Spørgsmål til interview om sikkerhedsingeniør

Udgivet: Sidst opdateret:
sikkerhedsingeniør: spørgsmål til interview som softwareingeniør

Sikkerhed har aldrig været vigtigere end lige nu. Som samfund har vi vænnet os til at placere langt mere følsomme og vigtige oplysninger på områder, som vi ikke kontrollerer. Desuden arbejder vi kollektivt, og mange af de applikationer, som vi tidligere hostede på vores egne systemer, hostes nu i skyen. Selv om disse nye tendenser skaber masser af muligheder, betyder systemernes stigende kompleksitet, dataenes følsomhed og den øgede adgang til vores netværk, at den dedikerede sikkerhedsingeniørs rolle er blevet afgørende for de fleste virksomheder.

Sikkerhedsingeniører er ikke blot almindelige softwareingeniører eller udviklere, der er blevet hentet ind fra en anden funktion for at se på sikkerheden. De bedste kandidater har unikke færdigheder og tilgange, der gør dem særligt velegnede til dette formål. Sikkerhedsingeniører har brug for en dedikeret skærm, der er adskilt fra de andre teknologier, som du bruger. Læs videre for at finde ud af præcis, hvad din sikkerhedsingeniør skal vide, og hvordan du finder ud af, om han/hun ved det.

I denne vejledning finder du ud af:

Hvad er en sikkerhedsingeniør? - spørgsmål til interview om produktsikkerhedsingeniør1. Hvad er en sikkerhedsingeniør?

Førhen var det ingeniører og udviklere, der var ansvarlige for sikkerheden i de systemer, de arbejdede på. Sandsynligvis begyndte en eller to virksomheder engang i begyndelsen af firserne at ansætte folk med det ene formål at fokusere på sikkerhed, men rollen som sikkerhedsingeniør blev først rigtig populær i begyndelsen af 2000'erne.

1.1 Hvad er sikkerhedsingeniører ansvarlige for?

En sikkerhedsingeniørs primære mål er at forberede din virksomhed mod cyberangreb. De retter bl.a. usikre procedurer, anvender politikker for software- og hardwareopdateringer og udformer adgangskontrol til forskellige systemer og data.

Sikkerhedsingeniører tænker altid på trusler mod dit system. Det betyder, at de er ansvarlige for at definere, opregne og modellere alle potentielle sikkerhedstrusler. De er også ansvarlige for at erkende sikkerhedskravene til dine computersystemer og netværk. Hvordan gør de det så?

1.2 Hvilke typer arbejde udfører sikkerhedsingeniører?

Tekniske løsninger er en stor del af jobbet. Sikkerhedsteknikere implementerer og håndhæver også sikkerhedspolitikker. Når politikkerne er på plads, er det op til dem at overvåge, vedligeholde og anvende eventuelle afbødninger, modforanstaltninger og anden sikkerhedsinfrastruktur. De er også ansvarlige for at skabe og derefter udvikle foranstaltninger og retningslinjer for reaktion på hændelser.

Beskyttelse af systemer er bestemt en del af jobbet, men sikkerhedsingeniører skal ofte tænke et skridt videre i forhold til de typer aktiver, som disse systemer opbevarer. Ud over at beskytte virksomhedens netværk og it-infrastruktur fokuserer de også på at sikre virksomhedens intellektuelle ejendom, der opbevares disse steder. De beskæftiger sig også med en del fysisk sikkerhed, da cyberangreb ofte har en fysisk komponent.

1.3 Hvorfor have en sikkerhedsingeniør?

En sikkerhedsingeniør eller et team af sikkerhedsingeniører tager ejerskab over dette vigtige område af softwareudviklingen. Ved at udvikle en specialistkompetence inden for sikkerhed kan sikkerhedsingeniører opnå bedre resultater end et normalt udviklingsteam. Det skyldes primært, at de er bedre i stand til at følge med i nye trusler, herunder sårbarheder, der findes i populær software. Ved at gøre det til deres opgave at reagere på disse trusler kan de beskytte virksomheden, før disse bliver brugt imod dem. Ved at have en dedikeret sikkerhedsingeniør eller et sikkerhedsteam kan din virksomhed gå i offensiven mod trusler og forsvare sig selv i stedet for at skulle afbøde virkningerne af et sikkerhedsbrud.

Fordelene ved øget IT-sikkerhed betyder, at der i stigende grad dukker en dedikeret person eller et team op, der er dedikeret til sikkerhed, i mellemstore og store virksomheder, hvor man ikke ville have fundet en sådan for bare et par år siden. Disse teams vil ofte omfatte pentesters ud over sikkerhedsingeniører. Pentesters er ying til en sikkerhedsingeniørs yang. En sikkerhedsingeniør opbygger forsvarssystemer i systemet, mens pentesteren forsøger at finde måder at bryde igennem dem på. Ved at afsløre sårbarheder hjælper pentesteren sikkerhedsingeniøren med at opbygge stærkere forsvar.

De bedste sikkerhedsingeniører er specialister på området. Når det er sagt, er der ingen formelle krav for at blive sikkerhedsingeniør. For de fleste mennesker er det en blanding af en stærk forståelse af datalogi og en forståelse af menneskelig psykologi.

Hvad er vigtigt for en it-rekrutteringsmedarbejder at vide om en sikkerhedsingeniør? - spørgsmål til interview om produktsikkerhedsingeniør2. Hvad er vigtigt for en it-ansætter at vide om sikkerhed?

Paradigmeskift er ret sjældne inden for sikkerhed. Men det bør ikke give anledning til selvtilfredshed. Du behøver blot at være opmærksom på, hvor ofte der kommer opdateringer til dit antivirusprogram, for at indse, at nye angreb, sårbarheder og andre sikkerhedsproblemer forekommer dagligt.

Med tiden har disse angreb en tendens til at ændre sig og udvikle sig i bestemte retninger. I dag er det f.eks. mere almindeligt at finde et XSS-angreb end en tidligere populær ondsindet Java-applet. En rekrutteringskonsulent skal dog forstå, at sikkerhed kræver en meget bred viden om it-emner.

Sikkerhedsingeniører skal have kendskab til systemadministration, computernetværk og programmering. De skal også forstå, hvordan disse komponenter alle sammen spiller sammen for at skabe barrierer og rette svagheder. En holistisk systemtilgang kan effektivt håndtere sikkerhedsproblemer på tværs af et netværk.

3. Hvilke værktøjer og teknikker bør en sikkerhedsingeniør være bekendt med?

Som på mange andre udviklede teknologiske områder er der et væld af værktøjer til rådighed for sikkerhedsingeniører. Disse omfatter rammer, biblioteker og andre værktøjer, der bruges til at spore, forsvare og bestemme de sandsynlige årsager til sikkerhedsbrud.

Ud over værktøjer skal sikkerhedsingeniører også forstå mere domænespecifikke spørgsmål. Disse omfatter social engineering, phishing, bufferoverløb, XSS, zero-days og Metasploit. De bør have et godt kendskab til administrative værktøjer, firewalls, antivirusløsninger, og trusselsmodellering. Endelig kræves der dagligt en forståelse af Intrusion Detection Systems/Intrusion Prevention Systems eller Security Information and Event Management-systemer.

3.1 nyttige erfaringer for kandidater til sikkerhedsteknik

For at kunne håndtere sikkerhedsrelaterede problemer er det vigtigt at have færdigheder inden for serveradministration, flådeadministration, netværksadministration og grundlæggende scriptprogrammering. En god indikator for, at kandidaten har beskæftiget sig med sikkerhedsspørgsmål, er erhvervserfaring i lignende stillinger. Uden for kommerciel erfaring er det at bidrage til sikkerhedsrelaterede open source-projekter og at deltage i sikkerhedsrelaterede arrangementer som CTF-spil eller sikkerhedskonferencer en stærk indikator for interesse for sikkerhedskompetencer. Erfaring med pentesting eller sikkerhedsforskning er også en fordel.

4. Screening af en sikkerhedsingeniør ved hjælp af deres cv

Kandidatens CV er et godt sted at starte for at finde ud af, hvad de er fortrolige med. Men den virkelige værdi er som en rettesnor for spørgsmålene under interviewet. Ud over at kigge efter den erfaring, som vi nævnte ovenfor, er det vigtigt at kigge efter visse vigtige teknologier på en kandidats CV. For at hjælpe dig har vi samlet en ordliste over sikkerhedsspecifikke termer.

Ordliste for sikkerhedsingeniører til tekniske rekrutteringsfolk - spørgsmål til interview med sikkerhedsingeniører om produktsikkerhed

4.1 Ordliste over sikkerhedsingeniører for tekniske rekrutteringsfolk

APT (Advanced Persistent Threat) Et langtidsangreb, hvor en angriber eller en gruppe af angribere holder sig dækket i en lang periode, normalt ved hjælp af avancerede teknikker og udnyttelse af ukendte sårbarheder, der er kendt som 0-dage.
Udførelse af vilkårlig kode (ACE) Se Fjernudførelse af kode.
Antivirus Software, der er dedikeret til at udvide sikkerheden, især for slutknudepunkter. Det bruges til at opdage malware eller uønsket software ved hjælp af enten statisk analyse ved hjælp af signaturer eller adfærdsanalyse.
CCNA sikkerhedscertificering (Cisco Certified Network Associate sikkerhedscertificering) Cisco sikkerhedsorienteret certificering.
CIA's trekant/triade/princip (undertiden kaldet AIC for at undgå forveksling med et efterretningsagentur) CIA står for Fortrolighed, Integritet og Tilgængelighed. Tre nøgleaspekter af sikkerhed, der hjælper med at opstille trusselsmodeller og sikre computersystemets sikkerhed.
CISSP (Certified Information Systems Security Professional) En velkendt og respekteret sikkerhedscertificering.
CSRF (Cross Site Request Forgery) Et angreb, der udnytter den tillid, som webstedet har til brugeren/browseren. Angriberen forsøger at narre en autentificeret bruger til ufrivilligt at udføre en handling, f.eks. ved at sende et forberedt link.
CVE (Common Vulnerability and Exposures) Et system, der vedligeholdes af MITRE Corporation, og som giver unikke ID'er for offentligt kendte sårbarheder.
DLP (forebyggelse af datatab/lækage/lækage) Teknologier og værktøjer, der anvendes til at sikre vital datasikkerhed. DLP-systemer anvender gennemsigtige krypterings-/dekrypteringsmetoder til at filtrere trafik, der indeholder kritiske og værdifulde data, for at sikre, at ukrypterede oplysninger aldrig forlader organisationens netværk.
Hærdning Foranstaltninger, der træffes for at forbedre sikkerheden i et program eller et computersystem ved at anvende patches, installere yderligere moduler eller fjerne unødvendige dele. Hærdning reducerer angrebsfladen og forhindrer i nogle tilfælde angriberen i at gøre nogen større skade efter et vellykket hacking.
HSTS (HTTP Strict Transport Security) En sikkerhedsforanstaltning, der beskytter mod at sænke sikkerhedsstandarden for transmission via HTTPS.
Social engineering Hacking af mennesker i stedet for maskiner (f.eks. ved at overbevise sekretæren om, at hun skal kopiere et dokument i stedet for at bryde ind og stjæle det).
IDS/IPS NIDS/HIDS (Intrusion Detection System / Intrusion Prevention System Network Intrusion Detection System/Host Intrusion Detection System) Systemer, der leverer værktøjer til at opdage, genkende og rapportere skadelig adfærd, der kan skyldes indbrud. IPS giver også mulighed for at afhjælpe indbrud efter at have opdaget dem.
Penetrationstest En autoriseret proces til sikkerhedstest af et system eller en applikation, der simulerer et angreb i den virkelige verden. Den giver viden om den faktiske sikkerhed for det testede emne. Penetrationstest kan opdeles på grundlag af den viden, som testerne har. White box er en type angreb, hvor angriberne har dybtgående viden om målet. I modsætning hertil er black box et scenarie, hvor testerne har lidt eller ingen viden om det testede system.
Malware/ransomware Udtrykket malware står for skadelig software og beskriver programmer, der er skadelige i deres design. Malware er et bredt begreb, der beskriver flere typer skadelig software som f.eks. computervirus, rootkits og orme. Ransomware er malware, der låser brugernes data, som regel krypterer dem og kræver løsepenge for at få dem dekrypteret.
Metasploit Software udviklet og vedligeholdt af Rapid7. Det kan kaldes en pentester's schweizerkniv. Metasploit indeholder en database med kendte exploits og yderligere software og metoder (f.eks. til at omgå antivirusprogrammer), som hjælper med at udføre penetrationstest.
Nmap/port scanning Portscanning er processen med at bestemme, hvilke netværksporte der er åbne ved at sende TCP- eller UDP-pakker til en undersøgt vært og fortolke det svar, der opnås. Nmap er en populær portscanner, et værktøj, der bruges til at foretage portscanning.
OSCE (Offensiv sikkerhedscertificeret ekspert) Certificering af penetrationsundersøgelser.
OSCP (Offensive Security Certified Professional) Certificering af penetrationsundersøgelser.
PBKDF I kryptografi er KDF (key derivation function) en funktion, der producerer hemmelige nøgler baseret på et hemmeligt input. PBKDF står for password-baseret nøgleafledningsfunktion og bruges til at aflede en hemmelig nøgle fra en brugers password.
Phishing En angrebstype, der har til formål at få adgang til brugeroplysninger og fortrolige data. Det består normalt i at sende e-mails, der udgiver sig for at være en autoritet (f.eks. en sikkerhedstjeneste, en chef, en arbejdsgiver) og omdirigerer brugerne til et websted, der efterligner en betroet login-side. Dette kan gøres ved at have et URL-domæne med forskellige bogstaver, der ligner hinanden (f.eks. stort i og lille L) eller ved at typosquatte. Det er et angreb, der ikke kun udnytter tekniske sårbarheder, men også bruger social engineering.
Det røde hold En gruppe af sikkerhedsspecialister, der udfordrer en organisations sikkerhedssystemer og -procedurer i virkelige scenarier. Red team-vurderinger kan ikke kun bruge cybervektorer, men også fysiske vektorer som f.eks. indbrud i bygninger, plantning af anordninger i en organisations netværk og computere, der kan bidrage til at kompromittere dens systemer. Et muligt resultat kan være at udtrække fortrolige data. Røde teams ansættes for at hjælpe med at træne blå teams - specialister, hvis opgave er at holde en virksomheds systemer sikre, overvåge og reagere på hændelser og minimere virkningerne af brud.
RCE/ACE (fjernudførelse af kode/udførelse af vilkårlig kode) Beskriver virkningen af en sårbarhed, der gør det muligt for angriberen at udføre vilkårlig kode eller kommandoer på det pågældende system. RCE forekommer, når angriberen er i stand til at udføre vilkårlig kode på fjernværten via netværket.
Sandkasse Et udtryk, der bruges til at beskrive en type sikkert, ikke-privilegeret og isoleret miljø, hvor ikke-privilegeret software kan udføres uden at skade andre systemer.
SIEM (Security Information and Event Management) Komplekse værktøjer, der anvendes til logsamlinger, overvågning og rapportering af realtidsanalyser af alarmer og hændelser, der genereres af software- og hardwareløsninger i en organisations netværk.
SPAM Uønskede og uopfordrede meddelelser sendt via e-mail.
Spear-phishing Meget målrettet phishing-angreb med fokus på én person/organisation osv. Forud går der normalt en lang og udtømmende rekognoscering.
SQL-injektion (SQLi) Et af de mest populære angreb, der er rettet mod databaseforespørgsler i applikationer. De skyldes ukorrekt rensning, kodning og håndtering af data, der leveres af brugeren. SQLi-angreb fører til udførelse af vilkårlige SQL-angivelser i databasen og til udtrækning eller ændring af dens indhold.
SSTI (Server Side Template Injection) En teknik til kodeinjektion, der opstår, når serveren bruger brugerens indsendte data i skabelonen. Denne type angreb kan føre til udførelse af vilkårlig kode på serversiden.
Modellering af trusler Dette er en proces, der anerkender, identificerer og prioriterer potentielle trusler. Den kan f.eks. afsløre sårbarheder, som kan udnyttes af en angriber til at kompromittere computersystemer. Trusselsmodellering hjælper med at udforme og implementere procedurer, politikker og foranstaltninger til at sikre værdifulde aktiver, så angreb bliver urentable. For at gøre trusselsmodellering lettere blev der udviklet metoder som VAST.
VAST (Visual Agile and Simple Threat Modeling) En metode, der anvendes i trusselsmodellering.
Sårbarhedsvurdering En proces, hvor et system søges efter kendte trusler (kendte sårbarheder) ved hjælp af teknikker som portscanning og fingerprinting af tjenester. Under sårbarhedsvurderinger analyseres resultaterne for at fastslå systemets svagheder, og der træffes foranstaltninger for at minimere risikoen for eller virkningerne af et muligt angreb.
WAF (Web Application Firewall) Et værktøj, der bruges til at hærde webapplikationer. WAF'er validerer brugerinput og overvåger forespørgsler for skadelige forespørgsler og blokerer dem derefter og rapporterer dem.
XSRF Endnu et akronym for CSRF
XSS (Cross-Site Scripting)

En klasse af computersikkerhedssårbarheder, normalt i webapplikationer, som gør det muligt for en angriber at injicere scripts på klientsiden (normalt i JavaScript, nogle gange VBScript). Ved at udføre kode i en brugers browser kan man omgå visse adgangskontrolmetoder såsom SOP (same origin policy), udfiltrere autentifikationsdata (cookies) for at udgive sig for at være en logget bruger eller dynamisk ændre et websted.

XXE (XML External Entity) Et angreb rettet mod XML-behandlingsprogrammer, som ikke håndterer referencer til eksterne enheder korrekt. Normalt fører denne type sårbarhed til offentliggørelse af data.

4.2 De mest almindelige sikkerhedstekniske navne, der bruges i flæng

  • CRSF <-> XSRF (se glossar)

4.3 Versioner af sikkerhedsemner, der er helt forskellige

  • SSTI går normalt forud for XSS, men det fører til udførelse af kode på serversiden. I modsætning hertil handler XSS om udførelse af kode på klientsiden.

4.4 Hvor vigtigt er sikkerhedscertifikatet for at vurdere en kandidats kodningsevner?

Certifikater er bestemt ikke alt, men der er nogle bemærkelsesværdige certifikater, som er respekteret af sikkerhedsingeniører. Disse er gode at have, men er ikke afgørende. De mest almindelige respekterede er:

  • CISSP
  • OSCP
  • OSCE
  • CCNA [sikkerhed]

4.5 Andre ting, du skal være opmærksom på i en sikkerhedsingeniørs CV

  • Det er godt at have en liste over indsendte CVE'er (se glossar)

Spørgsmål til sikkerhedsingeniørinterviews, der skal stilles under et teknisk interview pr. telefon/video - spørgsmål til interview med sikkerhedsingeniører om produktsikkerhed5. Spørgsmål til sikkerhedsingeniørinterviews, der skal stilles under et teknisk interview pr. telefon/video

Et CV som sikkerhedsingeniør kan give dig et fingerpeg om sikkerhedsingeniørens viden og erfaring, men det er vigtigt at kunne teste, hvad kandidaten rent faktisk kan tale om, og hvordan han/hun tidligere har anvendt sin viden.

5.1 Spørgsmål om ansøgerens erfaring

Q1: Har du håndteret et brud? Hvordan skete det? Hvordan kunne det forhindres?

Hvorfor du skal spørge Q1: Kandidaten vil kunne dele sin erfaring med den pågældende branche. Store brud sker ikke dagligt, men mindre ulykker gør det, så kandidaten bør have nogle tanker og konklusioner om dette emne. Bemærk, at specifikke sager er vigtige oplysninger, og at detaljerne kan være fortrolige, så en interviewperson kan ikke få lov til at tale om dem.

Q2: Hvad er din mening om rollen som sikkerhedsingeniør i virksomheden?

Hvorfor du bør spørge Q2: Kandidaten skal kende de ansvarsområder, som en sikkerhedsingeniør har i en organisation. Bemærk, at visse opgaver kan være uden for eller inden for denne funktionsområde - det afhænger af organisationens struktur.

Q3: Hvad mener du om BYOD (bring din egen enhed)?

Hvorfor du skal spørge Q3: Uanset hvilken side af augment kandidaten vælger, er det vigtigt at forstå risici, svagheder og korrekt håndtering af ikke-troværdige enheder og adgang til organisationens data.

5.2 Spørgsmål om ansøgerens viden og holdninger

Q1: Hvad er en trussel, en sårbarhed, en udnyttelse og en afhjælpning? (forklar)

Hvorfor du skal spørge Q1: Dette spørgsmål giver kandidaten mulighed for at vise sin forståelse og grundlæggende viden om de termer, der anvendes inden for it-sikkerhed. Kandidaten skal påpege, at afhjælpning er patches/korrektioner, der anvendes på software (eller andre mekanismer, der f.eks. anvendes på kerneniveau) for at forhindre, at sårbarheden udnyttes.

Q2: Hvad er en SQL-injektion, og hvordan adskiller den sig fra XXE? (forklar)

Hvorfor du bør spørge Q2: Kandidaten skal kunne vise en grundlæggende forståelse af nogle almindelige sårbarheder, der forekommer i moderne applikationer.

Q3: Hvad fører til SSTI (server-side template injection), og er det farligere end XSS? Hvordan adskiller de sig fra hinanden?

Hvorfor du skal spørge Q3: Sårbarheder er komplekse. Nogle gange kan forekomsten af en type fejl tyde på, at en anden del af programmet også opfører sig forkert, og at den virkelige trussel har en langt større indvirkning, end man først troede.

Q4: Hvad er: IDS, IPS og EDR. Hvordan adskiller de sig?

Hvorfor du skal spørge Q4: Kandidaten skal kunne skelne mellem de grundlæggende klasser af værktøjer, der anvendes til at opdage og forhindre angribere i at forårsage tab.

Q5: Hvordan fungerer asymmetrisk kryptering? Hvornår skal du bruge den? Hvilke fordele og ulemper er der i forhold til symmetrisk kryptering? Nævn en symmetrisk og en asymmetrisk krypteringsalgoritme.

Hvorfor du bør spørge Q5: Kryptografi er allestedsnærværende i forbindelse med sikring af moderne applikationer. Kandidaten bør kende ulemperne ved asymmetrisk kryptering (f.eks. hastighed).

Q6: Hvad er forskellen mellem stream cipher og block cipher?

Hvorfor du skal spørge Q6: Kandidaten skal kunne vise grundlæggende viden om de værktøjer, som moderne kryptografi tilbyder, og deres anvendelsesmuligheder.

Q7: Hvad er hashing (kryptografisk), hvad det bruges til, hvornår det bruges, og hvordan adskiller det sig fra kryptering? Nævn en hashing-algoritme, der ikke bør anvendes, og en "ikke bevist usikker".

Hvorfor du bør spørge Q7: Kandidaten bør vide, at det f.eks. er forkasteligt at gemme klienters adgangskoder i klartekst, og det er her, hashing-funktioner bør anvendes. Den usikre funktion er f.eks. MD5. SHA256 er stadig ikke bevist at have kollisioner, og det er ret sikkert at bruge den.

Q8: Hvad er PBKDF, og hvordan virker det? Hvorfor bruge det?

Hvorfor du bør spørge Q8: Kandidaten skal kunne vise viden om eksistensen af disse mekanismer og effektive/bekvemme måder at gennemføre sikkerhed på i dagligdagen.

Q9: Hvordan adskiller CSRF sig fra XSS?

Hvorfor du bør spørge Q2: Kandidaten skal være i stand til at skelne mellem klasser af almindelige sårbarheder.

Q10: Hvad er et fingeraftryk?

Hvorfor du bør spørge Q10: Dette emne giver kandidaten mulighed for at tale om metoder til at identificere systemer, der er stødt på. Teknikken anvendes normalt af angriberen i rekognosceringsfasen. Kandidaten kan også tale om unikke fingeraftryksbaserede sporingsmetoder.

Q11: Hvordan kontrollerer jeg, om den downloadede fil er korrekt?

Hvorfor du bør spørge Q2: Dette spørgsmål giver kandidaten mulighed for at vise en praktisk og grundlæggende viden om checksumme, hashing-algoritmer og kryptografiske signaturer.

Q12: Forklar CIA-princippet.

Hvorfor du bør spørge Q12: CIA-princippet eller CIA-trekanten er en grundlæggende model, der bruges til at udarbejde sikkerhedspolitikker. Kandidaten skal kunne bruge den til at vise sin dybe viden om, hvilke regler der skal tages i betragtning, når der udarbejdes regler og politikker.

Q13: Hvad er port knocking?

Hvorfor du bør spørge Q13: Kandidaten skal være bekendt med grundlæggende sikkerhedsforanstaltninger. Dette spørgsmål er lidt vanskeligt, fordi port knocking ikke bør betragtes som skudsikkert.

Q14: Navngiv sikker protokol til at administrere fjernservere?

Hvorfor du bør spørge Q14: Kandidaten skal kunne fortælle om grundlæggende værktøjer, der sikrer sikkerheden i forbindelse med daglige opgaver som f.eks. fjernserverstyring. SSH er et af dem.

Q15: Hvad er rlogin, og skal det bruges? Hvorfor? Hvorfor ikke? Forklar

Hvorfor du bør spørge Q15: IT-sikkerhed er et meget dynamisk område, men nogle gange skal miljøer tage højde for gamle krav. Det er derfor, de bruger gamle teknologier som rlogin. Ved at besvare dette spørgsmål kan kandidaten bevise, at han/hun har et indgående kendskab til sikkerhedsværktøjer og ved, hvilke af dem der mangler sikkerhed og hvorfor.

Q16: Hvad er hærdning?

Hvorfor du bør spørge Q16: Dette spørgsmål skal give kandidaten mulighed for at tale om forskellige metoder til at gøre miljøet og applikationer mere sikre.

Q17: Hvad er penetrationstest? Hvad er sårbarhedsvurdering? Hvordan adskiller de sig fra hinanden? Hvad er en sikkerhedsrevision?

Hvorfor du bør spørge Q17: Dette spørgsmål er en smule vanskeligt. Nogle gange misforstås disse udtryk og bruges i flæng. Ledelsen kan misbruge disse udtryk, så kandidaten skal være bekendt med dem og kende forskellene.

Q18: Nævn en vejledning om pentesting.

Hvorfor du skal spørge Q18: Pentesting-rapporter dukker normalt op på en sikkerhedsingeniørs skrivebord. Kandidaten skal kunne kende nogle retningslinjer for penetrationstestning, ikke kun for at håndtere rapporterne korrekt, men også for at overveje funktioner, der ikke er påvirket af pentesten.

Q19: Hvad er PKI (offentlig nøgleinfrastruktur)? Hvordan fungerer det?

Hvorfor du skal spørge Q19: Ved at besvare dette spørgsmål kan kandidaten bevise sin viden om håndtering af autentificering, der leveres af kryptografiske løsninger. Kandidaten skal være opmærksom på de antagelser, der er forbundet med denne type mekanismer.

Q20: Hvad er Kerberos? Hvad bruges det til? Kan det bruges i Windows-domæner?

Hvorfor du bør spørge Q20: En stor organisations netværk har brug for specielle løsninger til at reducere angrebsflader på områder med adgangsbegrænsninger. Kandidaten kan vise sin forståelse af en af de mest populære løsninger, dens fordele og begrænsninger.

Q21: Hvad er certifikatpinding? Hvordan gør man det korrekt?

Hvorfor du bør spørge Q21: Dette spørgsmål handler om at sikre sikkerheden på trods af kommunikation over en usikker kanal. Det vil hjælpe kandidaten med at vise sin viden om almindelige afbødningsforanstaltninger.

Q22: Hvad gør du, når dit private certifikat bliver stjålet?

Hvorfor du bør spørge Q22: Det er et praktisk spørgsmål, som giver kandidaten mulighed for at tale om handlinger, der er ret sjældne, men som har en virkelig stor indvirkning på virksomhedens sikkerhed. Dette kan være en meget stressende og farlig situation, og det er en af egenskaberne for softwareingeniører at vide, hvordan man håndterer den.

Q23: Nævn et populært værktøj til scanning af sårbarheder?

Hvorfor du bør spørge Q23: Selv om dette spørgsmål ikke strengt taget handler om en sikkerhedsingeniørs job, giver det kandidaten mulighed for at bevise sin viden om værktøjer, der anvendes i sikkerhedsvurderinger.

Q24: Hvad er et blåt hold, et rødt hold og et lilla hold? Hvilket af dem er det vigtigste?

Hvorfor du skal spørge Q24: På baggrund af dette spørgsmål vil kandidaten vise, om han/hun er mere til offensiv sikkerhed eller forsvar. Men uanset valget viser disse spørgsmål en forståelse af moderne sikkerhedsudfordringer og -løsninger.

Q25: Hvad er DLP, og hvordan virker det?

Hvorfor du bør spørge Q25: Dette spørgsmål vil give kandidaten mulighed for at tale om nogle teknikker, der hjælper med at forhindre eller lokalisere datalækage.

Q25: Hvad er WAF? Nævn en WAF-løsning.

Hvorfor du bør spørge Q25: Webapplikationer er meget populære i disse dage. Derfor bliver de meget ofte mål for dem. Kandidaten bør have et vist kendskab til mulighederne for at beskytte dem og de almindelige produkter, der kan anvendes.

Q26: Hvad er SOP (same origin policy)?

Hvorfor du skal spørge Q26: Kandidaten skal kunne tale om disse afbødninger, som de er implementeret i moderne browsere, deres stærke sider og svagheder.

Q27: Hvad er CSP (content security policy), og hvornår skal den bruges?

Hvorfor du bør spørge Q27: Da XSS fortsat er på toppen af OWASP's Top 10-liste over sårbarheder, vil dette spørgsmål give kandidaten mulighed for at vise, at han/hun er bekendt med dette problem og kender til de rette afbødningsforanstaltninger.

Q28: Hvordan afhjælper man SQL-injektion?

Hvorfor du bør spørge Q28: Dette spørgsmål gør det muligt for kandidaten at tale om nogle grundlæggende afværgeforanstaltninger, der anvendes i applikationer (f.eks. forberedte erklæringer) for at sikre, at data, der leveres af brugeren, håndteres på den rigtige måde og forbliver klassificeret som upålidelige.

Q29: Hvad er HSTS? Hvorfor skal du bruge det?

Hvorfor du bør spørge Q29: Manden i midten har stor betydning for sikkerheden. Kandidaten, der besvarer dette spørgsmål, skal kunne vise en grundlæggende forståelse af kryptografiapparater og løsninger, der afbøder dette farlige angreb.

Q30: Forklar, hvordan TLS fungerer (i et par sætninger).

Hvorfor du bør spørge Q30: Dette spørgsmål giver kandidaten mulighed for at tale om moderne kryptografiske løsninger til at sikre usikre kommunikationskanaler med meget populær teknologi.

Q31: Hvad er forskellen mellem autorisation og autentificering?

Hvorfor du bør spørge Q31: Dette er et helt grundlæggende spørgsmål, som viser, at kandidaten har en god forståelse af de termer og udfordringer, som han/hun vil stå over for hver dag i sit job som sikkerhedsingeniør.

Q32: Hvad er ACL'er? Hvordan bruger man dem?

Hvorfor du bør spørge Q32: Dette spørgsmål vil vise, at kandidaten har et godt kendskab til adgangsbegrænsningsløsninger i moderne systemer.

Q33: Nævn fortrolighedsniveauer.

Hvorfor du bør spørge Q33: Dette spørgsmål giver kandidaten mulighed for at tale om grundlæggende termer, der bruges til at vurdere niveauet for beskyttelse af aktiver i organisationen.

Q34: Hvad er RADIUS? Hvornår skal du bruge det?

Hvorfor du bør spørge Q34: Ved at besvare dette spørgsmål viser kandidaten, at han/hun har et indgående kendskab til moderne løsninger til autentificering og godkendelse af brugere, hvilket er det vigtigste niveau for at garantere sikkerheden.

Q35: Hvad er VLAN, og hvornår skal du bruge det? Hvordan fungerer VLAN hopping?

Hvorfor du bør spørge Q35: Dette spørgsmål vil give kandidaten mulighed for at fortælle, hvordan man bruger netværksløsninger til netværksadskillelse.

Q36: Hvordan sikrer man WiFi i en organisation? (netværksadskillelse)

Hvorfor du bør spørge Q36: Dette er et bredt emne. Kandidaten kan vise sin forståelse af det komplekse problem og sin forståelse af trusselsmodellering.

Q37: Nævn tre måder at teste sikkerheden på, afhængigt af angriberens vidensniveau. Hvilken er den mest pålidelige og simulerer et virkeligt scenarie?

Hvorfor du bør spørge Q37: Pentests er en af måderne til at udfordre implementerede sikkerhedsforanstaltninger. Kandidaten vil kunne vise sit niveau af viden om det simulerede angrebshold, hvilket vil hjælpe med trusselsmodellering og analyse af rapporterne.

Q38: Nævn hvert lag i ISO/OSI-modellen.

Hvorfor du bør spørge Q38: Dette spørgsmål vil give kandidaten mulighed for at vise sin grundlæggende viden om netværk.

Q39: Hvad er restrisiko?

Hvorfor du bør spørge Q39: Kandidaten skal kunne vise sin indgående viden om trusler og trusselsmodellering. Dette er en nøglekompetence, der anvendes i risikovurderinger.

Q40: Forestil dig, at du arbejder for en lille virksomhed. Der er flere praktikanter ansat hver måned i en kort periode. De har brug for adgang til nogle servere og et WiFi-netværk. Hvordan vil du håndtere det?

Hvorfor du bør spørge Q40: Dette er et praktisk og bredt emne, som giver kandidaten mulighed for at vise sin viden om netværk og sikkerhedsløsninger, der bidrager til at sikre sikkerheden i virksomheder på en praktisk måde. Han/hun skal pege på mekanismer, der bruges til at omgå behovet for at dele og ændre en adgangskode blandt teamet.

Q41: Hvad er en password manager? Hvad skal den bruges til?

Hvorfor du bør spørge Q41: Dette spørgsmål hjælper kandidaten med at vise sin viden om forenkling af sikkerhedsmekanismer for slutbrugere.

Q42: Hvilken politik er bedst - blacklisting eller whitelisting, og hvorfor?

Hvorfor du bør spørge Q42: Dette spørgsmål vil give kandidaten mulighed for at vise en grundlæggende viden om forsvarernes stilling i cyberkrigsførelse. Hvis man kender ulemperne ved whitelists, kan man måske forhindre katastrofale hændelser i fremtiden.

Q43: Definer, hvad et "man in the middle"-angreb er.

Hvorfor du bør spørge Q43: Dette spørgsmål hjælper kandidaten til at vise sin viden om moderne trusler og populære angreb. Det bør også give mulighed for at tale om modforanstaltninger.

Q44: Hvordan fungerer Diffie-Hellman-nøgleudveksling (DHKEX)?

Hvorfor du bør spørge Q44: Dette spørgsmål vil give kandidaten mulighed for at tale om en af de mest populære og almindeligt anvendte mekanismer.

Q45: Hvad er SIEM, og hvordan fungerer det?

Hvorfor du bør spørge Q45: Kandidaten skal kunne vise sin forståelse af de værktøjer, der anvendes til at hjælpe med at forsvare en organisations aktiver.

Q46: Hvad er DoS og DDoS? Hvad er forskellen?

Hvorfor du bør spørge Q46: Dette er et let spørgsmål, der viser en grundlæggende forståelse af meget almindelige og gamle angreb, som stadig er meget populære i dag.

Q47: Hvordan forhindrer du DNS-spoofing, og hvordan sikrer du en DNS?

Hvorfor du bør spørge Q47: Dette spørgsmål vil give kandidaten mulighed for at vise sin administrative viden og forståelse af moderne trusler i organisationer. Ved at tale om sikring af en DNS vil kandidaten vise, at han/hun er bekendt med kryptografiske mekanismer og løsninger til bekæmpelse af aktuelle trusler i interne netværk.

5.3 Adfærdsmæssige spørgsmål du bør spørge for at forstå, hvordan kandidaten har handlet tidligere

Q1: De sidste to år har været præget af ransomware-angreb, der har skabt ravage i organisationer og virksomheder og forårsaget store økonomiske tab og tab af omdømme. Hvilke skridt ville du tage for at forhindre, at sådanne ulykker sker i din organisation?

Hvorfor du skal spørge Q1: Dette spørgsmål vil give kandidaten mulighed for at udfordre nutidens trusler og vise sin kreativitet i forbindelse med løsning af ikke-trivielle problemer.

Q2: Dit IDS har rapporteret et brud. Hvad ville du gøre for at fjerne truslen?

Hvorfor du bør spørge Q2: Dette er et bredt emne, som giver kandidaten mulighed for at vise sin forståelse af sikkerhedspolitikker, forståelse af sikkerhedsproblemernes kompleksitet og vise sit brede syn på problemet.

Teknisk screening af sikkerhedsingeniørens færdigheder ved hjælp af en online kodetest - spørgsmål til interview med produktsikkerhedsingeniører6. Teknisk screening af sikkerhedstekniske færdigheder ved hjælp af en online kodningstest

Sikkerhed bør ikke være et abstrakt begreb, som du tænker over. Det bør være en løbende række af forberedelser og reaktioner på de sikkerhedstrusler, som din organisation står over for. Som vi har diskuteret, er en vigtig komponent i denne sammenhæng evnen til at kode og bruge værktøjer til at teste sikkerheden i et program eller netværk. Den kodningstest, som du bruger, bør afspejle dette.

6.1 Hvilken test for sikkerhedsprogrammering skal du vælge?

Når du leder efter den rigtige online-programmeringstest, skal du sikre dig, at de opfylder følgende kriterier.

  • De afspejler det reelle arbejde, der udføres, med reelle aktuelle sikkerhedsudfordringer
  • De tager ikke for meget af kandidaternes tid, højst en til to timer.
  • De kan sendes automatisk og kan tages med overalt for at give dig og din kandidat fleksibilitet
  • De går ud over at kontrollere, om løsningen fungerer, og kontrollerer også kodens kvalitet og hvor godt den fungerer i edge cases.
  • De er så tæt på det naturlige programmeringsmiljø som muligt og giver kandidaten adgang til de ressourcer, som han/hun normalt ville have adgang til på arbejdspladsen.
  • De lader kandidaten bruge alle de biblioteker, frameworks og andre værktøjer, som de normalt ville bruge, herunder dem, der er vigtigst for jobbet.
  • De er på et passende niveau, der passer til ansøgerens evner

7. DevSkiller-tests til online vurdering af sikkerhedskodning, der er klar til brug

Devskillers RealLifeTestingTM-metodologi er ideel til at teste sikkerhedsingeniørers færdigheder. Platformen stiller ikke akademiske spørgsmål. I stedet opstiller den virkelige sikkerhedssituationer, som en sikkerhedsingeniør skal tackle ved hjælp af sin erfaring og kreativitet. Derudover bliver testene automatisk bedømt, og du kan se, hvordan sikkerhedsingeniøren finder frem til sin løsning. DevSkiller tilbyder sikkerhedstest både med kodning og systemer. Her er et par stykker, du kan prøve fra.

JUNIOR
Testede færdigheder
Varighed
70 minutter max.
Evaluering
Automatisk
Testoversigt

Spørgsmål efter valg

vurdering af viden om Sikkerhed, DevOps, Docker

Testopgave - Niveau:

Sikkerhed | SQL-injektion | E-mail lækage på e-handelswebsted - Find en SQL-injektionslækage i webapplikationen

JUNIOR
Testede færdigheder
Varighed
70 minutter max.
Evaluering
Automatisk
Testoversigt

Spørgsmål efter valg

vurdering af viden om Sikkerhed

DevOps-opgave - Niveau:

Sikkerhed | SQL-injektion | E-mail lækage på e-handelswebsted - Find en SQL-injektionslækage i webapplikationen

Del indlæg

Få mere at vide om ansættelse af teknologiske medarbejdere

Tilmeld dig vores Learning Hub for at få nyttig viden direkte i din indbakke.

Kontroller og udvikl kodningsevner uden problemer.

Se DevSkiller-produkterne i aktion.

Sikkerhedscertificeringer og overholdelse. Vi sørger for, at dine data er sikre og beskyttede.

DevSkiller-logo TalentBoost-logo TalentScore-logo