安全分析师面试必问的7大问题

2021年9月9日作者：GoUpSec

如果您正在面试安全分析师职位的候选人：一个是历史专业，没有正式的技术经验；另一个拥有计算机科学的高级学位，专注于网络安全，以及10年的渗透测试和安全运营中心环境经验。

你聘用哪位候选人？

如果您是安全教育提供商InfoSec的首席安全研究员Keatron Evans，那么历史专业将获得这份工作。通过提出正确的问题，埃文斯可以通过候选人的简历和证书看出最受重视的安全分析师特征：故障排除和解决问题的技能、好奇心、学习欲望以及对网络安全的天生热情。

根据美国劳工统计局调查，对安全分析师该职位的需求比以往任何时候都高，这一趋势可能会持续下去，从2019年到2029年，安全分析师的就业人数将增长31%。

以下7大面试问题将揭示应聘者是否具备担任这个广受欢迎的安全角色所需的技能和特质，帮助面试者保持领先地位，确保成功聘请安全分析师。

什么是TCP？

某人如何谈论诸如三向握手或TCP通信标准之类的话题可以揭示他们对安全基础知识的掌握情况。

在Evans的案例中，缺乏经验的候选人讨论TCP就好像他不仅在教科书中而且在计算环境中研究过它一样。“尽管她在所有候选人中的经验最少，但她的回答好像是她自己编写了有问题的协议，就像TCP一样，”他说。

其他基础知识包括区分对称加密和非对称加密，并描述每种加密的最佳使用位置、表明系统受损的异常情况或如何应对中间人攻击，网络安全实践董事总经理Travis Lindemoen说。在Nexus IT集团。“您正在倾听他们接受培训以修复此类攻击的过程，”他说。

无论是来自NIST、SANS还是MITRE，Brooks Consulting International总裁兼乔治城大学兼职教师Chuck Brooks说，熟悉框架也是一个有说服力的细节。“这些框架中有很多元素可以为您提供基本防御和风险管理的地图，”他说。

您将如何处理这种数据泄露？

不过，真正让Evans印象深刻的是，他面试（并最终聘用）这个缺乏经验的候选人如何解决一个技术场景，该场景需要回答10个有关处理数据泄露的问题。该练习涉及两台计算机——一台连接到基于云的实验室环境来完成任务，另一台连接到互联网来研究所需的信息，例如最近漏洞利用的最新细节。

“她熟练地使用了研究计算机，而更有经验的人甚至都懒得去碰它们，”埃文斯说。“出于这个原因，他们中的大多数人都错过了必须通过查看数据包和内存转储来回答的最后两个问题。”

Evans还特意要求考生为虚拟机提供一个静态IP地址以在网络上运行——他们只有通过阅读说明才能知道这一点。“一名候选人花了15分钟才停止抱怨无法访问并意识到他必须遵循指示，”他说。“SOC的很多工作都在关注细节以及阅读笔记和处理其他分析师收集的信息。”

您将如何对这些警报进行分类？

或者，可以通过对话来探索违规场景。这种更具互动性的方法可以突出候选人的思考、沟通和协作方式。面试官还可以根据应聘者的经验水平定制问题（填写信息、深入挖掘等）。

不过，首先造舒适的氛围很重要，因为紧张的人可能难以阅读，CyberSN的首席安全官兼首席策略师Dom Glavach说，CyberSN是一家专注于网络安全的职业和人员配备公司。

这就是为什么Glavach首先从妥协指标(IOC)、经验教训或使用的攻击方法方面询问像SolarWinds攻击这样广为人知的漏洞。“即使他们不熟悉它，他们也可以花几秒钟时间在IOC和SolarWinds上进行搜索，”他说。这反映了在职现实，即不应该根据他们的直接知识来判断安全分析师，而应该根据他们快速评估风险和谈论补救措施的能力来判断。

从那里，Glavach转到情景对话，例如：今天是星期一。你度过了一个美好的周末，前一天晚上看到两个奇怪的登录警报，来自纽约和旧金山，彼此相距不到五分钟，其中一个成功。您还在南部办公室检测到Cobalt Strike和信标。你需要做什么来分类这个？

Glavach说，其余的对话模拟了安全运营中心(SOC)同事之间会发生的情况，Glavach说，就想法协作、知识共享、评估情况的严重程度以及应该采取哪些措施进行补救而言。他说：“我听到的答案表明，候选人并不像他们的简历让我相信的那样有经验。”“简历讲故事，但人讲小说。”

收到新的威胁情报后，您的第一步是什么？

[wshop_paid post_id=”282″ show_buy_btn=”true”]04

另一种基于场景的方法侧重于候选人将采取的第一步或他们提出的第一个问题，例如，当他们收到新的威胁情报或有关系统或设备中新发现的漏洞的建议时。

对于位于阿拉斯加州安克雷奇的GCI通信公司网络安全高级主管、前网络安全顾问Peter Gregory来说，答案应该侧重于了解威胁是否与组织相关，“这立即表明需要有效的资产管理所以安全分析师可以很快得到答案，”他说。即使候选人不熟悉资产管理——根据格雷戈里以前的咨询经验，他说许多公司在这方面做得很差——他们也应该表明资产管理对解决问题的价值有多大。

Evans的“第一步”问题围绕着当数据泄露损害了特定机器时该怎么办。经验不足的候选人可能会建议关闭机器并拍摄硬盘驱动器的图像。有更多经验的人会专注于进行适当的内存诊断（因为大多数高级攻击者不会写入硬盘驱动器）以及网络数据包分析以确定漏洞的来源。“关闭机器是一种基本的取证技术，但它并不关注事件响应，”Evans说。

其他好的响应将侧重于与现有的事件响应策略保持一致或具有表示关键系统和设备所在位置的准确网络图的重要性。“事件响应的很大一部分是控制事件，如果你不知道环境的边界，你就无法控制，”Evans说。

网络安全是您的工作还是生活方式？

对于那些擅长网络安全的人来说，他们对这个话题的兴趣不是朝九晚五的事情；这是一种弥漫在他们日常生活中的热情。为了了解情况是否如此，Lindemoen喜欢询问候选人的家庭网络设置。“我会查看他们使用的是WPA2还是WPA和WEP，以及他们是否为客人使用家庭无线网络设置了单独的网络，”他说。“它们是简单的事情，但它提供了一些关于他们如何看待个人生活中的安全性的见解。”

Lindemoen还询问如果可以的话，他们最想参加哪些网络安全会议，以及为什么。“他们可能会提到一个他们专注于或真正热衷的利基市场，而不是命名一个著名的会议。”

Glavach说，参与夺旗(CTF)和其他网络健美操事件和活动是另一个很好的晴雨表。由于这些程序是免费的，因此与昂贵的认证相比，它们更能体现激情。“如果有候选人没有获得认证，但他们参加了类似于DEFCON CTF或SANS Holiday Hack的CTF，这表明他们非常投入，”他说。“它显示了高度的好奇心和对他们手艺的承诺。”

Glavach还询问了有关网络安全的进攻方面以及攻击如何运作的问题，包括攻击者之间协作的必要性。“我喜欢问他们作为后卫最喜欢的进攻是什么，或者他们读过的最迷人的进攻是什么，”他说。“每个人都有一些他们非常好奇的东西。”

你能在不使用流行语的情况下完成一个句子吗？

成功的安全分析师也是被Gregory称为“双语”的人——能够从技术和商业角度进行交谈。“他们需要能够在不使用单一IT或安全首字母缩略词或流行语的情况下与业务主管进行对话，并轻松地用业务术语表达自己，”他说。

例如，为了向CFO解释资产管理的重要性，双语安全分析师可能会说，“如果我们只知道我们拥有什么，当新威胁出现时，我们就可以花更少的时间弄清楚这一点，而花更多的时间来保护这项业务，”格雷戈里说。

Glavach通过要求候选人首先描述一个广为人知的攻击，就像在每日SOC会议上与同行交谈一样来评估沟通技巧，重点是了解需要什么来防御它。然后，他问应聘者他如何将同样的信息转化为针对业务中非技术人员的宣传活动。谈话很快就变成了不使用“凭证填充”或“侦察”之类的词。

Lindemoen说，另一种策略是询问如果高级管理人员要求在公司网络上设置他的家庭设备，即使这违反公司政策，该怎么办。“我正在寻找一种外交回应，试图找到高管需要的根源，并寻求不违反政策或使公司面临外部风险的双赢，”他说。

关于安全领域的人工智能，你能告诉我什么？

面对动态的威胁形势和不断涌现的技术，无论是防御还是进攻，安全分析师都需要天生好奇并始终愿意了解更多。

“人们的印象是，你需要一个专业的编码员或一个沉浸在IT领域的人，”布鲁克斯说。“但这不一定是网络安全的重点，它确实是多方面的。它涉及让人们能够学习，因为威胁不断变化和变化。”

Brooks建议询问候选人他们对人工智能的了解，以及如何在暗网和自动化威胁检测中使用它。“我希望至少对网络态势意味着什么、加强防御并了解威胁是什么有一个基本的了解，”他说。“在当今时代，人工智能扮演着如此重要的角色，您必须了解它，因为您将自己使用它。”

END[/wshop_paid]