Perguntas para a entrevista do engenheiro de segurança

Publicado: Última actualização:
engenheiro de segurança: perguntas do engenheiro de software para entrevista

A segurança nunca foi mais importante do que é agora. Como uma sociedade, nós nos tornamos confortáveis em colocar informações muito mais sensíveis e importantes em áreas que não controlamos. Além disso, trabalhamos coletivamente, com muitas das aplicações que costumávamos hospedar em nossos próprios sistemas sendo agora hospedadas na nuvem. Enquanto essas novas tendências criam toneladas de possibilidades, a crescente complexidade dos sistemas, a sensibilidade dos dados e a ampliação do acesso às nossas redes significa que o papel do engenheiro de segurança dedicado se tornou essencial para a maioria das empresas.

Os Engenheiros de Segurança não são simplesmente o seu engenheiro de software padrão ou desenvolvedor que foi puxado a partir de outra função para olhar para a segurança. Os melhores candidatos têm conjuntos de habilidades e abordagens únicas que os tornam unicamente adequados a este propósito. Os Engenheiros de Segurança requerem uma tela dedicada separada das outras tecnologias que você utiliza. Continue lendo para descobrir exatamente o que o seu engenheiro de segurança precisa saber e como descobrir se eles sabem disso.

Neste guia você vai descobrir:

O que é um engenheiro de segurança? - perguntas do engenheiro de segurança do produto1. O que é um engenheiro de segurança?

Antes, os engenheiros e desenvolvedores eram responsáveis pela segurança dos sistemas em que trabalhavam. Provavelmente, no início dos anos 80, uma ou duas empresas começaram a contratar pessoas com o único propósito de focar na segurança, mas o papel do engenheiro de segurança não ganhou realmente popularidade até o início dos anos 2000.

1.1 De que são responsáveis os engenheiros de segurança?

O principal objectivo de um engenheiro de segurança é preparar a sua empresa contra ataques cibernéticos. Entre outras coisas, eles irão corrigir procedimentos inseguros, aplicar políticas de atualização de software e hardware e projetar controles de acesso a vários sistemas e dados.

Os engenheiros de segurança estão sempre a pensar em ameaças ao seu sistema. Isto significa ser responsável por definir, enumerar e modelar toda e qualquer potencial ameaça à segurança. Eles também são responsáveis por reconhecer os requisitos de segurança dos seus sistemas e redes de computadores. Então, como eles fazem isso?

1.2 Que tipos de trabalho fazem os engenheiros de segurança?

Soluções de Engenharia são uma grande parte do trabalho. Os engenheiros de segurança também implementam e fazem cumprir as políticas de segurança. Com as políticas em vigor, cabe a eles monitorar, manter e aplicar quaisquer mitigações, contramedidas e outras infra-estruturas de segurança. Eles também são responsáveis por criar e depois desenvolver ações e diretrizes de resposta a incidentes.

A proteção de sistemas é certamente uma parte do trabalho, mas os engenheiros de segurança muitas vezes têm que pensar um passo além dos tipos de ativos que esses sistemas estão armazenando. Além de proteger a rede e a infra-estrutura de TI da sua empresa, eles também se concentram em proteger a propriedade intelectual da empresa detida nesses locais. Eles também lidam com alguma segurança física, uma vez que os ataques cibernéticos muitas vezes têm um componente físico.

1.3 Por que ter um engenheiro de segurança?

Um engenheiro de segurança ou uma equipe de engenheiros de segurança se apropriam desta área crucial do desenvolvimento de software. Ao desenvolver uma competência especializada em segurança, os engenheiros de segurança são capazes de alcançar melhores resultados do que uma equipe de desenvolvimento normal. Isto é principalmente porque eles são mais capazes de acompanhar as novas ameaças, incluindo as vulnerabilidades encontradas em softwares populares. Fazendo seu trabalho reagir a essas ameaças, eles podem proteger a empresa antes que elas sejam usadas contra elas. Ao manter um engenheiro de segurança ou equipe de segurança dedicada, sua empresa pode entrar na ofensiva contra as ameaças e se defender, em vez de ter que mitigar os efeitos de uma violação de segurança.

Os benefícios do aumento da segurança de TI significa que você está encontrando cada vez mais uma pessoa dedicada ou uma equipe dedicada à segurança que aparece no meio de grandes empresas onde você não teria encontrado uma há apenas alguns anos. Essas equipes freqüentemente incluem pentesters, além de engenheiros de segurança. Os pentesters são o ying para um yang de engenheiros de segurança. Um engenheiro de segurança constrói defesas no seu sistema enquanto o pentester tenta encontrar maneiras de rompê-las. Ao revelar as vulnerabilidades, o pentester ajuda o engenheiro de segurança a construir defesas mais fortes.

Os melhores engenheiros de segurança são especialistas no assunto. Dito isto, não há requisitos formais para se tornar um engenheiro de segurança. Para a maioria das pessoas, é uma mistura de ter uma forte compreensão da ciência da computação misturada com uma compreensão da psicologia humana.

O que é importante para um recrutador de TI saber sobre um engenheiro de segurança? - perguntas de um engenheiro de segurança de produto2. O que é importante para um recrutador de TI saber sobre segurança?

Os eventos de mudança de paradigma são bastante raros na segurança. Mas esse facto não deve encorajar a complacência. Tudo o que você precisa fazer é prestar atenção à freqüência com que as atualizações chegam ao seu antivírus para perceber que novos ataques, vulnerabilidades e outros problemas de segurança são uma ocorrência diária.

Com o tempo, estes ataques tendem a mudar e a evoluir em certas direcções. Por exemplo, hoje em dia é mais comum encontrar um ataque XSS do que um antigo e popular applet Java malicioso. O que um recrutador tem que entender é que a segurança requer um conhecimento muito amplo dos tópicos de TI.

Os engenheiros de segurança precisam entender a administração do sistema, as redes de computadores e a programação. Eles também precisam entender como todos esses componentes se unem para criar barreiras e corrigir fraquezas. Uma abordagem holística do sistema pode lidar eficientemente com as questões de segurança em uma rede.

3. Com que ferramentas e técnicas um engenheiro de segurança deve estar familiarizado?

Como muitas áreas desenvolvidas da tecnologia, há uma infinidade de ferramentas à disposição dos engenheiros de segurança. Estas incluem estruturas, bibliotecas e outras ferramentas usadas para rastrear, defender e determinar as prováveis causas das violações de segurança.

Além das ferramentas, os engenheiros de segurança precisam entender mais questões específicas de domínio. Estes incluem engenharia social, phishing, buffer overflows, XSS, zero-days e Metasploit. Eles devem ter um bom conhecimento de ferramentas administrativas, firewalls, soluções de antivírus...e modelagem de ameaças. Finalmente, um entendimento de Sistemas de Detecção de Intrusão/Sistemas de Prevenção de Intrusão ou Sistemas de Gestão de Informação e Eventos de Segurança é necessário diariamente.

3.1 experiência útil para os candidatos à engenharia de segurança

Para ajudar a lidar com questões relacionadas à segurança, são importantes as habilidades em administração de servidores, administração de frotas, administração de redes e programação básica de scripts. Um bom indicador de que o seu candidato lidou com questões de segurança é a experiência comercial em posições semelhantes. Fora da experiência comercial, ser um contribuinte em projetos de código aberto relacionados à segurança e participar de eventos relacionados à segurança, como jogos de CTF ou conferências de segurança, são um forte indicador do interesse em habilidades de segurança. A experiência com pentestesting ou pesquisa de segurança também é útil.

4. Rastreio de um engenheiro de segurança usando o seu currículo

O currículo do seu candidato é um bom lugar para começar a descobrir com o que ele está familiarizado. Mas o seu valor real é como um guia para o interrogatório durante a fase de entrevista. Além de olhar para a experiência que mencionamos acima, é importante olhar para certas tecnologias importantes no currículo do candidato. Para ajudá-lo, compilamos um glossário de termos específicos de segurança.

Glossário de engenheiro de segurança para recrutadores técnicos - perguntas de engenheiro de segurança de produto entrevista

4.1 Glossário de engenheiros de segurança para recrutadores técnicos

APT (Ameaça Persistente Avançada) Um ataque a longo prazo, em que um atacante ou um grupo de atacantes permanece coberto por um longo período de tempo, geralmente utilizando técnicas avançadas e explorando vulnerabilidades desconhecidas conhecidas como 0 dias.
Execução do Código Arbitrário (ACE) Veja Remote Code Execution.
Antivírus Software dedicado a ampliar a segurança, especialmente para nós finais. Ele é usado para detectar malware ou software indesejado usando análise estática usando assinaturas ou análise comportamental.
Certificação de Segurança CCNA (Cisco Certified Network Associate Security Certification ) Certificação Cisco orientada para a segurança.
CIA Triangle/Triade/Principle (às vezes chamado de AIC para não se confundir com uma agência de inteligência) CIA significa Confidencialidade, Integridade e Disponibilidade. Três aspectos-chave da segurança que ajudam na modelagem de ameaças e na garantia da segurança do sistema informático.
CISSP (Certified Information Systems Security Professional) Uma certificação de segurança bem conhecida e respeitada.
CSRF (Cross Site Request Forgery) Um ataque que explora a confiança que o site tem no usuário/navegador. O atacante tenta enganar um usuário autenticado para executar involuntariamente uma ação, por exemplo, enviando um link preparado.
CVE (Common Vulnerability and Exposures) Um sistema mantido pela MITRE Corporation que fornece identificações únicas para vulnerabilidades conhecidas publicamente.
DLP (Prevenção de Perda/ Fuga/ Fuga de Dados) Tecnologias e conjunto de ferramentas utilizadas para garantir a segurança de dados vitais. Os sistemas DLP usam métodos transparentes de criptografia/descriptografia para filtrar o tráfego que contém dados críticos e valiosos para garantir que as informações não criptografadas nunca saiam da rede da organização.
Endurecimento Passos que são tomados para aumentar a segurança de uma aplicação ou de um sistema informático, aplicando patches, instalando módulos adicionais, ou removendo peças desnecessárias. O endurecimento reduz a superfície de ataque e, em alguns casos, impede que o atacante faça qualquer dano significativo após um hack bem sucedido.
HSTS (HTTP Strict Transport Security) Uma medida de segurança que protege contra a diminuição do padrão de segurança de transmissão sobre HTTPS.
Engenharia social Hackear humanos em vez de máquinas (por exemplo, convencer a secretária de que ela deve copiar um documento, em vez de arrombá-lo e roubá-lo).
IDS/IPS NIDS/HIDS (Sistema de Detecção de Intrusão / Sistema de Prevenção de Intrusão Sistema de Detecção de Intrusão em Rede / Sistema de Detecção de Intrusão de Anfitriões) Sistemas que fornecem ferramentas para detectar, reconhecer e reportar comportamentos maliciosos que possam ser causados por uma intrusão. O IPS também fornece a capacidade de mitigar as intrusões depois de detectá-las.
Teste de Penetração Um processo autorizado de teste de segurança de um sistema ou aplicativo que simula um ataque no mundo real. Ele fornece conhecimento sobre a segurança real do sujeito testado. Os testes de penetração podem ser divididos com base no conhecimento que os testadores têm. A caixa branca é um tipo de ataque onde os atacantes têm um conhecimento profundo sobre o alvo. Em contraste, a caixa preta é um cenário onde os testadores têm pouco ou nenhum conhecimento sobre o sistema testado.
Malware/ransomware O termo malware significa software malicioso e descreve programas que são prejudiciais pelo seu design. Malware é um termo amplo que descreve vários tipos de software malicioso, como vírus de computador, rootkits e, worms. Ransomware é o malware que bloqueia os dados dos utilizadores, normalmente encriptando-os e exigindo resgate para descodificação.
Metasploit Software desenvolvido e mantido pela Rapid7. Poderia ser chamado de canivete suíço do pentester. Metasploit fornece uma base de dados de explorações conhecidas e software e métodos adicionais (por exemplo, usados para evasão de Antivírus) que ajudam a conduzir testes de penetração.
Nmap/porta scanning A varredura de portas é o processo de determinar quais portas de rede são abertas, enviando pacotes TCP ou UDP e investigando o host e interpretando a resposta obtida. O Nmap é um popular scanner de portas, uma ferramenta que é usada para conduzir a varredura de portas.
OSCE (Perito Certificado de Segurança Ofensiva) Certificação de testes de penetração.
OSCP (Profissional Certificado de Segurança Ofensiva) Certificação de testes de penetração.
PBKDF Na criptografia, o KDF (função de derivação de chaves) é uma função que produz chaves secretas com base em uma entrada secreta. PBKDF significa função de derivação de chave baseada em senha e é usada para derivar uma chave secreta a partir da senha de um usuário.
Phishing Um tipo de ataque com o objetivo de obter credenciais de usuário, dados confidenciais. Geralmente consiste no envio de e-mails personificando alguma autoridade (como segurança, chefe, empregador) e redirecionando os usuários para um site que imita uma página de login confiável. Isto pode ser feito tendo um domínio URL diferente em letras semelhantes (como i maiúsculas e L minúsculas) ou typosquatting, por exemplo. É um ataque que explora não só as vulnerabilidades técnicas, mas também usando engenharia social.
Equipe Vermelha Um grupo de especialistas em segurança que desafia os sistemas e procedimentos de segurança de uma organização em cenários do mundo real. As avaliações da equipe vermelha podem usar não apenas vetores cibernéticos, mas também físicos, como invadir edifícios, plantar dispositivos nas redes e computadores de uma organização que podem ajudar a comprometer seus sistemas. Um possível resultado pode ser a exfiltração de dados confidenciais. Equipes vermelhas são contratadas para ajudar a treinar equipes azuis - especialistas cujo trabalho é manter o sistema de uma empresa seguro, monitorar e responder a incidentes, e minimizar os efeitos de violações.
RCE/ACE (Execução de código remoto/execução de código arbitrário) Descreve o impacto da vulnerabilidade que permite ao atacante executar código ou comandos arbitrários no sistema alvo. O RCE ocorre quando o atacante é capaz de executar código arbitrário no host remoto através da rede.
Sandbox Um termo usado para descrever um tipo de ambiente seguro, desprivilegiado e isolado onde software não confiável pode ser executado sem causar danos a outros sistemas.
SIEM (Security Information and Event Management) Ferramentas complexas utilizadas para agregação de logs, monitoramento e análise de relatórios em tempo real de alertas e eventos gerados por soluções de software e hardware em uma rede da organização.
SPAM Mensagens indesejadas e não solicitadas enviadas por e-mail.
Spear-phishing Ataque de phishing altamente direcionado focado em uma pessoa/organização, etc. Normalmente precedido de um longo e exaustivo reconhecimento.
Injeção SQL (SQLi) Um dos ataques mais populares visando consultas a bases de dados em aplicações. Eles são causados por higienização inadequada, codificação e manuseio de dados fornecidos pelo usuário. Os ataques SQLi levam à execução de instruções SQL arbitrárias sobre a base de dados e à exfiltração ou modificação do seu conteúdo.
SSTI (Injeção do modelo do lado do servidor) Uma técnica de injeção de código que ocorre quando o servidor utiliza os dados enviados pelo usuário no modelo. Este tipo de ataque pode levar a uma execução arbitrária do código do lado do servidor.
Modelagem de Ameaças Este é um processo que reconhece, identifica e prioriza as ameaças potenciais. Por exemplo, ele poderia expor vulnerabilidades que poderiam ser exploradas por um atacante para comprometer os sistemas informáticos. A modelagem de ameaças ajuda a projetar e implementar procedimentos, políticas e ações para garantir ativos valiosos, tornando os ataques não lucrativos. Para facilitar a modelagem de ameaças, metodologias como a VAST foram projetadas.
VAST (Visual Agile and Simple Threat Modeling) Uma metodologia usada na modelagem de ameaças.
Avaliação da Vulnerabilidade Um processo de busca de ameaças conhecidas (vulnerabilidades conhecidas) em um sistema, utilizando técnicas como varredura de portas e impressão digital de serviços. Durante as avaliações de vulnerabilidade, os resultados são analisados para determinar os pontos fracos do sistema e são fornecidas mitigações para minimizar o risco ou o impacto de um possível ataque.
WAF (Web Application Firewall) Uma ferramenta utilizada para endurecer a aplicação web. Os WAFs validam a entrada do usuário e monitoram os pedidos por maliciosos, depois os bloqueiam e reportam.
XSRF Mais um acrónimo para CSRF
XSS (Cross-Site Scripting)

Uma classe de vulnerabilidades de segurança informática, geralmente em aplicações web, que permite a um atacante injectar scripts do lado do cliente (geralmente em JavaScript, por vezes em VBScript). Executar código no navegador de um usuário pode ajudar a contornar alguns métodos de controle de acesso como SOP (mesma política de origem), exfiltrar dados de autenticação (cookies) para personificar um usuário logado, ou modificar dinamicamente um site.

XXE (XML Entidade Externa) Um ataque que visa aplicações de processamento de XML que não lidam adequadamente com referências a entidades externas. Normalmente, este tipo de vulnerabilidade leva à divulgação de dados.

4.2 Os nomes mais comuns de engenharia de segurança que são utilizados de forma intercambiável

  • CRSF <-> XSRF (ver glossário)

4.3 Versões de tópicos de segurança que são completamente diferentes

  • O SSTI normalmente é precedido pelo XSS, mas leva à execução do código do lado do servidor. Em contraste, o XSS é sobre a execução de código do lado do cliente.

4.4 Qual é a importância dos certificados de engenharia de segurança para avaliar as habilidades de codificação de um candidato?

Os certificados certamente não são tudo, mas existem alguns certificados notáveis que são respeitados pelos engenheiros de segurança. Estes são bons de ter, mas não são essenciais. Os mais respeitados são os mais comuns:

  • CISSP
  • OSCP
  • OSCE
  • CCNA [Segurança]

4.5 Outras coisas a ter em conta no currículo de um engenheiro de segurança

  • É bom ter uma lista de CVEs submetidos (ver glossário)

Perguntas para uma entrevista técnica por telefone/vídeo com um engenheiro de segurança - perguntas para uma entrevista técnica por telefone/vídeo com um engenheiro de segurança de produto5. Perguntas a fazer pelo engenheiro de segurança durante uma entrevista técnica por telefone/vídeo

Um currículo de engenheiro de segurança pode lhe dar uma pista sobre o conhecimento e experiência de um engenheiro de segurança, mas é importante ser capaz de testar o que o candidato pode realmente falar, e como eles aplicaram seus conhecimentos no passado.

5.1 Perguntas sobre a experiência do candidato

Q1: Você já lidou com uma violação? Como é que isso aconteceu? Como poderia ser evitada?

Por que você deve perguntar Q1: O candidato poderá partilhar a sua experiência com a indústria em questão. Enormes violações não acontecem diariamente, mas acidentes menores acontecem, portanto o candidato deve ter algumas reflexões e conclusões sobre esse tema. Note que casos específicos são informações vitais e detalhes podem ser confidenciais, portanto um entrevistado pode não ser autorizado a falar sobre eles.

Q2: Qual é a sua opinião sobre o papel do engenheiro de segurança na empresa?

Por que você deve perguntar Q2: O candidato deve conhecer as responsabilidades de um engenheiro de segurança em uma organização. Note que determinadas tarefas podem estar fora ou no escopo desta função - depende da estrutura da organização.

Q3: O que você acha de BYOD (traga seu próprio aparelho)?

Por que você deve perguntar Q3: Não importa o lado do aumento que o candidato escolha, é fundamental compreender os riscos, os pontos fracos e o tratamento adequado de dispositivos não confiáveis e o acesso aos dados da organização.

5.2 Perguntas sobre os conhecimentos e opiniões do candidato

Q1: O que é uma ameaça, vulnerabilidade, exploração e mitigação? (explicar)

Por que você deve perguntar Q1: Esta pergunta permitirá ao candidato demonstrar a sua compreensão e conhecimento básico dos termos utilizados na segurança informática. O candidato deve salientar que as mitigações são patches/correcções aplicadas ao software (ou outros mecanismos utilizados, por exemplo, a nível do kernel) para evitar a exploração da vulnerabilidade.

Q2: O que é uma Injeção SQL e como ela difere da XXE? (explicar)

Por que você deve perguntar Q2: O candidato deve ser capaz de mostrar uma compreensão básica de algumas vulnerabilidades comuns encontradas em aplicações modernas.

Q3: O que leva ao SSTI (server-side template injection) e é mais perigoso que o XSS? Como eles diferem?

Por que você deve perguntar Q3: Vulnerabilidades são complexas. Às vezes, a ocorrência de um tipo de erro pode sugerir que outra parte da aplicação também está se comportando mal e que a ameaça real tem um impacto muito maior do que se pensava inicialmente.

Q4: O que são: IDS, IPS, e EDR. Como eles diferem?

Por que você deve perguntar Q4: O candidato deve ser capaz de diferenciar as classes básicas de ferramentas utilizadas para descobrir e evitar que os atacantes causem perdas.

Q5: Como funciona a encriptação assimétrica? Quando você deve usá-la? Quais são os prós e os contras em comparação com a encriptação simétrica? Cite um algoritmo de criptografia simétrica e um algoritmo de criptografia assimétrica.

Por que você deve perguntar Q5: A criptografia é omnipresente na segurança das aplicações dos dias de hoje. O candidato deve conhecer os inconvenientes da criptografia assimétrica (por exemplo, velocidade).

Q6: Qual é a diferença entre cifra de fluxo e cifra de bloco?

Por que você deve perguntar Q6: O candidato deve ser capaz de mostrar conhecimentos básicos sobre as ferramentas fornecidas pela criptografia moderna e seus casos de uso.

Q7: O que é hashing (criptográfico), para que é usado, quando e como difere da encriptação? Diga um algoritmo de hashing que não deve ser usado e um "não comprovadamente inseguro".

Por que você deve perguntar Q7: O candidato deve saber que, por exemplo, armazenar senhas de clientes em texto claro é uma prática condenável e é neste local que as funções de hashing devem ser implantadas. Por exemplo, a função insegura é MD5. SHA256 ainda não está provado que tenha colisões e é bastante seguro utilizá-lo.

Q8: O que é o PBKDF, como funciona? Porquê usá-lo?

Por que você deve perguntar Q8: O candidato deve ser capaz de mostrar conhecimento sobre a existência destes mecanismos e formas eficientes/convenientes de implementar a segurança no dia-a-dia.

Q9: Qual a diferença entre o CSRF e o XSS?

Por que você deve perguntar Q2: O candidato deve ser capaz de diferenciar classes de vulnerabilidades comuns.

Q10: O que é uma impressão digital?

Por que você deve perguntar Q10: Este tópico permite ao candidato falar sobre métodos de identificação de sistemas encontrados. A técnica é normalmente utilizada pelo atacante na fase de reconhecimento. O candidato também pode falar sobre métodos únicos de rastreamento baseados em impressões digitais.

Q11: Como verificar se o arquivo baixado está correto?

Por que você deve perguntar Q2: Esta pergunta dá ao candidato a capacidade de mostrar alguns conhecimentos práticos e básicos sobre checksums, algoritmos de hashing, e assinaturas criptográficas.

Q12: Explique o princípio da CIA.

Por que você deve perguntar Q12: O princípio da CIA ou triângulo da CIA é um modelo básico utilizado para criar políticas de segurança. O candidato deve ser capaz de usá-lo para mostrar seu profundo conhecimento sobre quais regras devem ser consideradas ao desenvolver regras e políticas.

Q13: O que é bater a bombordo?

Por que você deve perguntar Q13: O candidato deve estar familiarizado com as medidas básicas de segurança. Esta pergunta é um pouco complicada porque bater à porta não deve ser considerado à prova de bala.

Q14: Nomear protocolo seguro para gerenciar servidores remotos?

Por que você deve perguntar Q14: O candidato deve ser capaz de falar sobre ferramentas básicas para garantir a segurança durante as tarefas diárias, como a gestão de servidores remotos. O SSH é uma delas.

Q15: O que é rlogin e o que deve ser usado? O que é rlogin e deve ser usado? Por que não? Explique

Por que você deve perguntar Q15: A segurança de TI é um campo muito dinâmico, mas às vezes os ambientes devem atender aos requisitos do legado. É por isso que eles usam tecnologias antigas como o rlogin. Ao responder a essa pergunta, o candidato pode provar que tem um conhecimento profundo das ferramentas de segurança e sabe qual delas carece de segurança e porquê.

Q16: O que é endurecimento?

Por que você deve perguntar Q16: Esta pergunta deve dar ao candidato a oportunidade de falar sobre vários métodos para tornar o ambiente e as aplicações mais seguras.

Q17: O que é o teste de penetração? O que é avaliação de vulnerabilidade? Como eles diferem? O que é uma auditoria de segurança?

Por que você deve perguntar Q17: Esta pergunta é um bocado complicada. Às vezes estes termos são mal entendidos e usados de forma intercambiável. A administração pode usar mal estes termos, por isso o candidato deve estar familiarizado com eles e conhecer as diferenças.

Q18: Diga um guia de pentesting.

Por que você deve perguntar Q18: Os relatórios de pentesting normalmente aparecem na secretária de um engenheiro de segurança. O candidato deve ser capaz de conhecer algumas diretrizes de testes de penetração não só para tratar corretamente os relatórios, mas também considerar características não afetadas pela peste.

Q19: O que é PKI (infra-estrutura de chave pública)? Como funciona?

Por que você deve perguntar Q19: Respondendo a esta pergunta, o candidato pode provar os seus conhecimentos no manuseamento de autenticação fornecidos por soluções criptográficas. O candidato deve estar consciente dos pressupostos que acompanham este tipo de mecanismos.

Q20: O que é Kerberos? Para que é usado? Pode ser usado em domínios Windows?

Por que você deve perguntar Q20: As redes de uma grande organização precisam de soluções especiais para reduzir superfícies de ataque em áreas ligadas a restrições de acesso. O candidato pode mostrar seu entendimento de uma das soluções mais populares, suas vantagens e limitações.

Q21: O que é o pino do certificado? Como fazê-lo corretamente?

Por que você deve perguntar Q21: Esta questão é sobre garantir a segurança apesar da comunicação através de um canal inseguro. Ela ajudará o candidato a mostrar seus conhecimentos sobre mitigações comuns.

Q22: O que você faz quando seu certificado particular é roubado?

Por que você deve perguntar Q22: Esta é uma questão prática que dá ao candidato a oportunidade de falar sobre acções que são bastante raras mas que têm um impacto realmente forte na segurança da empresa. Esta pode ser uma situação muito estressante e perigosa e saber como lidar com ela é um dos atributos da engenharia de software.

Q23: Nomear uma ferramenta popular de varredura de vulnerabilidades?

Por que você deve perguntar Q23: Esta questão, embora não seja estritamente sobre o trabalho de um engenheiro de segurança, permite ao candidato provar o seu conhecimento das ferramentas utilizadas nas avaliações de segurança.

Q24: O que é uma equipa azul, uma equipa vermelha e uma equipa roxa? Qual delas é a mais importante?

Por que você deve perguntar Q24: Com base nesta pergunta, o candidato mostrará se está mais interessado em segurança ou defesa ofensiva. Mas não importa a escolha, estas perguntas mostrarão uma compreensão dos desafios e soluções de segurança dos dias de hoje.

Q25: O que é DLP, como é que funciona?

Por que você deve perguntar Q25: Esta pergunta dará ao candidato a oportunidade de falar sobre algumas técnicas que ajudam a prevenir ou localizar o vazamento de dados.

Q25: O que é WAF? Diga uma solução WAF.

Por que você deve perguntar Q25: As aplicações web são muito populares hoje em dia. É por isso que eles se tornam alvos com muita frequência. O candidato deve ter algum conhecimento sobre as possibilidades de protegê-los e sobre os produtos comuns que podem ser aplicados.

Q26: O que é SOP (mesma política de origem)?

Por que você deve perguntar Q26: O candidato deve ser capaz de falar sobre essas mitigações à medida que são implementadas nos browsers modernos, seus pontos fortes e fracos.

Q27: O que é CSP (content security policy), quando deve ser usado?

Por que você deve perguntar ao Q27: Uma vez que a XSS se manteve no topo da lista dos Top 10 de vulnerabilidades da OWASP, esta questão permitirá ao candidato mostrar que está familiarizado com este problema e que conhece as mitigações adequadas.

Q28: Como mitigar a injecção de SQL?

Por que você deve perguntar Q28: Esta pergunta permite ao candidato falar sobre algumas mitigações básicas usadas nas aplicações (por exemplo, declarações preparadas) para garantir que os dados fornecidos pelo usuário sejam tratados da forma correta e permaneçam classificados como não confiáveis.

Q29: O que é o HSTS? Por que você deve usá-lo?

Por que você deve perguntar Q29: O homem do meio tem um grande impacto na segurança. O candidato que responde a esta pergunta deve ser capaz de mostrar uma compreensão básica dos aparelhos de criptografia e soluções que mitigam este perigoso ataque.

Q30: Explique como funciona o TLS (em algumas frases).

Por que você deve perguntar Q30: Esta pergunta oferece ao candidato a oportunidade de falar sobre soluções criptográficas modernas para garantir canais de comunicação inseguros com tecnologia muito popular.

Q31: Qual é a diferença entre autorização e autenticação?

Por que você deve perguntar Q31: Esta é uma pergunta realmente básica que mostrará que o candidato tem uma compreensão adequada dos termos e desafios que ele estará desafiando todos os dias em seu trabalho como engenheiro de segurança.

Q32: O que são ACLs? Como utilizá-los?

Por que você deve perguntar Q32: Esta questão mostrará que o candidato tem um conhecimento adequado da solução de restrição de acesso nos sistemas modernos.

Q33: Níveis de confidencialidade do nome.

Por que você deve perguntar Q33: Esta pergunta permite ao candidato falar sobre termos básicos usados para julgar o nível de proteção de bens na organização.

Q34: O que é o RADIUS? Quando você deve usá-lo?

Por que você deve perguntar Q34: Ao responder a esta pergunta, o candidato mostrará seu profundo conhecimento das soluções modernas para autenticar e autorizar os usuários, que é o nível chave para garantir a segurança.

Q35: O que é VLAN, quando você deve usá-la? Como funciona a VLAN hopping?

Por que você deve perguntar Q35: Esta questão permitirá ao candidato dizer como utilizar soluções de rede para a separação de redes.

Q36: Como assegurar WiFi em uma organização? (separação de redes)

Por que você deveria perguntar ao Q36: Este é um tópico amplo. O candidato pode mostrar a compreensão do complexo problema e a sua compreensão do modelo de ameaça.

Q37: Cite três formas de testes de segurança, dependendo do nível de conhecimento do atacante. Qual delas é a mais confiável e simula um cenário do mundo real?

Por que você deve perguntar Q37: Os pentecos são uma das formas de desafiar as medidas de segurança implementadas. O candidato será capaz de mostrar seu nível de conhecimento da equipe de ataque simulado que ajudará na modelagem e análise dos relatórios de ameaças.

Q38: Dê um nome a cada camada do modelo ISO/OSI.

Por que você deve perguntar Q38: Esta pergunta proporcionará ao candidato a oportunidade de mostrar os conhecimentos básicos das redes.

Q39: O que é risco residual?

Por que você deve perguntar Q39: O candidato será capaz de mostrar seu profundo conhecimento sobre ameaças e modelagem de ameaças. Esta é uma habilidade chave usada em avaliações de risco.

Q40: Imagine que você trabalha para uma pequena empresa. Há vários estagiários empregados a cada mês por um curto período de tempo. Eles precisam de acesso a alguns servidores e a uma rede WiFi. Como você vai lidar com isso?

Por que você deve perguntar Q40: Este é um tópico prático e amplo que permitirá ao candidato mostrar seus conhecimentos sobre redes e soluções de segurança que ajudam a garantir a segurança nas empresas de uma forma conveniente. Ele deve apontar os mecanismos utilizados para contornar a necessidade de compartilhar e mudar uma senha entre a equipe.

Q41: O que é um gerenciador de senhas? Para que deve ser usado?

Por que você deve perguntar Q41: Esta pergunta ajuda o candidato a mostrar seus conhecimentos sobre a simplificação dos mecanismos de segurança para os usuários finais.

Q42: Que política é melhor - lista negra ou lista branca, e porquê?

Por que você deve perguntar Q42: Esta pergunta permitirá ao candidato mostrar um conhecimento básico sobre a posição dos defensores na ciberguerra. Conhecer as desvantagens das listas brancas pode prevenir eventos catastróficos no futuro.

Q43: Defina o que é um homem no meio do ataque.

Por que você deve perguntar Q43: Esta pergunta ajuda o candidato a mostrar seus conhecimentos sobre as ameaças e ataques populares dos dias modernos. Também deve dar a oportunidade de falar sobre contramedidas.

Q44: Como funciona a troca de chaves Diffie-Hellman (DHKEX)?

Por que você deve perguntar Q44: Esta pergunta permitirá ao candidato falar sobre um dos mecanismos mais populares e comumente usados.

Q45: O que é o SIEM e como funciona?

Por que você deve perguntar Q45: O candidato será capaz de mostrar sua compreensão das ferramentas utilizadas para ajudar a defender os ativos de uma organização.

Q46: O que são DoS e DDoS? Qual é a diferença?

Por que você deve perguntar Q46: Esta é uma pergunta fácil que mostrará uma compreensão básica de ataques realmente comuns e antigos que ainda são muito populares hoje em dia.

Q47: Como se evita a falsificação de DNS e como se assegura um DNS?

Por que você deve perguntar Q47: Esta questão permitirá ao candidato mostrar seu conhecimento administrativo e compreensão das ameaças modernas nas organizações. Falar sobre a segurança de um DNS mostrará que o candidato está familiarizado com os mecanismos criptográficos e as soluções fornecidas para combater as ameaças atuais nas redes internas.

5.3 Questões Comportamentais você deve pedir para entender como o candidato tem agido no passado

Q1: Os últimos dois anos foram ocupados por ataques de resgates que causaram estragos em organizações e empresas que causaram perdas financeiras e de reputação gigantescas. Que medidas você tomaria para evitar que tais acidentes aconteçam em sua organização?

Por que você deve perguntar Q1: Esta questão permitirá ao candidato desafiar as ameaças dos tempos modernos e mostrar sua criatividade na resolução de problemas não triviais.

Q2: O seu IDS reportou uma violação. O que você faria para eliminar a ameaça?

Por que você deve perguntar Q2: Este é um tópico amplo que permitirá ao candidato mostrar sua compreensão das políticas de segurança, compreensão da complexidade dos problemas de segurança e mostrar sua visão ampla sobre o problema.

Triagem técnica das habilidades do engenheiro de segurança usando um teste de codificação online - perguntas de entrevista do engenheiro de segurança do produto6. Triagem técnica de habilidades de engenharia de segurança usando um teste de codificação online

A segurança não deve ser um conceito abstracto em que se pense. Deve ser uma série contínua de preparações e reacções contra as ameaças à segurança com que a sua organização se depara. Como discutimos, um componente importante disto é a capacidade de codificar, usando ferramentas para testar a segurança de uma aplicação ou rede. O teste de codificação que você usa deve refletir isso.

6.1 Que teste de programação de segurança você deve escolher?

Ao procurar o teste de programação online de segurança certo, você deve certificar-se de que eles correspondem aos seguintes critérios.

  • Elas refletem o trabalho real que está sendo feito, com verdadeiros desafios de segurança contemporâneos.
  • Eles não levam muito tempo dos candidatos, uma a duas horas no máximo.
  • Eles podem ser enviados automaticamente e podem ser levados para qualquer lugar para dar flexibilidade a você e ao seu candidato
  • Eles vão além de verificar se a solução funciona para verificar também a qualidade do código e como ele funciona em casos de bordas
  • Estão o mais próximo possível do ambiente natural de programação e deixam o candidato ter acesso aos tipos de recursos que normalmente utilizariam no trabalho.
  • Eles deixam o candidato usar todas as bibliotecas, estruturas e outras ferramentas que normalmente usariam, incluindo as mais importantes para o trabalho.
  • Eles estão a um nível adequado que corresponde às capacidades do candidato

7. Testes de avaliação de codificação de segurança online DevSkiller prontos a usar

A metodologia RealLifeTestingTM do Devskiller é ideal para testar as habilidades dos engenheiros de segurança. A plataforma não faz perguntas acadêmicas. Ao invés disso, ela cria situações reais de segurança que um engenheiro de segurança precisa abordar usando sua experiência e criatividade. Além disso, os testes são classificados automaticamente e você pode ver como o engenheiro de segurança apresenta sua solução. O DevSkiller oferece testes de segurança tanto com codificação como com sistemas. Aqui estão alguns dos quais você pode tentar.

JUNIOR
Competências testadas
Duração
70 minutos, no máximo.
Avaliação
Automático
Visão geral dos testes

Perguntas de escolha

avaliação do conhecimento de Segurança, DevOps, Docker

Tarefa de teste - Nível: Fácil

Segurança | SQL Injection | Vazamento de e-mail do site de comércio eletrônico - Encontre um vazamento de SQL Injection na aplicação web

JUNIOR
Competências testadas
Duração
70 minutos, no máximo.
Avaliação
Automático
Visão geral dos testes

Perguntas de escolha

avaliação do conhecimento de Segurança

Tarefa DevOps - Nível: Fácil

Segurança | SQL Injection | Vazamento de e-mail do site de comércio eletrônico - Encontre um vazamento de SQL Injection na aplicação web

Partilhar correio

Saiba mais sobre a contratação de tecnologia

Subscreva o nosso Centro de Aprendizagem para obter informações úteis directamente na sua caixa de entrada.

Verificar e desenvolver as habilidades de codificação sem problemas.

Veja os produtos DevSkiller em ação.

Certificações de segurança e conformidade. Certificamo-nos de que os seus dados estão seguros e protegidos.

Logotipo DevSkiller Logotipo TalentBoost Logotipo TalentScore