安全分析师面试必问的7大问题
如果您正在面试安全分析师职位的候选人:一个是历史专业,没有正式的技术经验;另一个拥有计算机科学的高级学位,专注于网络安全,以及10年的渗透测试和安全运营中心环境经验。
你聘用哪位候选人?
如果您是安全教育提供商InfoSec的首席安全研究员Keatron Evans,那么历史专业将获得这份工作。通过提出正确的问题,埃文斯可以通过候选人的简历和证书看出最受重视的安全分析师特征:故障排除和解决问题的技能、好奇心、学习欲望以及对网络安全的天生热情。
根据美国劳工统计局调查,对安全分析师该职位的需求比以往任何时候都高,这一趋势可能会持续下去,从2019年到2029年,安全分析师的就业人数将增长31%。
以下7大面试问题将揭示应聘者是否具备担任这个广受欢迎的安全角色所需的技能和特质,帮助面试者保持领先地位,确保成功聘请安全分析师。
什么是TCP?
01
某人如何谈论诸如三向握手或TCP通信标准之类的话题可以揭示他们对安全基础知识的掌握情况。
在Evans的案例中,缺乏经验的候选人讨论TCP就好像他不仅在教科书中而且在计算环境中研究过它一样。“尽管她在所有候选人中的经验最少,但她的回答好像是她自己编写了有问题的协议,就像TCP一样,”他说。
其他基础知识包括区分对称加密和非对称加密,并描述每种加密的最佳使用位置、表明系统受损的异常情况或如何应对中间人攻击,网络安全实践董事总经理Travis Lindemoen说。在Nexus IT集团。“您正在倾听他们接受培训以修复此类攻击的过程,”他说。
无论是来自NIST、SANS还是MITRE,Brooks Consulting International总裁兼乔治城大学兼职教师Chuck Brooks说,熟悉框架也是一个有说服力的细节。“这些框架中有很多元素可以为您提供基本防御和风险管理的地图,”他说。
您将如何处理这种数据泄露?
02
不过,真正让Evans印象深刻的是,他面试(并最终聘用)这个缺乏经验的候选人如何解决一个技术场景,该场景需要回答10个有关处理数据泄露的问题。该练习涉及两台计算机——一台连接到基于云的实验室环境来完成任务,另一台连接到互联网来研究所需的信息,例如最近漏洞利用的最新细节。
“她熟练地使用了研究计算机,而更有经验的人甚至都懒得去碰它们,”埃文斯说。“出于这个原因,他们中的大多数人都错过了必须通过查看数据包和内存转储来回答的最后两个问题。”
Evans还特意要求考生为虚拟机提供一个静态IP地址以在网络上运行——他们只有通过阅读说明才能知道这一点。“一名候选人花了15分钟才停止抱怨无法访问并意识到他必须遵循指示,”他说。“SOC的很多工作都在关注细节以及阅读笔记和处理其他分析师收集的信息。”
您将如何对这些警报进行分类?
03
或者,可以通过对话来探索违规场景。这种更具互动性的方法可以突出候选人的思考、沟通和协作方式。面试官还可以根据应聘者的经验水平定制问题(填写信息、深入挖掘等)。
不过,首先造舒适的氛围很重要,因为紧张的人可能难以阅读,CyberSN的首席安全官兼首席策略师Dom Glavach说,CyberSN是一家专注于网络安全的职业和人员配备公司。
这就是为什么Glavach首先从妥协指标(IOC)、经验教训或使用的攻击方法方面询问像SolarWinds攻击这样广为人知的漏洞。“即使他们不熟悉它,他们也可以花几秒钟时间在IOC和SolarWinds上进行搜索,”他说。这反映了在职现实,即不应该根据他们的直接知识来判断安全分析师,而应该根据他们快速评估风险和谈论补救措施的能力来判断。
从那里,Glavach转到情景对话,例如:今天是星期一。你度过了一个美好的周末,前一天晚上看到两个奇怪的登录警报,来自纽约和旧金山,彼此相距不到五分钟,其中一个成功。您还在南部办公室检测到Cobalt Strike和信标。你需要做什么来分类这个?
Glavach说,其余的对话模拟了安全运营中心(SOC)同事之间会发生的情况,Glavach说,就想法协作、知识共享、评估情况的严重程度以及应该采取哪些措施进行补救而言。他说:“我听到的答案表明,候选人并不像他们的简历让我相信的那样有经验。”“简历讲故事,但人讲小说。”
收到新的威胁情报后,您的第一步是什么?
