Beveiligingsingenieur interview vragen

Gepubliceerd: Laatst bijgewerkt:
beveiligingsingenieur: software ingenieur interviewvragen

Beveiliging is nog nooit zo belangrijk geweest als nu. Als samenleving zijn we er comfortabeler mee geworden om veel meer gevoelige en belangrijke informatie te plaatsen op gebieden die we niet controleren. Daar komt nog bij dat we collectief werken, waarbij veel van de toepassingen die we vroeger op onze eigen systemen hostten, nu in de cloud worden gehost. Hoewel deze nieuwe trends tal van mogelijkheden creëren, betekenen de groeiende complexiteit van systemen, de gevoeligheid van gegevens en de steeds bredere toegang tot onze netwerken dat de rol van de toegewijde security engineer voor de meeste bedrijven essentieel is geworden.

Security Engineers zijn niet zomaar standaard software-ingenieurs of ontwikkelaars die vanuit een andere functie worden ingezet om zich met beveiliging bezig te houden. De beste kandidaten hebben unieke vaardigheden en benaderingen die hen hiervoor uniek geschikt maken. Security Engineers vereisen een speciaal scherm, los van de andere technologieën die u gebruikt. Lees verder om te weten te komen wat uw beveiligingsingenieur precies moet weten en hoe u erachter kunt komen of hij of zij het weet.

In deze gids zul je erachter komen:

Wat is een ingenieur in beveiliging? - productbeveiligingsingenieur interviewvragen1. Wat is een beveiligingsingenieur?

Vroeger waren ingenieurs en ontwikkelaars verantwoordelijk voor de beveiliging van de systemen waaraan ze werkten. Waarschijnlijk zijn een of twee bedrijven ergens in het begin van de jaren tachtig begonnen met het aannemen van mensen die zich uitsluitend met beveiliging bezighielden, maar de rol van beveiligingsingenieur is pas in het begin van de jaren 2000 echt populair geworden.

1.1 Waar zijn beveiligingsingenieurs verantwoordelijk voor?

Het belangrijkste doel van een security engineer is om uw bedrijf voor te bereiden op cyberaanvallen. Hij herstelt onder meer onveilige procedures, past beleidsregels voor software- en hardware-updates toe en ontwerpt toegangscontroles voor verschillende systemen en gegevens.

Beveiligingsingenieurs denken altijd na over bedreigingen voor uw systeem. Dit betekent dat zij verantwoordelijk zijn voor het definiëren, opsommen en modelleren van alle potentiële veiligheidsbedreigingen. Zij zijn ook verantwoordelijk voor het herkennen van de beveiligingseisen van uw computersystemen en netwerken. Hoe doen zij dit?

1.2 Wat voor soort werk doen beveiligingsingenieurs?

Technische oplossingen vormen een groot deel van het werk. Beveiligingsingenieurs implementeren en handhaven ook het beveiligingsbeleid. Als het beleid is ingevoerd, is het aan hen om alle mitigaties, tegenmaatregelen en andere beveiligingsinfrastructuur te bewaken, te onderhouden en toe te passen. Ze zijn ook verantwoordelijk voor het creëren en vervolgens ontwikkelen van incident response acties en richtlijnen.

Het beveiligen van systemen is zeker een deel van het werk, maar beveiligingsingenieurs moeten vaak een stap verder denken naar de soorten activa die in die systemen worden opgeslagen. Naast de bescherming van het netwerk en de IT-infrastructuur van uw bedrijf, houden zij zich ook bezig met de beveiliging van het intellectuele eigendom van het bedrijf dat zich op deze plaatsen bevindt. Zij houden zich ook bezig met een deel van de fysieke beveiliging, aangezien cyberaanvallen vaak een fysieke component hebben.

1.3 Waarom een veiligheidsingenieur?

Een beveiligingsingenieur of een team van beveiligingsingenieurs nemen de verantwoordelijkheid voor dit cruciale gebied van softwareontwikkeling. Door een specialistische competentie in beveiliging te ontwikkelen, kunnen beveiligingsingenieurs betere resultaten bereiken dan een normaal ontwikkelingsteam zou doen. Dit komt in de eerste plaats doordat zij beter in staat zijn om nieuwe bedreigingen bij te houden, waaronder kwetsbaarheden die in populaire software worden aangetroffen. Door het hun taak te maken op deze bedreigingen te reageren, kunnen zij het bedrijf beschermen voordat deze tegen hen worden gebruikt. Door een dedicated security engineer of security team in te zetten, kan uw bedrijf offensief tegen bedreigingen optreden en zichzelf verdedigen in plaats van de gevolgen van een beveiligingslek te moeten beperken.

De voordelen van meer IT-beveiliging betekenen dat u steeds vaker een speciaal persoon of team voor beveiliging ziet opduiken in middelgrote tot grote bedrijven waar u er een paar jaar geleden nog geen zou hebben gevonden. Deze teams bevatten vaak pentesters naast security engineers. Pentesters zijn de ying van de yang van een security engineer. Een security engineer bouwt verdedigingsmechanismen in uw systeem, terwijl de pentester manieren probeert te vinden om deze te doorbreken. Door kwetsbaarheden aan het licht te brengen, helpt de pentester de beveiligingsingenieur om sterkere verdedigingen te bouwen.

De beste beveiligingsingenieurs zijn specialisten op dit gebied. Dat gezegd hebbende, er zijn geen formele vereisten om een security engineer te worden. Voor de meeste mensen is het een mix van een goed begrip van computerwetenschappen met een goed begrip van menselijke psychologie.

Wat is belangrijk voor een IT Recruiter om te weten over een security engineer? - productbeveiligingsingenieur interviewvragen2. Wat is belangrijk voor een IT Recruiter om te weten over beveiliging?

Paradigmaverschuivingen zijn vrij zeldzaam in de beveiligingssector. Maar dat mag niet leiden tot zelfgenoegzaamheid. U hoeft alleen maar op te letten hoe vaak er updates voor uw antivirus komen om te beseffen dat nieuwe aanvallen, kwetsbaarheden en andere beveiligingsproblemen aan de orde van de dag zijn.

In de loop van de tijd veranderen deze aanvallen en evolueren ze in bepaalde richtingen. Tegenwoordig komt het bijvoorbeeld vaker voor dat een XSS-aanval wordt uitgevoerd in plaats van een vroeger zo populaire kwaadaardige Java-applet. Wat een recruiter wel moet begrijpen, is dat beveiliging een zeer brede kennis van IT-onderwerpen vereist.

Security Engineers moeten verstand hebben van systeembeheer, computernetwerken en programmeren. Zij moeten ook begrijpen hoe al deze componenten samenkomen om barrières op te werpen en zwakke plekken te verhelpen. Met een holistische systeembenadering kunnen beveiligingsproblemen in een netwerk efficiënt worden aangepakt.

3. Met welke instrumenten en technieken moet een beveiligingsingenieur vertrouwd zijn?

Zoals op vele ontwikkelde gebieden van de technologie, zijn er een overvloed aan hulpmiddelen beschikbaar voor beveiligingsingenieurs. Daartoe behoren frameworks, bibliotheken en andere hulpmiddelen die worden gebruikt om inbreuken op de beveiliging op te sporen, te verdedigen en de waarschijnlijke oorzaken ervan te bepalen.

Naast tools moeten security engineers ook meer domeinspecifieke zaken begrijpen. Deze omvatten social engineering, phishing, buffer overflows, XSS, zero-days, en Metasploit. Zij moeten een goede kennis hebben van administratieve tools, firewalls, antivirusoplossingenen dreigingsmodellen. Ten slotte is dagelijks inzicht in Intrusion Detection Systems/Intrusion Prevention Systems of Security Information and Event Management-systemen vereist.

3.1 Nuttige ervaring voor kandidaten voor beveiligingstechniek

Om te helpen bij beveiligingsproblemen zijn vaardigheden op het gebied van serverbeheer, vlootbeheer, netwerkbeheer en basisscriptprogrammering van belang. Een goede indicator dat uw kandidaat met beveiligingsproblemen te maken heeft gehad, is commerciële ervaring in soortgelijke functies. Buiten commerciële ervaring zijn het meewerken aan beveiligingsgerelateerde open source-projecten en het deelnemen aan evenementen die met beveiliging te maken hebben, zoals CTF-games of beveiligingsconferenties, een sterke indicator van interesse in beveiligingsvaardigheden. Ervaring met pentesting of beveiligingsonderzoek is ook nuttig.

4. Screening van een veiligheidsingenieur aan de hand van hun cv

Het cv van uw kandidaat is een goede plaats om te beginnen en te weten te komen waarmee hij vertrouwd is. Maar de echte waarde ervan is als leidraad voor het stellen van vragen tijdens de interviewfase. Naast de ervaring die we hierboven noemden, is het belangrijk om te letten op bepaalde belangrijke technologieën op het cv van een kandidaat. Om u hierbij te helpen, hebben we een verklarende woordenlijst van beveiligingsspecifieke termen samengesteld.

Beveiligingsingenieur woordenlijst voor technische recruiters - productbeveiliging ingenieur interviewvragen

4.1 Woordenlijst beveiligingsingenieur voor technische recruiters

APT (Advanced Persistent Threat) Een aanval op lange termijn, waarbij een aanvaller of een groep aanvallers zich gedurende lange tijd verborgen houdt, meestal met behulp van geavanceerde technieken en door misbruik te maken van onbekende kwetsbaarheden, de zogeheten 0-dagen.
Willekeurige code-executie (ACE) Zie Code Executie op afstand.
Antivirus Software voor het uitbreiden van de beveiliging, met name van eindknooppunten. Het wordt gebruikt om malware of ongewenste software op te sporen met behulp van statische analyse met behulp van handtekeningen of gedragsanalyse.
CCNA-beveiligingscertificering (Cisco Certified Network Associate Security Certification) Cisco beveiligingsgerichte certificering.
CIA-Driehoek/Triade/Principe (soms AIC genoemd om verwarring met een inlichtingendienst te voorkomen) CIA staat voor Vertrouwelijkheid, Integriteit en Beschikbaarheid. Drie sleutelaspecten van beveiliging die helpen bij het modelleren van bedreigingen en het waarborgen van de veiligheid van het computersysteem.
CISSP (Certified Information Systems Security Professional) Een bekend en gerespecteerd beveiligingscertificaat.
CSRF (Cross Site Request Vervalsing) Een aanval die misbruik maakt van het vertrouwen dat de site heeft in de gebruiker/browser. De aanvaller probeert een geauthenticeerde gebruiker te verleiden tot het onvrijwillig uitvoeren van een actie, bijvoorbeeld door het verzenden van een voorbereide link.
CVE (gemeenschappelijke kwetsbaarheden en blootstellingen) Een systeem van de MITRE Corporation dat unieke ID's geeft voor publiekelijk bekende kwetsbaarheden.
DLP (preventie van gegevensverlies, -lekken en -lekken) Technologieën en reeksen hulpmiddelen die worden gebruikt om vitale gegevensbeveiliging te garanderen. DLP-systemen maken gebruik van transparante versleutelings-/ontsleutelingsmethoden om verkeer te filteren dat kritieke en waardevolle gegevens bevat, zodat niet-versleutelde informatie het netwerk van de organisatie nooit zal verlaten.
Verharding Stappen die worden ondernomen om de beveiliging van een applicatie of een computersysteem te verbeteren door patches toe te passen, extra modules te installeren of overbodige onderdelen te verwijderen. Hardening verkleint het aanvalsoppervlak en voorkomt in sommige gevallen dat de aanvaller na een geslaagde hack enige schade van betekenis kan aanrichten.
HSTS (HTTP Strict Transport Security) Een beveiligingsmaatregel die bescherming biedt tegen het verlagen van de beveiligingsstandaard van transmissie via HTTPS.
Sociale engineering Hacken van mensen in plaats van machines (b.v. de secretaresse ervan overtuigen dat zij een document moet kopiëren, in plaats van in te breken en het te stelen).
IDS/IPS NIDS/HIDS (Intrusiedetectiesysteem / Intrusiepreventiesysteem Netwerkinbraakdetectiesysteem / Postinbraakdetectiesysteem) Systemen die hulpmiddelen bieden voor het detecteren, herkennen en rapporteren van kwaadaardig gedrag dat door een inbraak kan worden veroorzaakt. IPS biedt ook de mogelijkheid om inbraken te beperken nadat ze zijn gedetecteerd.
Penetratie testen Een geautoriseerd proces voor het testen van de beveiliging van een systeem of een toepassing waarbij een aanval in de echte wereld wordt gesimuleerd. Het verschaft kennis over de werkelijke beveiliging van het geteste onderwerp. Penetratietesten kunnen worden onderverdeeld op basis van de kennis die de testers hebben. White box is een type aanval waarbij de aanvallers beschikken over diepgaande kennis over het doelwit. Black box daarentegen is een scenario waarbij de testers weinig of geen kennis hebben over het geteste systeem.
Malware/ransomware De term malware staat voor kwaadaardige software en beschrijft programma's die schadelijk zijn door ontwerp. Malware is een brede term die meerdere soorten kwaadaardige software beschrijft, zoals computervirussen, rootkits en wormen. Ransomware is malware die gebruikersgegevens vergrendelt, deze meestal versleutelt en losgeld eist voor ontsleuteling.
Metasploit Software ontwikkeld en onderhouden door Rapid7. Het zou het Zwitserse zakmes van een pentester kunnen worden genoemd. Metasploit biedt een database van bekende exploits en aanvullende software en methoden (bijvoorbeeld gebruikt voor het omzeilen van Antivirus) die helpen bij het uitvoeren van penetratietests.
Nmap/poort scanning Het scannen van poorten is het proces van het bepalen welke netwerkpoorten geopend zijn door TCP- of UDP-pakketten te sturen naar en onderzochte host en het verkregen antwoord te interpreteren. Nmap is een populaire poortscanner, een gereedschap dat wordt gebruikt om poorten te scannen.
OSCE (Offensive Security Certified Expert) Penetratie test certificering.
OSCP (Offensive Security Certified Professional) Penetratie test certificering.
PBKDF In de cryptografie is een KDF (key derivation function) een functie die geheime sleutels produceert op basis van een geheime invoer. PBKDF staat voor password-based key derivation function en wordt gebruikt om een geheime sleutel af te leiden uit het wachtwoord van een gebruiker.
Phishing Een aanvalstype dat tot doel heeft gebruikersgegevens en vertrouwelijke gegevens te verkrijgen. Het bestaat meestal uit het versturen van e-mails die zich voordoen als een autoriteit (zoals beveiliging, chef, werkgever) en gebruikers omleiden naar een website die een vertrouwde inlogpagina imiteert. Dit kan worden gedaan door een URL-domein te hebben dat verschilt op letters die op elkaar lijken (zoals een hoofdletter i en een kleine L) of door typosquatting bijvoorbeeld. Het is een aanval waarbij niet alleen gebruik wordt gemaakt van technische kwetsbaarheden, maar ook van social engineering.
Rode Team Een groep beveiligingsspecialisten die de beveiligingssystemen en -procedures van een organisatie in realistische scenario's op de proef stelt. Bij red team-evaluaties kunnen niet alleen cybervectoren worden gebruikt, maar ook fysieke, zoals het binnendringen in gebouwen, het plaatsen van apparatuur in de netwerken en computers van een organisatie die kan helpen om de systemen te compromitteren. Een mogelijk resultaat kan het exfiltreren van vertrouwelijke gegevens zijn. Rode teams worden ingehuurd om te helpen bij de opleiding van blauwe teams - specialisten die tot taak hebben het systeem van een bedrijf veilig te houden, incidenten te monitoren en erop te reageren, en de gevolgen van inbreuken tot een minimum te beperken.
RCE/ACE (uitvoering van code op afstand/Arbitraire code-uitvoering) Beschrijft de impact van een kwetsbaarheid die de aanvaller in staat stelt arbitraire code of commando's uit te voeren op het beoogde systeem. RCE doet zich voor wanneer de aanvaller in staat is om via het netwerk arbitraire code uit te voeren op de host op afstand.
Zandbak Een term die wordt gebruikt om een type beveiligde, ongeprivilegieerde en geïsoleerde omgeving te beschrijven waarin niet-vertrouwde software kan worden uitgevoerd zonder schade aan andere systemen toe te brengen.
SIEM (Beveiligingsinformatie en gebeurtenissenbeheer) Complexe hulpmiddelen die worden gebruikt voor het verzamelen van logboeken, monitoring en rapportage van real-time analyse van waarschuwingen en gebeurtenissen die worden gegenereerd door software- en hardwareoplossingen in het netwerk van een organisatie.
SPAM Ongewenste en ongevraagde berichten die via e-mail worden verzonden.
Spear-phishing Zeer gerichte phishingaanval gericht op één persoon/organisatie enz. Gewoonlijk voorafgegaan door een lange en uitputtende verkenning.
SQL-injectie (SQLi) Een van de populairste aanvallen is gericht op databasequery's in toepassingen. Ze worden veroorzaakt door onjuiste sanitization, encoding en behandeling van door de gebruiker verstrekte gegevens. SQLi-aanvallen leiden tot de uitvoering van willekeurige SQL-statements op een database en exfiltratie of wijziging van de inhoud ervan.
SSTI (Server Side Template Injection) Een techniek voor code-injectie die optreedt wanneer de server door de gebruiker ingezonden gegevens gebruikt in de template. Dit type aanval kan leiden tot een server-side arbitraire code-uitvoering.
Dreiging modellering Dit is een proces waarbij potentiële bedreigingen worden herkend, geïdentificeerd en geprioriteerd. Het kan bijvoorbeeld kwetsbaarheden aan het licht brengen die door een aanvaller kunnen worden misbruikt om computersystemen in gevaar te brengen. Threat modeling helpt bij het ontwerpen en uitvoeren van procedures, beleidsmaatregelen en acties om waardevolle activa te beveiligen zodat aanvallen onrendabel worden. Om het modelleren van bedreigingen gemakkelijker te maken, zijn methodologieën zoals VAST ontworpen.
VAST (Visual Agile and Simple Threat modeling) Een methodologie die wordt gebruikt bij het opstellen van dreigingsmodellen.
Kwetsbaarheidsbeoordeling Een proces waarbij een systeem wordt doorzocht op bekende bedreigingen (bekende kwetsbaarheden) met behulp van technieken zoals port scanning en services fingerprinting. Bij kwetsbaarheidsanalyses worden de resultaten geanalyseerd om de zwakke punten van het systeem te bepalen en worden maatregelen genomen om het risico of de gevolgen van een mogelijke aanval tot een minimum te beperken.
WAF (firewall voor webtoepassingen) Een instrument dat wordt gebruikt om webtoepassingen te harden. WAF's valideren gebruikersinvoer en controleren verzoeken op kwaadaardige verzoeken, blokkeren deze en rapporteren.
XSRF Nog een acroniem voor CSRF
XSS (Cross-Site Scripting)

Een klasse van kwetsbaarheden in computerbeveiliging, meestal in webtoepassingen, die een aanvaller in staat stelt client-side scripts te injecteren (meestal in JavaScript, soms in VBScript). Het uitvoeren van code in de browser van een gebruiker kan helpen bij het omzeilen van bepaalde toegangscontrolemethoden zoals SOP (same origin policy), het exfiltreren van authenticatiegegevens (cookies) om zich als ingelogde gebruiker voor te doen, of het dynamisch wijzigen van een website.

XXE (XML externe entiteit) Een aanval die gericht is tegen toepassingen voor XML-verwerking die verwijzingen naar externe entiteiten niet correct behandelen. Gewoonlijk leidt dit type kwetsbaarheid tot het vrijgeven van gegevens.

4.2 De meest voorkomende, door elkaar gebruikte benamingen voor beveiligingstechniek

  • CRSF <-> XSRF (zie glossarium)

4.3 Versies van beveiligingsonderwerpen die totaal verschillend zijn

  • SSTI wordt meestal voorafgegaan door XSS, maar het leidt tot het uitvoeren van server-side code. Bij XSS daarentegen gaat het om het uitvoeren van client-side code.

4.4 Hoe belangrijk zijn beveiligingscertificaten voor de beoordeling van de coderingsvaardigheden van een kandidaat?

Certificaten zijn zeker niet alles, maar er zijn enkele opmerkelijke certificaten die worden gerespecteerd voor veiligheidstechnici. Deze zijn goed om te hebben maar zijn niet essentieel. De meest voorkomende gerespecteerde zijn:

  • CISSP
  • OSCP
  • OVSE
  • CCNA [Beveiliging]

4.5 Andere zaken die op het cv van een ingenieur in beveiliging moeten staan

  • Het is goed om een lijst van ingediende CVE's te hebben (zie glossarium)

Beveiligingsingenieur interviewvragen voor een telefoon/video technisch interview - productbeveiligingsingenieur interviewvragen5. Beveiligingsingenieur interview vragen om te stellen tijdens een telefoon/video technisch interview

Een cv van een ingenieur in beveiliging kan je een idee geven van de kennis en ervaring van een ingenieur in beveiliging, maar het is belangrijk om te kunnen testen waar de kandidaat echt over kan praten, en hoe hij zijn kennis in het verleden heeft toegepast.

5.1 Vragen over de ervaring van de kandidaat

Q1: Heeft u te maken gehad met een inbreuk? Hoe is het gebeurd? Hoe kon het worden voorkomen?

Waarom zou je Q1 vragen?: De kandidaat zal zijn ervaring met de betreffende bedrijfstak kunnen delen. Enorme inbreuken gebeuren niet dagelijks, maar kleine ongelukken wel, dus de kandidaat moet enkele gedachten en conclusies over dat onderwerp hebben. Let wel: specifieke gevallen zijn vitale informatie en de details kunnen vertrouwelijk zijn, zodat een ondervraagde er misschien niet over mag praten.

Q2: Wat is uw mening over de rol van veiligheidsingenieur in het bedrijf?

Waarom zou je Q2 vragen: De kandidaat moet de verantwoordelijkheden van een security engineer in een organisatie kennen. Merk op dat bepaalde taken buiten of binnen het bereik van deze functie kunnen vallen - dit hangt af van de structuur van de organisatie.

Q3: Wat vindt u van BYOD (bring your own device)?

Waarom zou je Q3 vragen: Welke kant van de augment de kandidaat ook kiest, het is van groot belang de risico's, zwakke punten en de juiste omgang met onvertrouwde apparaten en toegang tot de gegevens van de organisatie te begrijpen.

5.2 Vragen over de kennis en meningen van de kandidaat

Q1: Wat is een bedreiging, kwetsbaarheid, exploit en mitigatie? (toelichten)

Waarom zou je Q1 vragen?: Met deze vraag kan de kandidaat blijk geven van zijn begrip en basiskennis van de termen die in de IT-beveiliging worden gebruikt. De kandidaat moet erop wijzen dat mitigaties patches/correcties zijn die worden toegepast op software (of andere mechanismen die bijvoorbeeld op kernelniveau worden gebruikt) om uitbuiting van de kwetsbaarheid te voorkomen.

Q2: Wat is een SQL-injectie en hoe verschilt het van XXE? (uitleggen)

Waarom zou je Q2 vragen: De kandidaat moet blijk kunnen geven van een basiskennis van een aantal veel voorkomende kwetsbaarheden in moderne toepassingen.

Q3: Wat leidt tot SSTI (server-side template injection) en is het gevaarlijker dan XSS? Hoe verschillen ze van elkaar?

Waarom zou je Q3 vragen: Kwetsbaarheden zijn complex. Soms kan het optreden van één soort fouten erop wijzen dat een ander deel van de toepassing zich ook misdraagt en dat de werkelijke bedreiging een veel grotere impact heeft dan aanvankelijk werd gedacht.

Q4: Wat zijn: IDS, IPS, en EDR. Hoe verschillen ze?

Waarom zou je Q4 vragen: De kandidaat moet een onderscheid kunnen maken tussen de basisklassen van instrumenten die worden gebruikt om aanvallers te ontdekken en te voorkomen dat zij schade veroorzaken.

Q5: Hoe werkt asymmetrische encryptie? Wanneer moet je het gebruiken? Wat zijn de voor- en nadelen in vergelijking met symmetrische encryptie? Noem één symmetrisch en één asymmetrisch encryptie-algoritme.

Waarom zou je Q5 vragen: Cryptografie is alomtegenwoordig bij de beveiliging van moderne toepassingen. De kandidaat moet de nadelen van asymmetrische encryptie kennen (bijv. snelheid).

Q6: Wat is het verschil tussen een stroomcijfer en een blokcijfer?

Waarom zou je Q6 vragen: De kandidaat moet basiskennis kunnen aantonen van de hulpmiddelen die de moderne cryptografie biedt en van de gevallen waarin deze worden gebruikt.

Q7: Wat is hashing (cryptografisch), waarvoor wordt het gebruikt, wanneer, en hoe verschilt het van encryptie? Noem één hashing-algoritme dat niet gebruikt zou moeten worden en één "waarvan niet bewezen is dat het onveilig is".

Waarom zou je Q7 vragen: De kandidaat moet weten dat bijvoorbeeld het opslaan van wachtwoorden van cliënten in onversleutelde tekst een verwerpelijke praktijk is en dat hier hashingfuncties moeten worden ingezet. De onveilige functie is bijvoorbeeld MD5. Van SHA256 is nog steeds niet bewezen dat het collisions heeft en het is vrij veilig om het te gebruiken.

Q8: Wat is PBKDF, hoe werkt het? Waarom zou ik het gebruiken?

Waarom zou je Q8 vragen: De kandidaat moet kennis kunnen aantonen van het bestaan van deze mechanismen en van efficiënte/handige manieren om de beveiliging in de dagelijkse praktijk toe te passen.

Q9: Hoe verschilt CSRF van XSS?

Waarom zou je Q2 vragen: De kandidaat moet in staat zijn klassen van gewone kwetsbaarheden te onderscheiden.

Q10: Wat is een vingerafdruk?

Waarom zou je Q10 vragen: Dit onderwerp stelt de kandidaat in staat te praten over methoden om aangetroffen systemen te identificeren. De techniek wordt gewoonlijk door de aanvaller gebruikt in de verkenningsfase. De kandidaat kan het ook hebben over unieke, op vingerafdrukken gebaseerde opsporingsmethoden.

Q11: Hoe controleer ik of het gedownloade bestand correct is?

Waarom zou je Q2 vragen: Deze vraag geeft de kandidaat de mogelijkheid enige praktische en basiskennis te tonen over checksums, hashing-algoritmen en cryptografische handtekeningen.

Q12: Leg het CIA principe uit.

Waarom zou je Q12 vragen: Het CIA-principe of de CIA-driehoek is een basismodel dat wordt gebruikt om beveiligingsbeleid op te stellen. De kandidaat moet hiermee blijk kunnen geven van zijn grondige kennis van welke regels in aanmerking moeten worden genomen bij de ontwikkeling van regels en beleidsmaatregelen.

Q13: Wat is poort kloppen?

Waarom moet je het vragen Q13: De kandidaat moet bekend zijn met elementaire beveiligingsmaatregelen. Deze vraag is een beetje lastig omdat het kloppen van poorten niet als kogelvrij mag worden beschouwd.

Q14: Noem een veilig protocol om servers op afstand te beheren?

Waarom moet je Q14 vragen? De kandidaat moet in staat zijn om te praten over basisgereedschappen die de veiligheid garanderen tijdens dagelijkse taken zoals het beheer van servers op afstand. SSH is er daar één van.

Q15: Wat is rlogin en moet het gebruikt worden? Waarom? Waarom niet? Leg uit

Waarom moet je Q15 vragen? IT-beveiliging is een zeer dynamisch vakgebied, maar soms moeten omgevingen aan oude eisen voldoen. Daarom gebruiken ze oude technologieën zoals rlogin. Door die vraag te beantwoorden, kan de kandidaat bewijzen dat hij een grondige kennis heeft van beveiligingstools en weet welke daarvan niet veilig zijn en waarom.

Q16: Wat is verharding?

Waarom moet je Q16 vragen? Deze vraag moet de kandidaat de gelegenheid bieden te praten over verschillende methoden om de omgeving en toepassingen veiliger te maken.

Q17: Wat is penetratietesten? Wat is kwetsbaarheidsbeoordeling? Hoe verschillen zij? Wat is een beveiligingsaudit?

Waarom moet je Q17 vragen? Deze vraag is een beetje lastig. Soms worden deze termen verkeerd begrepen en door elkaar gebruikt. Het management kan deze termen verkeerd gebruiken, dus de kandidaat moet ermee vertrouwd zijn en de verschillen kennen.

Q18: Noem een pentesting gids.

Waarom moet je het vragen? Q18: Pentestrapporten verschijnen gewoonlijk op het bureau van een beveiligingsingenieur. De kandidaat moet enkele richtlijnen van penetratietesten kennen, niet alleen om rapporten correct te behandelen, maar ook om rekening te houden met functies die niet door de pentest zijn getroffen.

Q19: Wat is PKI (Public Key Infrastructure)? Hoe werkt het?

Waarom moet je Q19 vragen: Door deze vraag te beantwoorden kan de kandidaat zijn kennis aantonen van het omgaan met authenticatie die door cryptografische oplossingen wordt geleverd. De kandidaat dient zich bewust te zijn van de aannames die bij dit soort mechanismen horen.

Q20: Wat is Kerberos? Waar wordt het voor gebruikt? Kan het gebruikt worden in Windows domeinen?

Waarom moet je Q20 vragen: De netwerken van een grote organisatie hebben speciale oplossingen nodig om de aanvalsoppervlakken te verkleinen in gebieden die verbonden zijn met toegangsbeperkingen. De kandidaat kan aantonen dat hij een van de populairste oplossingen, de voordelen en de beperkingen ervan begrijpt.

Q21: Wat is certificate pinning? Hoe doe ik het goed?

Waarom moet je Q21 vragen: Deze vraag gaat over het waarborgen van de veiligheid ondanks communicatie over een onveilig kanaal. Het zal de kandidaat helpen om zijn kennis te tonen van veelvoorkomende beveiligingsmaatregelen.

Q22: Wat doe je als je privé-certificaat gestolen is?

Waarom zou je Q22 vragen: Dit is een praktische vraag die de kandidaat de kans geeft te praten over handelingen die eerder zeldzaam zijn, maar een zeer grote impact hebben op de veiligheid van het bedrijf. Dit kan een zeer stressvolle en gevaarlijke situatie zijn en weten hoe daarmee om te gaan is een van de software engineering-eigenschappen.

Q23: Noem een populair programma om kwetsbaarheden te scannen?

Waarom moet je Q23 vragen: Hoewel deze vraag strikt genomen niet over het werk van een veiligheidsingenieur gaat, kan de kandidaat hiermee zijn kennis van bij veiligheidsbeoordelingen gebruikte instrumenten aantonen.

Q24: Wat is een blauw team, rood team, en paars team? Welke is het belangrijkste?

Waarom moet u dat vragen? Q24: Aan de hand van deze vraag kan de kandidaat laten zien of hij/zij zich meer bezighoudt met offensieve of defensieve beveiliging. Maar wat de keuze ook is, uit deze vragen blijkt een goed begrip van de hedendaagse uitdagingen en oplossingen op het gebied van veiligheid.

Q25: Wat is DLP, hoe werkt het?

Waarom zou je Q25 vragen: Deze vraag zal de kandidaat de gelegenheid bieden om een aantal technieken te bespreken die helpen bij het voorkomen of lokaliseren van gegevenslekken.

Q25: Wat is WAF? Noem één WAF oplossing.

Waarom zou je Q25 vragen: Webapplicaties zijn tegenwoordig erg populair. Daarom worden ze vaak het doelwit. De kandidaat moet enige kennis hebben van de mogelijkheden om ze te beschermen en van de gangbare producten die kunnen worden toegepast.

Q26: Wat is SOP (same origin policy)?

Waarom zou je Q26 vragen: De kandidaat moet in staat zijn te spreken over deze beperkingen zoals ze in moderne browsers zijn geïmplementeerd, en over hun sterke en zwakke punten.

Q27: Wat is CSP (content beveiligingsbeleid), wanneer moet het worden gebruikt?

Waarom moet je het vragen Q27: Aangezien XSS bovenaan de top 10-lijst van kwetsbaarheden van OWASP is blijven staan, kan de kandidaat met deze vraag aantonen dat hij vertrouwd is met dit probleem en de juiste maatregelen kent.

Q28: Hoe SQL-injectie tegen te gaan?

Waarom moet je het vragen? Q28: Deze vraag stelt de kandidaat in staat te spreken over enkele basisbeperkingen die in toepassingen worden gebruikt (bv. voorbereide verklaringen) om ervoor te zorgen dat door de gebruiker verstrekte gegevens op de juiste manier worden behandeld en als onvertrouwd worden geclassificeerd.

Q29: Wat is HSTS? Waarom zou u het gebruiken?

Waarom zou je Q29 vragen: De "man in the middle" heeft een grote invloed op de veiligheid. De kandidaat die deze vraag beantwoordt, moet blijk kunnen geven van een basiskennis van cryptografie-apparaten en oplossingen die deze gevaarlijke aanval afzwakken.

Q30: Leg uit hoe TLS werkt (in een paar zinnen).

Waarom zou je Q30 vragen: Deze vraag biedt de kandidaat de gelegenheid om te praten over moderne cryptografische oplossingen om onveilige communicatiekanalen te beveiligen met zeer populaire technologie.

Q31: Wat is het verschil tussen autorisatie en authenticatie?

Waarom moet je Q31 vragen? Dit is een echt elementaire vraag die zal aantonen dat de kandidaat een goed begrip heeft van de termen en uitdagingen waarmee hij dagelijks zal worden geconfronteerd in zijn job als veiligheidsingenieur.

Q32: Wat zijn ACL's? Hoe ze te gebruiken?

Waarom moet je Q32 vragen? Deze vraag zal aantonen dat de kandidaat een goede kennis heeft van oplossingen voor toegangsbeperking in moderne systemen.

Q33: Noem niveaus van vertrouwelijkheid.

Waarom zou je Q33 vragen: Deze vraag stelt de kandidaat in staat te spreken over basistermen die worden gebruikt om het niveau van de bescherming van activa in de organisatie te beoordelen.

Q34: Wat is RADIUS? Wanneer moet je het gebruiken?

Waarom moet je Q34 vragen? Door deze vraag te beantwoorden geeft de kandidaat blijk van zijn grondige kennis van moderne oplossingen voor de authenticatie en autorisatie van gebruikers, wat het belangrijkste niveau is om de veiligheid te waarborgen.

Q35: Wat is VLAN, wanneer moet je het gebruiken? Hoe werkt VLAN-hopping?

Waarom moet je Q35 vragen: Met deze vraag kan de kandidaat vertellen hoe netwerkoplossingen voor netwerkscheiding kunnen worden gebruikt.

Q36: Hoe WiFi beveiligen in een organisatie? (netwerk scheiding)

Waarom moet je Q36 vragen: Dit is een breed onderwerp. De kandidaat kan blijk geven van inzicht in het complexe probleem en van zijn begrip van dreigingsmodellering.

Q37: Noem drie manieren om de beveiliging te testen, afhankelijk van het kennisniveau van de aanvaller. Welke is het meest betrouwbaar en simuleert een scenario uit de echte wereld?

Waarom moet je Q37 vragen? Pentests zijn een van de manieren om ingevoerde beveiligingsmaatregelen in twijfel te trekken. De kandidaat zal zijn kennisniveau van het gesimuleerde aanvalsteam kunnen aantonen, wat zal helpen bij het modelleren van bedreigingen en het analyseren van de rapporten.

Q38: Noem elke laag van het ISO/OSI-model.

Waarom moet je Q38 vragen: Deze vraag biedt de kandidaat de gelegenheid zijn basiskennis van netwerken te tonen.

Q39: Wat is het restrisico?

Waarom zou je Q39 vragen: De kandidaat moet kunnen aantonen dat hij een grondige kennis heeft van dreigingen en dreigingsmodellen. Dit is een belangrijke vaardigheid die bij risicobeoordelingen wordt gebruikt.

Q40: Stel je voor dat je voor een klein bedrijf werkt. Er zijn elke maand een aantal stagiaires in dienst voor een korte periode. Zij hebben toegang nodig tot enkele servers en een WiFi-netwerk. Hoe gaat u dat aanpakken?

Waarom moet je Q40 vragen: Dit is een praktisch en breed onderwerp waarmee de kandidaat zijn kennis kan tonen van netwerken en beveiligingsoplossingen die de veiligheid in bedrijven op een handige manier helpen waarborgen. Hij/zij moet wijzen op mechanismen die worden gebruikt om de noodzaak van het delen en veranderen van één wachtwoord onder het team te omzeilen.

Q41: Wat is een wachtwoordmanager? Waarvoor moet het worden gebruikt?

Waarom zou je Q41 vragen? Deze vraag helpt de kandidaat om zijn kennis te tonen over het vereenvoudigen van beveiligingsmechanismen voor eindgebruikers.

Q42: Welk beleid is beter - blacklisting of whitelisting, en waarom?

Waarom zou je Q42 vragen: Deze vraag zal de kandidaat in staat stellen basiskennis te tonen over de positie van verdedigers in cyberoorlogsvoering. Kennis van de nadelen van whitelists kan catastrofale gebeurtenissen in de toekomst voorkomen.

Q43: Definieer wat een man in het midden aanval is.

Waarom moet je Q43 vragen: Deze vraag helpt de kandidaat zijn kennis te tonen over hedendaagse bedreigingen en populaire aanvallen. Zij moet ook de gelegenheid bieden om over tegenmaatregelen te praten.

Q44: Hoe werkt de Diffie-Hellman sleuteluitwisseling (DHKEX)?

Waarom zou je Q44 vragen: Deze vraag zal de kandidaat in staat stellen te spreken over een van de populairste en meest gebruikte mechanismen.

Q45: Wat is SIEM en hoe werkt het?

Waarom moet je Q45 vragen: De kandidaat kan aantonen dat hij inzicht heeft in de instrumenten die worden ingezet om de activa van een organisatie te helpen beschermen.

Q46: Wat zijn DoS en DDoS? Wat is het verschil?

Waarom zou je Q46 vragen: Dit is een eenvoudige vraag die een basiskennis zal opleveren van echt veel voorkomende en oude aanvallen die ook nu nog erg populair zijn.

Q47: Hoe voorkom je DNS spoofing en hoe beveilig je een DNS?

Waarom moet je Q47 vragen: Deze vraag zal de kandidaat in staat stellen zijn of haar administratieve kennis en begrip van moderne bedreigingen in organisaties te tonen. Door te spreken over het beveiligen van een DNS zal de kandidaat laten zien dat hij bekend is met cryptografische mechanismen en oplossingen die worden geboden om de huidige bedreigingen in interne netwerken te bestrijden.

5.3 Gedragsvragen moet u vragen om te begrijpen hoe de kandidaat in het verleden heeft gehandeld

Q1: De afgelopen twee jaar werden in beslag genomen door ransomware-aanvallen die een ravage hebben aangericht in organisaties en bedrijven, met gigantische financiële en reputatieverliezen tot gevolg. Welke stappen zou u nemen om te voorkomen dat dergelijke ongelukken in uw organisatie gebeuren?

Waarom zou je Q1 vragen: Deze vraag zal de kandidaat in staat stellen de bedreigingen van de moderne tijd aan te vechten en zijn creativiteit te tonen bij het oplossen van niet-triviale problemen.

Q2: Uw IDS heeft een inbreuk gemeld. Wat zou u doen om de dreiging weg te nemen?

Waarom zou je Q2 vragen: Dit is een breed onderwerp waarmee de kandidaat kan aantonen dat hij inzicht heeft in het beveiligingsbeleid, de complexiteit van beveiligingsproblemen begrijpt en een brede kijk op het probleem heeft.

Technische screening van vaardigheden van beveiligingsingenieur met een online codeertest - productbeveiligingsingenieur interviewvragen6. Technische screening van beveiligingstechnische vaardigheden met behulp van een online-codeertest

Beveiliging mag geen abstract concept zijn waarover u nadenkt. Het moet een voortdurende reeks voorbereidingen zijn tegen en reacties op de veiligheidsdreigingen waarmee uw organisatie wordt geconfronteerd. Zoals we hebben besproken, is een belangrijk onderdeel daarvan het vermogen om te coderen, met behulp van hulpmiddelen om de veiligheid van een toepassing of netwerk te testen. De coderingstest die u gebruikt, moet dat weerspiegelen.

6.1 Welke veiligheidsprogrammatest moet u kiezen?

Wanneer u op zoek bent naar de juiste online veiligheidsprogrammeertest, moet u ervoor zorgen dat deze aan de volgende criteria voldoet.

  • Zij weerspiegelen het echte werk dat wordt verricht, met echte hedendaagse veiligheidsuitdagingen
  • Ze nemen niet te veel tijd van de kandidaten in beslag, één tot twee uur maximum.
  • Ze kunnen automatisch worden verzonden en overal mee naartoe worden genomen, zodat u en uw kandidaat over de nodige flexibiliteit beschikken
  • Zij gaan verder dan controleren of de oplossing werkt en controleren ook de kwaliteit van de code en hoe goed die werkt in randgevallen
  • Ze staan zo dicht mogelijk bij de natuurlijke programmeeromgeving en geven de kandidaat toegang tot het soort hulpmiddelen dat hij normaal op het werk zou gebruiken
  • Ze laten de kandidaat alle bibliotheken, frameworks en andere tools gebruiken die hij normaal zou gebruiken, inclusief diegene die het belangrijkst zijn voor de job
  • Ze zijn van een passend niveau dat past bij de capaciteiten van de kandidaat

7. DevSkiller kant-en-klare online coderingsbeoordelingstests voor beveiliging

Devskiller's RealLifeTestingTM methodologie is ideaal voor het testen van security engineer vaardigheden. Het platform stelt geen academische vragen. In plaats daarvan stelt het echte security situaties op die een security engineer moet benaderen met behulp van zijn ervaring en creativiteit. Bovendien worden de tests automatisch beoordeeld en kunt u zien hoe de security engineer tot zijn oplossing komt. DevSkiller biedt beveiligingstesten aan met zowel codering als systemen. Hier zijn er een paar waar je uit kunt proberen.

Post delen

Meer informatie over het inhuren van tech

Abonneer u op onze Learning Hub en ontvang nuttige inzichten rechtstreeks in uw inbox.

Verifieer en ontwikkel coderingsvaardigheden naadloos.

Zie DevSkiller producten in actie.

Beveiligingscertificeringen & naleving. Wij zorgen ervoor dat uw gegevens veilig en beveiligd zijn.

DevSkiller logo TalentBoost logo TalentScore logo