почему? Почему бы нет? Объясните
ИТ безопасность - очень динамичная область, но иногда среды должны соответствовать устаревшим требованиям. Вот почему они используют старые технологии, такие как rlogin. Отвечая на этот вопрос, кандидат может доказать, что он глубоко разбирается в инструментах безопасности и знает, каким из них не хватает безопасности и почему.
В16: Что такое закалка?
Этот вопрос должен дать кандидату возможность рассказать о различных методах повышения безопасности среды и приложений.
В17: Что такое тестирование на проникновение? Что такое оценка уязвимости? Чем они отличаются? Что такое аудит безопасности?
Этот вопрос немного сложный. Иногда эти термины неправильно понимаются и используются как синонимы. Руководство может неправильно использовать эти термины, поэтому кандидат должен быть знаком с ними и знать различия.
В18: Назовите одно руководство по пентестированию.
Отчеты о пентестинге обычно появляются на столе инженера по безопасности. Кандидат должен знать некоторые рекомендации по тестированию на проникновение, чтобы не только правильно обрабатывать отчеты, но и учитывать функции, не затронутые тестом на проникновение.
В19: Что такое PKI (инфраструктура открытых ключей)? Как это работает?
Отвечая на этот вопрос, кандидат может подтвердить свои знания в области обработки аутентификации, обеспечиваемой криптографическими решениями. Кандидат должен осознавать допущения, связанные с подобными механизмами.
В20: Что такое Kerberos? Для чего это используется? Можно ли его использовать в доменах Windows?
Сетям крупной организации нужны специальные решения для уменьшения поверхностей атаки в областях, связанных с ограничениями доступа. Кандидат может показать свое понимание одного из самых популярных решений, его преимуществ и ограничений.
В21: Что такое закрепление сертификата? Как это правильно делать? Этот вопрос касается обеспечения безопасности, несмотря на связь по незащищенному каналу. Это поможет кандидату продемонстрировать свои знания об общих способах устранения последствий.
В22: Что вы делаете, если ваш частный сертификат украден?
Это практический вопрос, который дает кандидату возможность рассказать о действиях, которые довольно редки, но действительно сильно влияют на безопасность компании. Это может быть очень стрессовая и опасная ситуация, и знание того, как с ней бороться, является одним из атрибутов программной инженерии.
В23: Назовите один из популярных инструментов сканирования уязвимостей?
Этот вопрос, хотя и не касается строго работы инженера по безопасности, позволяет кандидату подтвердить свои знания инструментов, используемых при оценке безопасности.
В24: Что такое синяя, красная и фиолетовая команды? Какой из них самый важный?
Основываясь на этом вопросе, кандидат покажет, больше ли он предпочитает наступательную безопасность или защиту. Но независимо от выбора, эти вопросы покажут понимание современных проблем безопасности и решений.
В25: Что такое DLP, как оно работает?
Этот вопрос даст кандидату возможность рассказать о некоторых методах, которые помогают предотвратить или локализовать утечку данных.
В26: Что такое WAF? Назовите одно решение WAF.
Веб-приложения действительно популярны в наши дни. Вот почему они очень часто становятся мишенью. Кандидат должен иметь некоторые знания о возможностях их защиты и общих продуктах, которые можно применить.
В28: Что такое СОП (политика одинакового происхождения)?
Кандидат должен иметь возможность рассказать об этих средствах защиты , реализованных в современных браузерах, об их сильных и слабых сторонах.
Q29: Что такое CSP (политика безопасности контента), когда его следует использовать?
Поскольку XSS остается на вершине списка уязвимостей OWASP Top 10, этот вопрос позволит кандидату показать, что он знаком с этой проблемой и знает надлежащие меры по ее устранению.
В30: Как уменьшить влияние SQL-инъекции?
Этот вопрос позволяет кандидату рассказать о некоторых основных средствах защиты, используемых в приложениях (например, подготовленных операторах), чтобы гарантировать, что предоставленные пользователем данные обрабатываются правильно и остаются классифицированными как ненадежные.
В31: Что такое HSTS? Почему вы должны это использовать?
Человек в середине имеет большое влияние на безопасность. Кандидат, отвечающий на этот вопрос, должен продемонстрировать базовые знания о криптографических устройствах и решениях, которые смягчают эту опасную атаку.
Q32: Объясните, как работает TLS (в нескольких предложениях).
Этот вопрос дает кандидату возможность рассказать о современных криптографических решениях для защиты незащищенных каналов связи с помощью очень популярных технологий.
В33: В чем разница между авторизацией и аутентификацией?
Это действительно простой вопрос, который покажет, что кандидат правильно понимает термины и проблемы, с которыми он будет сталкиваться каждый день в своей работе в качестве инженера по безопасности.
В33: Что такое ACL? Как их использовать?
Этот вопрос покажет, что кандидат имеет надлежащие знания о решениях ограничения доступа в современных системах.
В34: Назовите уровни конфиденциальности.
Этот вопрос позволяет кандидату рассказать об основных терминах, используемых для оценки уровня защиты активов в организации.
В35: Что такое РАДИУС? Когда его использовать?
Отвечая на этот вопрос, кандидат продемонстрирует свое глубокое знание современных решений для аутентификации и авторизации пользователей, что является ключевым уровнем обеспечения безопасности.
В36: Что такое VLAN и когда его использовать? Как работает переключение VLAN?
Этот вопрос позволит кандидату рассказать, как использовать сетевые решения для разделения сетей.
В37: Как защитить Wi-Fi в организации? (разделение сети)
Это обширная тема. Кандидат может показать понимание сложной проблемы и свое понимание моделирования угроз.
В38: Назовите три способа тестирования безопасности в зависимости от уровня знаний злоумышленника. Какой из них самый надежный и имитирует реальный сценарий?
Пентесты - один из способов оспорить внедренные меры безопасности. Кандидат сможет продемонстрировать свой уровень знаний смоделированной атакующей команды, что поможет в моделировании угроз и анализе отчетов.
В39: Назовите каждый уровень модели ISO / OSI.
Этот вопрос предоставит кандидату возможность продемонстрировать базовые знания сетей.
В40: Что такое остаточный риск?
Кандидат сможет продемонстрировать свои глубокие знания об угрозах и моделировании угроз. Это ключевая способность, используемая при оценке рисков.
В41: Представьте, что вы работаете в небольшой компании. Каждый месяц на короткий период времени нанимают несколько стажеров. Им нужен доступ к некоторым серверам и сети Wi-Fi. Как ты с этим справишься?
Это практическая и широкая тема, которая позволит кандидату продемонстрировать свои знания о сетях и решениях безопасности, которые помогают обеспечить безопасность в компаниях удобным способом. Он / она должен указать на механизмы, используемые для обхода необходимости совместного использования и смены одного пароля в команде.
В42: Что такое менеджер паролей? Для чего его использовать?
Этот вопрос помогает кандидату продемонстрировать свои знания об упрощении механизмов безопасности для конечных пользователей.
В43: Какая политика лучше - внесение в черный или белый список и почему?
Этот вопрос позволит кандидату продемонстрировать базовые знания о позиции защитников в кибервойне. Знание недостатков белых списков может предотвратить катастрофические события в будущем.
В44: Определите, что такое человек в средней атаке.
Этот вопрос помогает кандидату продемонстрировать свои знания о современных угрозах и популярных атаках. Это также должно дать возможность поговорить о контрмерах.
В45: Как работает обмен ключами Диффи-Хеллмана (DHKEX)?
Этот вопрос позволит кандидату рассказать об одном из самых популярных и часто используемых механизмов.
В46: Что такое SIEM и как он работает?
Кандидат сможет продемонстрировать свое понимание инструментов, используемых для защиты активов организации.
В47: Что такое DoS и DDoS? Какая разница?
Это простой вопрос, который покажет базовое понимание действительно распространенных и старых атак, которые все еще очень популярны в наши дни.
В48: Как предотвратить подмену DNS и как защитить DNS?
Этот вопрос позволит кандидату продемонстрировать свои административные знания и понимание современных угроз в организациях. Разговор о защите DNS покажет, что кандидат знаком с криптографическими механизмами и решениями, предоставляемыми для борьбы с текущими угрозами во внутренних сетях.
5.3. Поведенческие вопросы, которые вы должны задать, чтобы понять, как кандидат действовал в прошлом
В1: Последние два года были заняты атаками программ-вымогателей, которые нанесли ущерб организациям и компаниям, что привело к гигантским финансовым и репутационным потерям. Какие шаги вы бы предприняли, чтобы предотвратить такие несчастные случаи в вашей организации? Этот вопрос позволит кандидату бросить вызов современным угрозам и проявить творческий подход в решении нетривиальных проблем.
В2: Ваша IDS сообщила о взломе. Что бы вы сделали, чтобы устранить угрозу?
Это широкая тема, которая позволит кандидату продемонстрировать свое понимание политик безопасности, понимание сложности проблем безопасности и показать свой широкий взгляд на проблему.
Техническая проверка навыков инженера по безопасности с помощью онлайн-теста кодирования6. Техническая проверка навыков инженеров безопасности с помощью онлайн-теста кодирования.
Безопасность не должна быть абстрактным понятием, о котором вы думаете. Это должна быть непрерывная серия подготовительных мероприятий и реагирования на угрозы безопасности, с которыми сталкивается ваша организация. Как мы уже обсуждали, основным компонентом этого является возможность кодирования с использованием инструментов для проверки безопасности приложения или сети. Тест на кодирование, который вы используете, должен это отражать.