Interview-Fragen zum Security Engineer

Veröffentlicht: Zuletzt aktualisiert:
Sicherheitsingenieur: Interviewfragen für Software-Ingenieure

Sicherheit war noch nie so wichtig wie in diesem Moment. Als Gesellschaft haben wir uns daran gewöhnt, viel sensiblere und wichtigere Informationen in Bereichen abzulegen, die wir nicht kontrollieren können. Hinzu kommt, dass wir kollektiv arbeiten und viele der Anwendungen, die wir früher auf unseren eigenen Systemen gehostet haben, jetzt in der Cloud gehostet werden. Während diese neuen Trends eine Fülle von Möglichkeiten schaffen, bedeutet die wachsende Komplexität der Systeme, die Sensibilität der Daten und die Ausweitung des Zugriffs auf unsere Netzwerke, dass die Rolle des engagierten Sicherheitsingenieurs für die meisten Unternehmen unerlässlich geworden ist.

Security Engineers sind nicht einfach Ihre Standard-Software-Ingenieure oder -Entwickler, die von einer anderen Funktion abgezogen wurden, um sich um die Sicherheit zu kümmern. Die besten Kandidaten haben einzigartige Fähigkeiten und Herangehensweisen, die sie für diesen Zweck besonders geeignet machen. Security Engineers benötigen einen eigenen Bildschirm, der von den anderen Technologien, die Sie verwenden, getrennt ist. Lesen Sie weiter, um herauszufinden, was genau Ihr Sicherheitsingenieur wissen muss und wie Sie herausfinden können, ob er es weiß.

In diesem Leitfaden erfahren Sie es:

Was ist ein Sicherheitsingenieur? - Fragen zum Interview mit einem Product Security Engineer1. Was ist ein Sicherheitsingenieur?

Früher waren Ingenieure und Entwickler für die Sicherheit der Systeme verantwortlich, an denen sie arbeiteten. Wahrscheinlich irgendwann in den frühen Achtzigern begannen ein oder zwei Unternehmen, Leute mit dem alleinigen Zweck einzustellen, sich auf die Sicherheit zu konzentrieren, aber die Rolle des Sicherheitsingenieurs gewann erst in den frühen 2000ern wirklich an Popularität.

1.1 Wofür sind Sicherheitsingenieure zuständig?

Das Hauptziel eines Sicherheitsingenieurs ist es, Ihr Unternehmen gegen Cyberangriffe zu wappnen. Unter anderem beheben sie unsichere Verfahren, wenden Software- und Hardware-Update-Richtlinien an und entwerfen Zugriffskontrollen für verschiedene Systeme und Daten.

Sicherheitsingenieure denken immer über Bedrohungen für Ihr System nach. Das bedeutet, dass sie für die Definition, Aufzählung und Modellierung aller potenziellen Sicherheitsbedrohungen verantwortlich sind. Sie sind auch dafür verantwortlich, die Sicherheitsanforderungen Ihrer Computersysteme und Netzwerke zu erkennen. Wie machen sie das also?

1.2 Welche Arten von Arbeit machen Sicherheitsingenieure?

Technische Lösungen sind ein großer Teil des Jobs. Sicherheitsingenieure implementieren auch Sicherheitsrichtlinien und setzen sie durch. Wenn die Richtlinien in Kraft sind, liegt es an ihnen, alle Abschwächungen, Gegenmaßnahmen und andere Sicherheitsinfrastrukturen zu überwachen, zu warten und anzuwenden. Sie sind auch für die Erstellung und Weiterentwicklung von Maßnahmen und Richtlinien zur Reaktion auf Vorfälle verantwortlich.

Der Schutz von Systemen ist sicherlich ein Teil der Arbeit, aber Sicherheitsingenieure müssen oft einen Schritt weiter denken, nämlich an die Arten von Vermögenswerten, die in diesen Systemen gespeichert sind. Neben dem Schutz des Netzwerks und der IT-Infrastruktur Ihres Unternehmens konzentrieren sie sich auch auf die Sicherung des geistigen Eigentums des Unternehmens, das an diesen Orten gespeichert ist. Sie befassen sich auch mit einem Teil der physischen Sicherheit, da Cyberangriffe oft eine physische Komponente haben.

1.3 Warum ein Sicherheitsingenieur?

Ein Sicherheitsingenieur oder ein Team von Sicherheitsingenieuren übernimmt die Verantwortung für diesen wichtigen Bereich der Softwareentwicklung. Durch die Entwicklung einer speziellen Kompetenz im Bereich Sicherheit sind Sicherheitsingenieure in der Lage, bessere Ergebnisse zu erzielen als ein normales Entwicklungsteam. Das liegt vor allem daran, dass sie besser in der Lage sind, mit neuen Bedrohungen Schritt zu halten, einschließlich Schwachstellen, die in gängiger Software gefunden werden. Indem sie es zu ihrer Aufgabe machen, auf diese Bedrohungen zu reagieren, können sie das Unternehmen schützen, bevor diese gegen sie verwendet werden. Indem Sie einen engagierten Sicherheitsingenieur oder ein Sicherheitsteam unterhalten, kann Ihr Unternehmen gegen Bedrohungen in die Offensive gehen und sich selbst verteidigen, anstatt die Auswirkungen eines Sicherheitsverstoßes abmildern zu müssen.

Die Vorteile der erhöhten IT-Sicherheit führen dazu, dass man in mittleren bis großen Unternehmen immer häufiger eine engagierte Person oder ein Team findet, das sich der Sicherheit widmet, wo man vor ein paar Jahren noch keine gefunden hätte. Zu diesen Teams gehören neben den Sicherheitsingenieuren oft auch Pentester. Pentester sind das Ying zum Yang eines Sicherheitsingenieurs. Ein Sicherheitsingenieur baut Verteidigungsmaßnahmen in Ihrem System auf, während der Pentester versucht, Wege zu finden, diese zu durchbrechen. Indem er Schwachstellen aufdeckt, hilft der Pentester dem Sicherheitsingenieur, stärkere Verteidigungsmaßnahmen zu errichten.

Die besten Sicherheitsingenieure sind Spezialisten auf diesem Gebiet. Das heißt, es gibt keine formalen Anforderungen, um ein Sicherheitsingenieur zu werden. Für die meisten Leute ist es eine Mischung aus einem starken Verständnis für Informatik gemischt mit einem Verständnis für menschliche Psychologie.

Was ist für einen IT-Recruiter wichtig, um einen Security Engineer zu kennen? - Fragen zum Interview mit einem Product Security Engineer2. Was ist für einen IT-Recruiter wichtig, um über Sicherheit zu wissen?

Paradigmenwechsel sind im Sicherheitsbereich eher selten. Aber diese Tatsache sollte nicht zur Selbstzufriedenheit ermutigen. Sie brauchen nur darauf zu achten, wie oft Updates für Ihr Antivirenprogramm kommen, um zu erkennen, dass neue Angriffe, Schwachstellen und andere Sicherheitsprobleme an der Tagesordnung sind.

Im Laufe der Zeit neigen diese Angriffe dazu, sich zu verändern und in bestimmte Richtungen weiterzuentwickeln. Heutzutage findet man beispielsweise eher einen XSS-Angriff als ein früher beliebtes bösartiges Java-Applet. Was ein Recruiter jedoch verstehen muss, ist, dass Sicherheit ein sehr breites Wissen über IT-Themen erfordert.

Sicherheitsingenieure müssen Systemadministration, Computernetzwerke und Programmierung verstehen. Sie müssen auch verstehen, wie diese Komponenten alle zusammenkommen, um Barrieren zu schaffen und Schwachstellen zu beheben. Ein ganzheitlicher Systemansatz kann effizient mit Sicherheitsproblemen in einem Netzwerk umgehen.

3. Mit welchen Tools und Techniken sollte ein Sicherheitsingenieur vertraut sein?

Wie in vielen entwickelten Bereichen der Technologie gibt es eine Fülle von Tools, die Sicherheitsingenieuren zur Verfügung stehen. Dazu gehören Frameworks, Bibliotheken und andere Tools, die zur Verfolgung, Abwehr und Ermittlung der wahrscheinlichen Ursachen von Sicherheitsverletzungen verwendet werden.

Zusätzlich zu den Tools müssen Sicherheitsingenieure mehr domänenspezifische Themen verstehen. Dazu gehören Social Engineering, Phishing, Buffer Overflows, XSS, Zero-Days und Metasploit. Sie sollten gute Kenntnisse über administrative Tools und Firewalls haben, Antivirus-Lösungen, und Bedrohungsmodellierung. Schließlich ist ein Verständnis von Intrusion Detection Systems/Intrusion Prevention Systems oder Security Information and Event Management Systemen täglich erforderlich.

3.1 Hilfreiche Erfahrungen für Kandidaten der Sicherheitstechnik

Für den Umgang mit sicherheitsrelevanten Themen sind Kenntnisse in der Serveradministration, Flottenadministration, Netzwerkadministration und grundlegende Skriptprogrammierung wichtig. Ein guter Indikator dafür, dass sich Ihr Kandidat mit Sicherheitsfragen beschäftigt hat, ist kommerzielle Erfahrung in ähnlichen Positionen. Außerhalb der kommerziellen Erfahrung sind die Mitarbeit an sicherheitsrelevanten Open-Source-Projekten und die Teilnahme an sicherheitsrelevanten Veranstaltungen wie CTF-Spielen oder Sicherheitskonferenzen ein starker Indikator für das Interesse an Sicherheitskenntnissen. Erfahrung mit Pentesting oder Sicherheitsforschung ist ebenfalls hilfreich.

4. Screening eines Sicherheitsingenieurs anhand seines Lebenslaufs

Der Lebenslauf Ihres Bewerbers ist ein guter Ausgangspunkt, um herauszufinden, womit er vertraut ist. Aber sein wirklicher Wert liegt darin, dass er als Leitfaden für die Befragung während der Interviewphase dient. Zusätzlich zu den oben erwähnten Erfahrungen ist es wichtig, auf bestimmte wichtige Technologien im Lebenslauf eines Bewerbers zu achten. Um Ihnen dabei zu helfen, haben wir ein Glossar mit sicherheitsspezifischen Begriffen zusammengestellt.

Sicherheitsingenieur-Glossar für technische Recruiter - Fragen zum Vorstellungsgespräch für Produktsicherheitsingenieure

4.1 Sicherheitsingenieur-Glossar für technische Recruiter

APT (Advanced Persistent Threat) Ein Langzeitangriff, bei dem ein Angreifer oder eine Gruppe von Angreifern über einen langen Zeitraum hinweg in Deckung bleibt und dabei in der Regel fortschrittliche Techniken einsetzt und unbekannte Schwachstellen ausnutzt, die als 0-Tage bekannt sind.
Arbiträre Code-Ausführung (ACE) Siehe Remote Code Execution.
Antivirus Software zur Erweiterung der Sicherheit, insbesondere für Endknoten. Sie wird verwendet, um Malware oder unerwünschte Software zu erkennen, entweder durch statische Analyse mit Hilfe von Signaturen oder durch Verhaltensanalyse.
CCNA-Sicherheitszertifizierung (Cisco Certified Network Associate Sicherheitszertifizierung ) Sicherheitsorientierte Zertifizierung von Cisco.
CIA-Dreieck/Triade/Prinzip (manchmal auch AIC genannt, um Verwechslungen mit einem Geheimdienst zu vermeiden) CIA steht für Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Drei Schlüsselaspekte der Sicherheit, die bei der Bedrohungsmodellierung und der Gewährleistung der Sicherheit des Computersystems helfen.
CISSP (Certified Information Systems Security Professional) Eine bekannte und angesehene Sicherheitszertifizierung.
CSRF (Cross Site Request Forgery) Ein Angriff, der das Vertrauen ausnutzt, das die Website für den Benutzer/Browser hat. Der Angreifer versucht, einen authentifizierten Benutzer dazu zu bringen, unfreiwillig eine Aktion auszuführen, z. B. durch das Senden eines präparierten Links.
CVE (Common Vulnerability and Exposures) Ein von der MITRE Corporation gepflegtes System, das eindeutige IDs für öffentlich bekannte Schwachstellen bereitstellt.
DLP (Data Loss/Leak/Leakage Prevention) Technologien und Tools, die zur Gewährleistung der Sicherheit wichtiger Daten eingesetzt werden. DLP-Systeme verwenden transparente Ver-/Entschlüsselungsmethoden, um den Datenverkehr zu filtern, der kritische und wertvolle Daten enthält, um sicherzustellen, dass unverschlüsselte Informationen das Netzwerk des Unternehmens niemals verlassen werden.
Aushärtung Schritte, die unternommen werden, um die Sicherheit einer Anwendung oder eines Computersystems zu erhöhen, indem Patches angewendet, zusätzliche Module installiert oder unnötige Teile entfernt werden. Die Härtung reduziert die Angriffsfläche und verhindert in einigen Fällen, dass der Angreifer nach einem erfolgreichen Hack nennenswerten Schaden anrichten kann.
HSTS (HTTP Strict Transport Security) Eine Sicherheitsmaßnahme, die vor der Herabsetzung des Sicherheitsstandards bei der Übertragung über HTTPS schützt.
Social Engineering Hacken von Menschen statt Maschinen (z. B. die Sekretärin davon überzeugen, dass sie ein Dokument kopieren soll, statt einzubrechen und es zu stehlen).
IDS/IPS NIDS/HIDS (Intrusion Detection System / Intrusion Prevention System Netzwerk Intrusion Detection System/Host Intrusion Detection System) Systeme, die Werkzeuge zur Erkennung, Erkennung und Meldung von bösartigem Verhalten bereitstellen, das durch einen Einbruch verursacht werden kann. IPS bietet auch die Möglichkeit, Eindringlinge nach der Erkennung zu entschärfen.
Eindringprüfung Ein autorisierter Prozess der Sicherheitsprüfung eines Systems oder einer Anwendung, der einen Angriff aus der realen Welt simuliert. Er liefert Erkenntnisse über die tatsächliche Sicherheit des getesteten Objekts. Penetrationstests können je nach dem Wissen, das die Tester haben, unterteilt werden. White Box ist eine Angriffsart, bei der die Angreifer tiefe Kenntnisse über das Ziel haben. Im Gegensatz dazu ist Black Box ein Szenario, bei dem die Tester wenig oder kein Wissen über das getestete System haben.
Malware/Ransomware Der Begriff Malware steht für bösartige Software und beschreibt Programme, die von vornherein schädlich sind. Malware ist ein weit gefasster Begriff, der mehrere Arten von Schadsoftware wie Computerviren, Rootkits und Würmer beschreibt. Ransomware ist die Malware, die Benutzerdaten sperrt, sie in der Regel verschlüsselt und Lösegeld für die Entschlüsselung verlangt.
Metasploit Software, die von Rapid7 entwickelt und gewartet wird. Man könnte sie als das Schweizer Taschenmesser eines Pentesters bezeichnen. Metasploit bietet eine Datenbank mit bekannten Exploits und zusätzlicher Software und Methoden (z. B. zur Antiviren-Umgehung), die bei der Durchführung von Penetrationstests helfen.
Nmap/Port-Scanning Beim Port-Scanning wird ermittelt, welche Netzwerk-Ports geöffnet sind, indem TCP- oder UDP-Pakete an einen untersuchten Host gesendet und die erhaltene Antwort interpretiert wird. Nmap ist ein beliebter Port-Scanner, ein Tool, das zur Durchführung von Port-Scans verwendet wird.
OSCE (Zertifizierter Experte für Offensive Sicherheit) Zertifizierung für Penetrationstests.
OSCP (Offensiv-Sicherheits-Zertifizierter Profi) Zertifizierung für Penetrationstests.
PBKDF In der Kryptografie ist KDF (Key Derivation Function) eine Funktion, die auf Basis einer geheimen Eingabe geheime Schlüssel erzeugt. PBKDF steht für passwortbasierte Schlüsselableitungsfunktion und wird zur Ableitung eines geheimen Schlüssels aus dem Passwort eines Benutzers verwendet.
Phishing Ein Angriffstyp, der darauf abzielt, Benutzeranmeldeinformationen und vertrauliche Daten zu erlangen. Er besteht in der Regel darin, dass E-Mails versendet werden, die sich als eine Autorität ausgeben (z. B. Sicherheitspersonal, Chef, Arbeitgeber) und die Benutzer auf eine Website umleiten, die eine vertrauenswürdige Anmeldeseite imitiert. Dies kann z. B. durch eine URL-Domain geschehen, die sich durch ähnliche Buchstaben unterscheidet (z. B. großes i und kleines L) oder durch Typosquatting. Es handelt sich um einen Angriff, der nicht nur technische Schwachstellen ausnutzt, sondern auch Social Engineering einsetzt.
Rotes Team Eine Gruppe von Sicherheitsspezialisten, die die Sicherheitssysteme und -verfahren einer Organisation in realen Szenarien testet. Red-Team-Assessments können nicht nur Cyber-Vektoren, sondern auch physische Vektoren verwenden, wie z. B. das Eindringen in Gebäude, das Einschleusen von Geräten in die Netzwerke und Computer einer Organisation, die zur Kompromittierung ihrer Systeme beitragen können. Ein mögliches Ergebnis kann die Exfiltration von vertraulichen Daten sein. Rote Teams werden angeheuert, um bei der Ausbildung von blauen Teams zu helfen - Spezialisten, deren Aufgabe es ist, das System eines Unternehmens sicher zu halten, Vorfälle zu überwachen und darauf zu reagieren und die Auswirkungen von Sicherheitsverletzungen zu minimieren.
RCE/ACE (Remote Code Execution/Arbitrary Code Execution) Beschreibt die Auswirkungen einer Sicherheitslücke, die es dem Angreifer ermöglicht, beliebigen Code oder Befehle auf dem Zielsystem auszuführen. RCE tritt auf, wenn der Angreifer in der Lage ist, beliebigen Code auf dem entfernten Host über das Netzwerk auszuführen.
Sandkasten Ein Begriff, der eine Art sichere, unprivilegierte und isolierte Umgebung beschreibt, in der nicht vertrauenswürdige Software ausgeführt werden kann, ohne anderen Systemen Schaden zuzufügen.
SIEM (Security Information and Event Management) Komplexe Tools, die für die Aggregation von Protokollen, die Überwachung und Berichterstellung sowie die Echtzeitanalyse von Alarmen und Ereignissen verwendet werden, die von Software- und Hardwarelösungen im Netzwerk eines Unternehmens generiert werden.
SPAM Unerwünschte und nicht angeforderte Nachrichten, die per E-Mail gesendet werden.
Spear-Phishing Sehr gezielter Phishing-Angriff, der sich auf eine Person/Organisation usw. konzentriert. In der Regel geht dem Angriff eine lange und ausführliche Erkundung voraus.
SQL-Einschleusung (SQLi) Einer der beliebtesten Angriffe, der auf Datenbankabfragen in Anwendungen abzielt. Sie werden durch unsachgemäße Bereinigung, Kodierung und Behandlung der vom Benutzer bereitgestellten Daten verursacht. SQLi-Angriffe führen zur Ausführung beliebiger SQL-Anweisungen auf der Datenbank und zur Exfiltration oder Modifikation ihres Inhalts.
SSTI (Server Side Template Injection) Eine Code-Injektionstechnik, die auftritt, wenn der Server vom Benutzer übermittelte Daten in der Vorlage verwendet. Diese Art von Angriff kann zu einer serverseitigen willkürlichen Codeausführung führen.
Modellierung der Bedrohung Dies ist ein Prozess, der potenzielle Bedrohungen erkennt, identifiziert und priorisiert. So können beispielsweise Schwachstellen aufgedeckt werden, die von einem Angreifer ausgenutzt werden könnten, um Computersysteme zu kompromittieren. Die Bedrohungsmodellierung hilft dabei, Verfahren, Richtlinien und Maßnahmen zu entwerfen und zu implementieren, um wertvolle Ressourcen zu sichern und Angriffe unrentabel zu machen. Um die Bedrohungsmodellierung zu erleichtern, wurden Methoden wie VAST entwickelt.
VAST (Visuelle agile und einfache Bedrohungsmodellierung) Eine Methodik, die bei der Bedrohungsmodellierung verwendet wird.
Bewertung der Anfälligkeit Ein Prozess der Durchsuchung eines Systems nach bekannten Bedrohungen (bekannten Schwachstellen) mithilfe von Techniken wie Port-Scanning und Services Fingerprinting. Bei der Schwachstellenbewertung werden die Ergebnisse analysiert, um die Schwachstellen des Systems zu ermitteln, und es werden Abhilfemaßnahmen bereitgestellt, um das Risiko oder die Auswirkungen eines möglichen Angriffs zu minimieren.
WAF (Web Application Firewall) Ein Tool, das zum Härten von Webanwendungen verwendet wird. WAFs validieren Benutzereingaben und überwachen Anfragen auf bösartige Anfragen, blockieren diese und melden sie.
XSRF Ein weiteres Akronym für CSRF
XSS (Cross-Site Scripting)

Eine Klasse von Computersicherheitslücken, meist in Webanwendungen, die es einem Angreifer ermöglichen, clientseitige Skripte (meist in JavaScript, manchmal auch VBScript) einzuschleusen. Das Ausführen von Code im Browser eines Benutzers kann helfen, einige Zugriffskontrollmethoden wie SOP (same origin policy) zu umgehen, Authentifizierungsdaten (Cookies) zu exfiltrieren, um sich als angemeldeter Benutzer auszugeben, oder eine Website dynamisch zu verändern.

XXE (Externe XML-Entität) Ein Angriff, der auf XML-verarbeitende Anwendungen abzielt, die Verweise auf externe Entitäten nicht richtig behandeln. Normalerweise führt diese Art von Sicherheitslücke zur Offenlegung von Daten.

4.2 Die gebräuchlichsten Bezeichnungen für Sicherheitstechnik, die austauschbar verwendet werden

  • CRSF <-> XSRF (siehe Glossar)

4.3 Völlig unterschiedliche Versionen von Sicherheitsthemen

  • SSTI geht in der Regel XSS voraus, führt aber zur serverseitigen Codeausführung. Im Gegensatz dazu geht es bei XSS um die Ausführung von Client-seitigem Code.

4.4 Wie wichtig sind Security-Engineering-Zertifikate für die Beurteilung der Programmierkenntnisse eines Kandidaten?

Zertifikate sind sicherlich nicht alles, aber es gibt einige bemerkenswerte Zertifikate, die für Sicherheitsingenieure respektiert werden. Diese sind gut zu haben, aber nicht unbedingt notwendig. Die am häufigsten respektierten sind:

  • CISSP
  • OSCP
  • OSZE
  • CCNA [Sicherheit]

4.5 Andere Dinge, auf die man im Lebenslauf eines Sicherheitsingenieurs achten sollte

  • Es ist gut, eine Liste der eingereichten CVEs zu haben (siehe Glossar)

Fragen für ein Interview mit einem Sicherheitsingenieur bei einem technischen Telefon-/Videointerview - Fragen für ein Interview mit einem Produktsicherheitsingenieur5. Interviewfragen für Sicherheitsingenieure bei einem technischen Telefon-/Videointerview

Ein Lebenslauf eines Sicherheitsingenieurs kann Ihnen einen Anhaltspunkt über das Wissen und die Erfahrung eines Sicherheitsingenieurs geben, aber es ist wichtig, zu prüfen, worüber der Kandidat tatsächlich sprechen kann und wie er sein Wissen in der Vergangenheit angewendet hat.

5.1 Fragen zur Erfahrung des Kandidaten

Q1: Haben Sie einen Verstoß behandelt? Wie ist es dazu gekommen? Wie konnte er verhindert werden?

Warum Sie Q1 fragen sollten: Der Kandidat soll in der Lage sein, seine Erfahrungen mit der gegebenen Branche zu teilen. Riesige Verstöße passieren nicht täglich, aber kleinere Unfälle schon, daher sollte der Kandidat einige Gedanken und Schlussfolgerungen zu diesem Thema haben. Beachten Sie, dass bestimmte Fälle lebenswichtige Informationen sind und Details vertraulich sein können, so dass ein Interviewpartner möglicherweise nicht darüber sprechen darf.

Q2: Was ist Ihre Meinung über die Rolle des Sicherheitsingenieurs in der Firma?

Warum Sie Q2 fragen sollten: Der Kandidat sollte die Aufgaben eines Sicherheitsingenieurs in einer Organisation kennen. Beachten Sie, dass bestimmte Aufgaben außerhalb oder innerhalb des Umfangs dieser Funktion liegen können - dies hängt von der Struktur der Organisation ab.

Q3: Was halten Sie von BYOD (bringen Sie Ihr eigenes Gerät mit)?

Warum Sie Q3 fragen sollten: Unabhängig davon, für welche Seite sich der Kandidat entscheidet, ist es wichtig, die Risiken, Schwachstellen und den richtigen Umgang mit nicht vertrauenswürdigen Geräten und dem Zugriff auf die Daten des Unternehmens zu verstehen.

5.2 Fragen zu den Kenntnissen und Meinungen des Kandidaten

Q1: Was ist eine Bedrohung, Verwundbarkeit, Ausbeutung und Schadensbegrenzung? (erklären)

Warum Sie Q1 fragen sollten: Mit dieser Frage kann der Kandidat sein Verständnis und seine Grundkenntnisse der in der IT-Sicherheit verwendeten Begriffe zeigen. Der Kandidat sollte darlegen, dass Mitigations Patches/Korrekturen sind, die auf Software (oder andere Mechanismen, die z.B. auf Kernel-Ebene verwendet werden) angewendet werden, um die Ausnutzung der Schwachstelle zu verhindern.

Q2: Was ist eine SQL-Injektion und wie unterscheidet sie sich von XXE? (erklären)

Warum Sie Q2 fragen sollten: Der Kandidat sollte in der Lage sein, ein grundlegendes Verständnis für einige häufige Schwachstellen in modernen Anwendungen zu zeigen.

Q3: Was führt zu SSTI (serverseitige Template-Injektion) und ist sie gefährlicher als XSS? Wie unterscheiden sie sich?

Warum Sie Q3 fragen sollten: Schwachstellen sind komplex. Manchmal kann das Auftreten einer Art von Fehlern ein Hinweis darauf sein, dass sich auch ein anderer Teil der Anwendung fehlerhaft verhält und die tatsächliche Bedrohung eine viel größere Auswirkung hat, als zunächst angenommen wurde.

Q4: Was sind: IDS, IPS und EDR. Wie unterscheiden sie sich?

Warum Sie Q4 fragen sollten: Der Kandidat sollte in der Lage sein, die grundlegenden Klassen von Werkzeugen zu unterscheiden, mit denen Angreifer entdeckt und daran gehindert werden können, Schäden zu verursachen.

Q5: Wie funktioniert die asymmetrische Verschlüsselung? Wann sollten Sie sie einsetzen? Was sind die Vor- und Nachteile im Vergleich zur symmetrischen Verschlüsselung? Nennen Sie einen symmetrischen und einen asymmetrischen Verschlüsselungsalgorithmus.

Warum Sie Q5 fragen sollten: Kryptographie ist bei der Absicherung moderner Anwendungen allgegenwärtig. Der Kandidat sollte die Nachteile der asymmetrischen Verschlüsselung kennen (z. B. Geschwindigkeit).

Q6: Was ist der Unterschied zwischen der Stromchiffrierung und der Blockchiffrierung?

Warum Sie Q6 fragen sollten: Der Kandidat sollte in der Lage sein, grundlegende Kenntnisse über die Werkzeuge der modernen Kryptographie und deren Anwendungsfälle darzustellen.

Q7: Was ist Hashing (kryptographisch), wofür wird es verwendet, wann und wie unterscheidet es sich von Verschlüsselung? Nennen Sie einen Hashing-Algorithmus, der nicht verwendet werden sollte, und einen "nicht erwiesenermaßen unsicheren".

Warum Sie Q7 fragen sollten: Der Kandidat soll wissen, dass z. B. das Speichern von Passwörtern von Clients im Klartext eine verwerfliche Praxis ist und hier Hashing-Funktionen eingesetzt werden sollten. Die unsichere Funktion ist zum Beispiel MD5. SHA256 hat nach wie vor nachweislich keine Kollisionen und ist eher sicher zu verwenden.

Q8: Was ist PBKDF, wie funktioniert sie? Warum sie verwenden?

Warum Sie Q8 fragen sollten: Der Kandidat sollte in der Lage sein, Kenntnisse über die Existenz dieser Mechanismen und effiziente/bequeme Wege zur Umsetzung von Sicherheit im Alltag zu zeigen.

Q9: Wie unterscheidet sich CSRF von XSS?

Warum Sie Q2 fragen sollten: Der Kandidat sollte in der Lage sein, Klassen von allgemeinen Sicherheitslücken zu unterscheiden.

Q10: Was ist ein Fingerabdruck?

Warum Sie Q10 fragen sollten: Dieses Thema ermöglicht es dem Kandidaten, über Methoden zur Identifizierung angetroffener Systeme zu sprechen. Die Technik wird normalerweise vom Angreifer in der Aufklärungsphase verwendet. Der Kandidat kann auch über einzigartige, auf Fingerabdrücken basierende Verfolgungsmethoden sprechen.

Q11: Wie kann man überprüfen, ob die heruntergeladene Datei korrekt ist?

Warum Sie Q2 fragen sollten: Bei dieser Frage soll der Kandidat praktische und grundlegende Kenntnisse über Prüfsummen, Hash-Algorithmen und kryptografische Signaturen zeigen.

Q12: Erklären Sie das CIA-Prinzip.

Warum Sie Q12 fragen sollten: Das CIA-Prinzip oder CIA-Dreieck ist ein grundlegendes Modell, das zur Erstellung von Sicherheitsrichtlinien verwendet wird. Der Kandidat sollte in der Lage sein, anhand dieses Modells sein tiefes Wissen darüber darzulegen, welche Regeln bei der Entwicklung von Regeln und Richtlinien berücksichtigt werden sollten.

Q13: Was ist Hafenklopfen?

Warum Sie Q13 fragen sollten: Der Kandidat sollte mit grundlegenden Sicherheitsmaßnahmen vertraut sein. Diese Frage ist ein wenig knifflig, da Port-Knocking nicht als kugelsicher angesehen werden sollte.

Q14: Nennen Sie ein sicheres Protokoll zur Verwaltung entfernter Server?

Warum Sie Q14 fragen sollten: Der Kandidat sollte in der Lage sein, über grundlegende Tools zu sprechen, die die Sicherheit bei täglichen Aufgaben wie der Verwaltung von Remote-Servern gewährleisten. SSH ist eines davon.

Q15: Was ist rlogin und sollte es verwendet werden? Warum? Warum nicht? Erklären Sie

Warum Sie Q15 fragen sollten: IT-Sicherheit ist ein sehr dynamisches Feld, aber manchmal müssen Umgebungen alte Anforderungen erfüllen. Deshalb verwenden sie alte Technologien wie rlogin. Durch die Beantwortung dieser Frage kann der Kandidat nachweisen, dass er ein tiefgehendes Wissen über Sicherheitstools hat und weiß, welche davon unsicher sind und warum.

Q16: Was ist Verhärtung?

Warum Sie fragen sollten Q16: Diese Frage soll dem Kandidaten die Möglichkeit geben, über verschiedene Methoden zu sprechen, um die Umgebung und Anwendungen sicherer zu machen.

Q17: Was sind Penetrationstests? Was ist eine Schwachstellenbewertung? Wie unterscheiden sie sich? Was ist ein Sicherheitsaudit?

Warum Sie Q17 fragen sollten: Diese Frage ist ein wenig knifflig. Manchmal werden diese Begriffe missverstanden und austauschbar verwendet. Das Management kann diese Begriffe falsch verwenden, daher sollte der Kandidat mit ihnen vertraut sein und die Unterschiede kennen.

Q18: Nennen Sie einen Pentesting-Leitfaden.

Warum Sie fragen sollten Q18: Pentesting-Reports landen in der Regel auf dem Schreibtisch eines Security Engineers. Der Kandidat sollte in der Lage sein, einige Richtlinien von Penetrationstests zu kennen, nicht nur um Berichte richtig zu behandeln, sondern auch um Funktionen zu berücksichtigen, die nicht vom Pentest betroffen sind.

Q19: Was ist PKI (Public-Key-Infrastruktur)? Wie funktioniert sie?

Warum Sie Q19 fragen sollten: Mit der Beantwortung dieser Frage kann der Kandidat sein Wissen über den Umgang mit Authentifizierung durch kryptografische Lösungen nachweisen. Der Kandidat sollte sich der Annahmen bewusst sein, die mit dieser Art von Mechanismen einhergehen.

Q20: Was ist Kerberos? Wozu wird er verwendet? Kann es in Windows-Domänen verwendet werden?

Warum Sie Q20 fragen sollten: Die Netzwerke einer großen Organisation benötigen spezielle Lösungen, um Angriffsflächen in Bereichen zu reduzieren, die mit Zugriffsbeschränkungen verbunden sind. Der Kandidat kann sein Verständnis für eine der gängigsten Lösungen, deren Vorteile und Einschränkungen darlegen.

Q21: Was ist Zertifikatsanheftung? Wie macht man das richtig?

Warum Sie Q21 fragen sollten: Bei dieser Frage geht es um die Gewährleistung der Sicherheit trotz Kommunikation über einen unsicheren Kanal. Sie hilft dem Kandidaten, sein Wissen über gängige Abhilfemaßnahmen zu zeigen.

Q22: Was tun Sie, wenn Ihr privates Zertifikat gestohlen wird?

Warum Sie Q22 fragen sollten: Dies ist eine praktische Frage, die dem Kandidaten die Möglichkeit gibt, über Handlungen zu sprechen, die eher selten sind, aber einen wirklich starken Einfluss auf die Unternehmenssicherheit haben. Dies kann eine sehr stressige und gefährliche Situation sein und zu wissen, wie man damit umgeht, ist eine der Software-Engineering-Eigenschaften.

Q23: Nennen Sie ein beliebtes Werkzeug zum Scannen von Schwachstellen?

Warum Sie Q23 fragen sollten: Diese Frage bezieht sich zwar nicht strikt auf den Job eines Sicherheitsingenieurs, ermöglicht es dem Kandidaten jedoch, sein Wissen über die bei Sicherheitsbewertungen verwendeten Tools unter Beweis zu stellen.

Q24: Was ist ein blaues Team, ein rotes Team und ein violettes Team? Welches ist das wichtigste?

Warum Sie Q24 fragen sollten: Anhand dieser Frage zeigt der Kandidat, ob er sich eher für offensive oder für defensive Sicherheit interessiert. Aber unabhängig von der Wahl, zeigen diese Fragen ein Verständnis für die modernen Sicherheitsherausforderungen und Lösungen.

Q25: Was ist DLP, wie funktioniert es?

Warum Sie Q25 fragen sollten: Diese Frage gibt dem Kandidaten die Möglichkeit, über einige Techniken zu sprechen, die helfen, Datenlecks zu verhindern oder zu lokalisieren.

Q25: Was ist die WAF? Nennen Sie eine WAF-Lösung.

Warum Sie Q25 fragen sollten: Webanwendungen sind heutzutage sehr beliebt. Deshalb werden sie auch sehr oft zum Ziel. Der Kandidat sollte einige Kenntnisse über die Möglichkeiten haben, sie zu schützen und über gängige Produkte, die eingesetzt werden können.

Q26: Was ist SOP (gleiche Ursprungsregeln)?

Warum Sie fragen sollten Q26: Der Kandidat sollte in der Lage sein, über diese Abschwächungen, wie sie in modernen Browsern implementiert sind, sowie über ihre Stärken und Schwächen zu sprechen.

Q27: Was ist CSP (Content Security Policy), wann sollte es eingesetzt werden?

Warum Sie fragen sollten Q27: Da XSS in der OWASP-Top-10-Liste der Schwachstellen ganz oben steht, kann der Kandidat mit dieser Frage zeigen, dass er mit diesem Problem vertraut ist und die richtigen Abhilfemaßnahmen kennt.

Q28: Wie lässt sich SQL-Injektion eindämmen?

Warum Sie Q28 fragen sollten: Diese Frage ermöglicht es dem Kandidaten, über einige grundlegende Abschwächungen zu sprechen, die in Anwendungen (z. B. vorbereitete Anweisungen) verwendet werden, um sicherzustellen, dass die vom Benutzer bereitgestellten Daten richtig behandelt werden und als nicht vertrauenswürdig eingestuft bleiben.

Q29: Was ist HSTS? Warum sollten Sie es verwenden?

Warum Sie Q29 fragen sollten: Der "Man in the Middle" hat einen großen Einfluss auf die Sicherheit. Der Kandidat, der diese Frage beantwortet, sollte in der Lage sein, ein grundlegendes Verständnis von Kryptographie-Anwendungen und Lösungen zu zeigen, die diesen gefährlichen Angriff entschärfen.

Q30: Erklären Sie, wie TLS funktioniert (in wenigen Sätzen).

Warum Sie Q30 fragen sollten: Diese Frage bietet dem Kandidaten die Möglichkeit, über moderne kryptographische Lösungen zur Absicherung unsicherer Kommunikationskanäle mit sehr populärer Technologie zu sprechen.

Q31: Was ist der Unterschied zwischen Autorisierung und Authentifizierung?

Warum Sie Q31 fragen sollten: Dies ist eine wirklich grundlegende Frage, die zeigen wird, dass der Kandidat ein richtiges Verständnis von Begriffen und Herausforderungen hat, mit denen er in seinem Job als Sicherheitsingenieur täglich konfrontiert sein wird.

Q32: Was sind ACLs? Wie verwendet man sie?

Warum Sie Q32 fragen sollten: Diese Frage soll zeigen, dass der Kandidat die Lösung der Zugriffsbeschränkung in modernen Systemen richtig kennt.

Q33: Nennen Sie Vertraulichkeitsebenen.

Warum Sie Q33 fragen sollten: Diese Frage erlaubt es dem Kandidaten, über grundlegende Begriffe zu sprechen, die zur Beurteilung des Schutzniveaus von Vermögenswerten in der Organisation verwendet werden.

Q34: Was ist RADIUS? Wann sollten Sie es benutzen?

Warum Sie Q34 fragen sollten: Mit der Beantwortung dieser Frage zeigt der Kandidat sein fundiertes Wissen über moderne Lösungen für die Authentifizierung und Autorisierung von Anwendern, die die wichtigste Ebene zur Gewährleistung der Sicherheit darstellen.

Q35: Was ist VLAN, wann sollten Sie es benutzen? Wie funktioniert das VLAN-Hopping?

Warum Sie Q35 fragen sollten: Bei dieser Frage kann der Kandidat darlegen, wie Netzwerklösungen für die Netzwerktrennung eingesetzt werden.

Q36: Wie sichert man WiFi in einer Organisation? (Netztrennung)

Warum Sie Q36 fragen sollten: Dies ist ein breites Thema. Der Kandidat kann das Verständnis für das komplexe Problem und sein Verständnis der Bedrohungsmodellierung darlegen.

Q37: Nennen Sie drei Arten von Sicherheitstests je nach Kenntnisstand des Angreifers. Welche ist die zuverlässigste und simuliert ein Szenario aus der realen Welt?

Warum Sie Q37 fragen sollten: Pentests sind eine der Möglichkeiten, implementierte Sicherheitsmaßnahmen zu hinterfragen. Der Kandidat wird in der Lage sein, seinen Kenntnisstand über das simulierte Angreiferteam zu zeigen, der bei der Bedrohungsmodellierung und der Analyse der Berichte hilfreich ist.

Q38: Benennen Sie jede Schicht des ISO/OSI-Modells.

Warum Sie Q38 fragen sollten: Diese Frage gibt dem Kandidaten die Möglichkeit, das Grundwissen über Netzwerke zu zeigen.

Q39: Was ist ein Restrisiko?

Warum Sie Q39 fragen sollten: Der Kandidat kann sein fundiertes Wissen über Bedrohungen und Bedrohungsmodellierung unter Beweis stellen. Dies ist eine wichtige Fähigkeit, die bei Risikobewertungen eingesetzt wird.

Q40: Stellen Sie sich vor, Sie arbeiten für ein kleines Unternehmen. Dort werden jeden Monat mehrere Praktikanten für einen kurzen Zeitraum beschäftigt. Sie benötigen Zugang zu einigen Servern und einem WiFi-Netzwerk. Wie werden Sie damit umgehen?

Warum Sie Q40 fragen sollten: Dies ist ein praktisches und breit gefächertes Thema, bei dem der Kandidat sein Wissen über Netzwerke und Sicherheitslösungen zeigen kann, die dazu beitragen, die Sicherheit in Unternehmen auf bequeme Weise zu gewährleisten. Er/sie sollte auf Mechanismen hinweisen, die verwendet werden, um die Notwendigkeit zu umgehen, ein Passwort im Team zu teilen und zu ändern.

Q41: Was ist ein Passwort-Manager? Wozu sollte er verwendet werden?

Warum Sie Q41 fragen sollten: Diese Frage hilft dem Kandidaten, sein Wissen über die Vereinfachung von Sicherheitsmechanismen für Endbenutzer zu zeigen.

Q42: Welche Richtlinie ist besser - Blacklisting oder Whitelisting, und warum?

Warum Sie Q42 fragen sollten: Mit dieser Frage kann der Kandidat ein Grundwissen über die Position von Verteidigern in der Cyber-Kriegsführung zeigen. Das Wissen um die Nachteile von Whitelists kann katastrophale Ereignisse in der Zukunft verhindern.

Q43: Definieren Sie, was ein Mann in der Mitte des Angriffs ist.

Warum Sie Q43 fragen sollten: Diese Frage hilft dem Kandidaten, sein Wissen über moderne Bedrohungen und beliebte Angriffe zu zeigen. Sie sollte auch die Möglichkeit bieten, über Gegenmaßnahmen zu sprechen.

Q44: Wie funktioniert der Diffie-Hellman-Schlüsselaustausch (DHKEX)?

Warum Sie Q44 fragen sollten: Bei dieser Frage kann der Kandidat über einen der beliebtesten und am häufigsten verwendeten Mechanismen sprechen.

Q45: Was ist das SIEM und wie funktioniert es?

Warum Sie Q45 fragen sollten: Der Kandidat wird in der Lage sein, sein Verständnis für die Werkzeuge zu zeigen, die zur Verteidigung der Vermögenswerte einer Organisation eingesetzt werden.

Q46: Was sind DoS und DDoS? Worin besteht der Unterschied zwischen DoS und DDoS?

Warum Sie Q46 fragen sollten: Dies ist eine einfache Frage, die ein grundlegendes Verständnis von wirklich gängigen und alten Angriffen zeigt, die auch heute noch sehr beliebt sind.

Q47: Wie verhindert man DNS-Spoofing und wie sichert man einen DNS?

Warum Sie Q47 fragen sollten: Mit dieser Frage kann der Kandidat sein administratives Wissen und sein Verständnis für moderne Bedrohungen in Organisationen unter Beweis stellen. Wenn Sie über die Sicherung eines DNS sprechen, zeigt dies, dass der Kandidat mit kryptographischen Mechanismen und Lösungen vertraut ist, die zur Bekämpfung aktueller Bedrohungen in internen Netzwerken bereitgestellt werden.

5.3 Verhaltensbezogene Fragen Sie sollten fragen, um zu verstehen, wie sich der Kandidat in der Vergangenheit verhalten hat

Q1: Die letzten zwei Jahre waren von Lösegeldanschlägen besetzt, die in Organisationen und Unternehmen verheerende Verwüstungen anrichteten und riesige finanzielle und Reputationsverluste verursachten. Welche Schritte würden Sie unternehmen, um solche Unfälle in Ihrer Organisation zu verhindern?

Warum Sie Q1 fragen sollten: Mit dieser Frage kann der Kandidat die Bedrohungen der heutigen Zeit herausfordern und seine Kreativität bei der Lösung nicht-trivialer Probleme zeigen.

Q2: Ihr IDS meldete einen Bruch. Was würden Sie tun, um die Bedrohung zu beseitigen?

Warum Sie Q2 fragen sollten: Dies ist ein breit gefächertes Thema, das es dem Kandidaten ermöglicht, sein Verständnis für Sicherheitsrichtlinien und die Komplexität von Sicherheitsproblemen zu zeigen und seine umfassende Sichtweise des Problems darzustellen.

Technisches Screening der Fähigkeiten eines Sicherheitsingenieurs mit Hilfe eines Online-Codierungstests - Fragen zum Vorstellungsgespräch für Produktsicherheitsingenieure6. Technisches Screening der Security-Engineering-Fähigkeiten mithilfe eines Online-Codierungstests

Sicherheit sollte kein abstraktes Konzept sein, über das Sie nachdenken. Es sollte eine fortlaufende Reihe von Vorbereitungen gegen und Reaktionen auf die Sicherheitsbedrohungen sein, mit denen Ihr Unternehmen konfrontiert ist. Wie wir bereits besprochen haben, ist eine wichtige Komponente davon die Fähigkeit, zu codieren und Tools zum Testen der Sicherheit einer Anwendung oder eines Netzwerks zu verwenden. Der Kodierungstest, den Sie verwenden, sollte dies widerspiegeln.

6.1 Welchen Sicherheitsprogrammiertest sollten Sie wählen?

Bei der Suche nach dem richtigen Security-Online-Programmiertest sollten Sie darauf achten, dass dieser die folgenden Kriterien erfüllt.

  • Sie spiegeln die reale Arbeit mit realen, aktuellen Sicherheitsherausforderungen wider
  • Sie nehmen nicht allzu viel Zeit der Kandidaten in Anspruch, maximal ein bis zwei Stunden
  • Sie können automatisch versendet werden und können überall mitgenommen werden, um Ihnen und Ihrem Kandidaten Flexibilität zu geben
  • Sie prüfen nicht nur, ob die Lösung funktioniert, sondern auch die Qualität des Codes und wie gut er in Randfällen funktioniert
  • Sie sind so nah an der natürlichen Programmierumgebung wie möglich und ermöglichen dem Kandidaten den Zugriff auf die Ressourcen, die er normalerweise bei der Arbeit nutzen würde
  • Sie lassen den Kandidaten alle Bibliotheken, Frameworks und andere Tools verwenden, die er normalerweise nutzen würde, einschließlich der für die Aufgabe wichtigsten
  • Sie sind auf einem angemessenen Niveau, das den Fähigkeiten des Bewerbers entspricht

7. DevSkiller gebrauchsfertige Online-Tests zur Bewertung der Sicherheitskodierung

Die RealLifeTestingTM -Methodik von Devskiller ist ideal für das Testen der Fähigkeiten von Sicherheitsingenieuren. Die Plattform stellt keine akademischen Fragen. Stattdessen werden reale Sicherheitssituationen vorgegeben, die ein Sicherheitsingenieur mit seiner Erfahrung und Kreativität angehen muss. Darüber hinaus werden die Tests automatisch benotet und Sie können sehen, wie der Sicherheitsingenieur auf seine Lösung kommt. DevSkiller bietet Sicherheitstests sowohl mit Coding als auch mit Systemen. Hier sind ein paar, von denen Sie versuchen können.

SENIOR
Geprüfte Fähigkeiten
Dauer
65 Minuten max.
Auswertung
Automatisch
Test-Übersicht

Auswahlfragen

Beurteilung des Wissens über Sicherheit, Hashing, MD5, Algorithmen, ACL, IPC, Linux, Betriebssystem

Code-Lücken

Beurteilung des Wissens über Nnetcat, Portscan, Sicherheit, Nmap, Passwörter, Privilegieneskalation, Benutzer

Prüfaufgabe

Sicherheit | Betrugsbekämpfung - Hacken der Website - Stehlen der Kreditkartennummer, mit der die Bestellung mit dem höchsten Wert aufgegeben wurde

JUNIOR
Geprüfte Fähigkeiten
Dauer
70 Minuten max.
Auswertung
Automatisch
Test-Übersicht

Auswahlfragen

Beurteilung des Wissens über Sicherheit, DevOps, Dockarbeiter

Testaufgabe - Stufe: Einfach

Sicherheit | SQL Injection | E-Mail-Leck auf eCommerce-Website - Finden Sie ein SQL Injection-Leck in der Webanwendung

JUNIOR
Geprüfte Fähigkeiten
Dauer
70 Minuten max.
Auswertung
Automatisch
Test-Übersicht

Auswahlfragen

Beurteilung des Wissens über Sicherheit

DevOps Aufgabe - Stufe: Einfach

Sicherheit | SQL Injection | E-Mail-Leck auf eCommerce-Website - Finden Sie ein SQL Injection-Leck in der Webanwendung

Beitrag teilen

Erfahren Sie mehr über die Einstellung von Technikern

Abonnieren Sie unseren Learning Hub, um nützliche Einblicke direkt in Ihren Posteingang zu erhalten.

Kodierfähigkeiten nahtlos verifizieren & entwickeln.

Sehen Sie DevSkiller-Produkte in Aktion.

Sicherheitszertifizierungen & Konformität. Wir sorgen dafür, dass Ihre Daten sicher und geschützt sind.

DevSkiller-Logo TalentBoost-Logo TalentScore Logo