Intervjufrågor för säkerhetsingenjörer

Publicerad: Senast uppdaterad:
säkerhetsingenjör: intervjufrågor för programvaruingenjörer

Säkerheten har aldrig varit viktigare än nu. Som samhälle har vi blivit bekväma med att lägga mycket känsligare och viktigare information på områden som vi inte har kontroll över. Dessutom arbetar vi kollektivt, och många av de program som vi brukade ha på våra egna system finns nu i molnet. Även om dessa nya trender skapar massor av möjligheter, innebär systemens ökande komplexitet, uppgifternas känslighet och den ökade tillgången till våra nätverk att den dedikerade säkerhetsingenjörens roll har blivit viktig för de flesta företag.

Säkerhetsingenjörer är inte bara vanliga programvaruingenjörer eller utvecklare som har tagits in från en annan funktion för att titta på säkerheten. De bästa kandidaterna har unika färdigheter och tillvägagångssätt som gör dem unikt lämpade för detta ändamål. Säkerhetsingenjörer behöver en särskild skärm som är skild från de andra tekniker som ni använder. Fortsätt läsa för att ta reda på exakt vad din säkerhetsingenjör behöver veta och hur du tar reda på om de kan det.

I den här guiden får du reda på:

Vad är en säkerhetsingenjör? - intervjufrågor om produktsäkerhetsingenjör1. Vad är en säkerhetsingenjör?

Förr var det ingenjörer och utvecklare som ansvarade för säkerheten i de system de arbetade med. Förmodligen började ett eller två företag någon gång i början av åttiotalet att anställa personer med det enda syftet att fokusera på säkerhet, men rollen som säkerhetsingenjör blev inte riktigt populär förrän i början av 2000-talet.

1.1 Vad ansvarar säkerhetsingenjörer för?

En säkerhetsingenjörs främsta mål är att förbereda ditt företag mot cyberattacker. De åtgärdar bland annat osäkra förfaranden, tillämpar uppdateringsprinciper för programvara och maskinvara och utformar åtkomstkontroller för olika system och data.

Säkerhetsingenjörer tänker alltid på hot mot ditt system. Detta innebär att de ansvarar för att definiera, räkna upp och modellera alla potentiella säkerhetshot. De är också ansvariga för att känna igen säkerhetskraven för dina datorsystem och nätverk. Hur gör de detta?

1.2 Vilka typer av arbete utför säkerhetsingenjörer?

Tekniska lösningar är en stor del av jobbet. Säkerhetsingenjörer genomför och upprätthåller också säkerhetsprinciper. När policyer är på plats har det varit upp till dem att övervaka, underhålla och tillämpa eventuella begränsningsåtgärder, motåtgärder och annan säkerhetsinfrastruktur. De är också ansvariga för att skapa och sedan utveckla åtgärder och riktlinjer för incidenthantering.

Att skydda system är en del av jobbet, men säkerhetsingenjörer måste ofta tänka ett steg längre och ta hänsyn till vilka typer av tillgångar som lagras i systemen. Förutom att skydda företagets nätverk och IT-infrastruktur fokuserar de också på att skydda företagets immateriella egendom som förvaras på dessa platser. De sysslar också med viss fysisk säkerhet eftersom cyberattacker ofta har en fysisk komponent.

1.3 Varför ha en säkerhetsingenjör?

En säkerhetsingenjör eller ett team av säkerhetsingenjörer tar ansvar för detta viktiga område av programvaruutvecklingen. Genom att utveckla en specialistkompetens inom säkerhet kan säkerhetsingenjörer uppnå bättre resultat än vad ett normalt utvecklingsteam skulle göra. Detta beror främst på att de har bättre möjligheter att hålla sig ajour med nya hot, inklusive sårbarheter som hittas i populära programvaror. Genom att göra det till sin uppgift att reagera på dessa hot kan de skydda företaget innan dessa används mot dem. Genom att ha en dedikerad säkerhetsingenjör eller ett säkerhetsteam kan ditt företag gå på offensiven mot hoten och försvara sig i stället för att behöva mildra effekterna av en säkerhetsöverträdelse.

Fördelarna med ökad IT-säkerhet innebär att det i allt större utsträckning dyker upp en dedikerad person eller ett team som ägnar sig åt säkerhet i medelstora och stora företag där man inte skulle ha hittat någon sådan för bara några år sedan. I dessa team ingår ofta pentesters utöver säkerhetsingenjörer. Pentesters är det ying som säkerhetsingenjörerna har att göra med. Säkerhetsingenjören bygger upp försvarssystem i ditt system medan pentestern försöker hitta sätt att bryta sig igenom dem. Genom att avslöja sårbarheter hjälper pentestern säkerhetsingenjören att bygga starkare försvar.

De bästa säkerhetsingenjörerna är specialister på området. Det finns dock inga formella krav för att bli säkerhetsingenjör. För de flesta är det en blandning av att ha en stark förståelse för datavetenskap blandat med en förståelse för mänsklig psykologi.

Vad är viktigt för en IT-rekryterare att veta om en säkerhetsingenjör? - intervjufrågor för produktsäkerhetsingenjörer2. Vad är viktigt för en IT-rekryterare att veta om säkerhet?

Paradigmskiften är ganska sällsynta i säkerhetsbranschen. Men detta faktum bör inte uppmuntra till självbelåtenhet. Det räcker med att vara uppmärksam på hur ofta uppdateringar kommer till ditt antivirusprogram för att inse att nya attacker, sårbarheter och andra säkerhetsproblem är vardagsmat.

Med tiden tenderar dessa attacker att förändras och utvecklas i vissa riktningar. Numera är det till exempel vanligare att hitta en XSS-attack än en tidigare populär skadlig Java-applet. Vad en rekryterare dock måste förstå är att säkerhet kräver en mycket bred kunskap om IT-frågor.

Säkerhetsingenjörer måste förstå systemadministration, datornätverk och programmering. De måste också förstå hur dessa komponenter samverkar för att skapa hinder och åtgärda svagheter. En holistisk systemansats kan på ett effektivt sätt hantera säkerhetsfrågor i ett nätverk.

3. Vilka verktyg och tekniker bör en säkerhetstekniker känna till?

Liksom på många andra utvecklade teknikområden finns det en mängd verktyg tillgängliga för säkerhetsingenjörer. Dessa inkluderar ramverk, bibliotek och andra verktyg som används för att spåra, försvara och fastställa de troliga orsakerna till säkerhetsöverträdelser.

Förutom verktyg behöver säkerhetsingenjörer förstå mer domänspecifika frågor. Dessa omfattar social ingenjörskonst, nätfiske, buffertöverflöden, XSS, zero-days och Metasploit. De bör ha goda kunskaper om administrativa verktyg och brandväggar, antiviruslösningaroch hotbildsmodellering. Slutligen krävs det dagligen en förståelse för intrångsdetekteringssystem/intrångsskyddssystem eller system för hantering av säkerhetsinformation och händelser.

3.1 nyttig erfarenhet för kandidater inom säkerhetsteknik

För att kunna hantera säkerhetsrelaterade frågor är det viktigt med kunskaper i serveradministration, flottadministration, nätverksadministration och grundläggande skriptprogrammering. En bra indikator på att din kandidat har hanterat säkerhetsfrågor är kommersiell erfarenhet från liknande befattningar. Utanför kommersiell erfarenhet är det en stark indikator på intresse för säkerhetskompetens att bidra till säkerhetsrelaterade öppen källkodsprojekt och att delta i säkerhetsrelaterade evenemang som CTF-spel eller säkerhetskonferenser. Erfarenhet av pentesting eller säkerhetsforskning är också bra.

4. Granskning av en säkerhetsingenjör med hjälp av dennes CV

Kandidatens CV är en bra utgångspunkt för att ta reda på vad han eller hon är bekant med. Men dess verkliga värde är som en riktlinje för frågor under intervjun. Förutom att hålla utkik efter den erfarenhet som vi nämnde ovan är det viktigt att hålla utkik efter vissa viktiga tekniker i en kandidats CV. För att hjälpa dig har vi sammanställt en ordlista över säkerhetsspecifika termer.

Ordlista för säkerhetsingenjörer för tekniska rekryterare - intervjufrågor för produktsäkerhetsingenjörer

4.1 Ordlista för säkerhetsingenjörer för tekniska rekryterare

APT (Advanced Persistent Threat) En långsiktig attack där en angripare eller en grupp angripare håller sig täckta under en lång tidsperiod, vanligtvis med hjälp av avancerad teknik och utnyttjande av okända sårbarheter som kallas 0-dagar.
Exekvering av godtycklig kod (ACE) Se Exekvering av fjärrkod.
Antivirus Programvara för att öka säkerheten, särskilt för slutnoder. Den används för att upptäcka skadlig kod eller oönskad programvara med hjälp av antingen statisk analys med hjälp av signaturer eller beteendeanalys.
CCNA säkerhetscertifiering (Cisco Certified Network Associate säkerhetscertifiering) Cisco säkerhetsorienterad certifiering.
CIA:s triangel/triangel/princip (ibland kallad AIC för att undvika förväxling med en underrättelsetjänst). CIA står för konfidentialitet, integritet och tillgänglighet. Det är tre viktiga säkerhetsaspekter som hjälper till att modellera hot och garantera datasystemets säkerhet.
CISSP (Certified Information Systems Security Professional) En välkänd och respekterad säkerhetscertifiering.
CSRF (Cross Site Request Forgery) En attack som utnyttjar det förtroende som webbplatsen har för användaren/webbläsaren. Angriparen försöker lura en autentiserad användare att ofrivilligt utföra en handling, t.ex. genom att skicka en förberedd länk.
CVE (Common Vulnerability and Exposures - gemensamma sårbarheter och exponeringar) Ett system som underhålls av MITRE Corporation och som ger unika ID:n för offentligt kända sårbarheter.
DLP (förebyggande av dataförlust/läckage/läckage) Teknik och verktyg som används för att garantera säkerheten för viktiga uppgifter. DLP-system använder transparenta krypterings- och dekrypteringsmetoder för att filtrera trafik som innehåller kritiska och värdefulla data för att se till att okrypterad information aldrig lämnar organisationens nätverk.
Härdning Åtgärder som vidtas för att förbättra säkerheten i ett program eller ett datorsystem genom att tillämpa patchar, installera ytterligare moduler eller ta bort onödiga delar. Hårdgörning minskar angreppsytan och förhindrar i vissa fall angriparen från att göra någon meningsfull skada efter ett lyckat intrång.
HSTS (HTTP Strict Transport Security) En säkerhetsåtgärd som skyddar mot att sänka säkerhetsstandarden för överföring via HTTPS.
Social ingenjörskonst Hacka människor istället för maskiner (t.ex. övertyga sekreteraren om att hon ska kopiera ett dokument, istället för att bryta sig in och stjäla det).
IDS/IPS NIDS/HIDS (Intrusion Detection System / Intrusion Prevention System Network Intrusion Detection System / Host Intrusion Detection System) System som tillhandahåller verktyg för att upptäcka, känna igen och rapportera skadligt beteende som kan orsakas av ett intrång. IPS ger också möjlighet att begränsa intrång efter att ha upptäckt dem.
Penetrationstestning En auktoriserad process för säkerhetstestning av ett system eller en applikation som simulerar en verklig attack. Den ger kunskap om den faktiska säkerheten hos det testade objektet. Penetrationstestning kan delas in utifrån den kunskap som testarna har. White box är en typ av angrepp där angriparna har djup kunskap om målet. Black box är däremot ett scenario där testarna har liten eller ingen kunskap om det testade systemet.
Skadlig programvara/ransomware Termen malware står för skadlig programvara och beskriver program som är skadliga till sin utformning. Skadlig programvara är en bred term som beskriver flera olika typer av skadlig programvara, t.ex. datavirus, rootkits och maskar. Ransomware är skadlig kod som låser användarnas data, vanligtvis krypterar dem och kräver lösensumma för dekryptering.
Metasploit Programvara utvecklad och underhållen av Rapid7. Den skulle kunna kallas för en pentestrares schweiziska armékniv. Metasploit tillhandahåller en databas med kända exploits och ytterligare programvara och metoder (t.ex. för att kringgå antivirus) som hjälper till att genomföra penetrationstester.
Nmap/portskanning Portscanning är en process där man fastställer vilka nätverksportar som är öppna genom att skicka TCP- eller UDP-paket till en undersökt värd och tolka det svar som erhålls. Nmap är en populär portscanner, ett verktyg som används för att utföra portscanning.
OSCE (certifierad expert på offensiv säkerhet) Certifiering för penetrationsanalys.
OSCP (Offensive Security Certified Professional) Certifiering för penetrationsanalys.
PBKDF Inom kryptografi är KDF (key derivation function) en funktion som producerar hemliga nycklar baserat på en hemlig inmatning. PBKDF står för password-based key derivation function och används för att härleda en hemlig nyckel från en användares lösenord.
Fiske En attacktyp som syftar till att få tag på användaruppgifter och konfidentiella uppgifter. Den består vanligtvis av att skicka e-postmeddelanden som utger sig för att vara en auktoritet (t.ex. säkerhetsansvarig, chef, arbetsgivare) och omdirigera användarna till en webbplats som imiterar en betrodd inloggningssida. Detta kan göras genom att ha en URL-domän som skiljer sig åt med hjälp av bokstäver som liknar varandra (t.ex. stort i och litet L) eller genom typosquatting. Det är ett angrepp som inte bara utnyttjar tekniska sårbarheter utan även använder sig av social ingenjörskonst.
Det röda laget En grupp säkerhetsspecialister som utmanar en organisations säkerhetssystem och förfaranden i verkliga scenarier. Vid bedömningar av röda team kan man inte bara använda sig av cybervektorer utan även av fysiska, t.ex. genom att bryta sig in i byggnader, placera ut enheter i en organisations nätverk och datorer som kan bidra till att äventyra dess system. Ett möjligt resultat kan vara att exfiltrera konfidentiella uppgifter. Röda team anlitas för att hjälpa till att utbilda blå team - specialister vars uppgift är att hålla ett företags system säkert, övervaka och reagera på incidenter och minimera effekterna av intrång.
RCE/ACE (fjärrkörning av kod/Arbiträrt körning av kod) Beskriver effekterna av en sårbarhet som gör det möjligt för angriparen att köra godtycklig kod eller kommandon i det berörda systemet. RCE inträffar när angriparen kan köra godtycklig kod på fjärrvärden via nätverket.
Sandlåda En term som används för att beskriva en säker, icke-priviligierad och isolerad miljö där icke-priviligierad programvara kan köras utan att skada andra system.
SIEM (hantering av säkerhetsinformation och händelser) Komplexa verktyg som används för att samla ihop loggar, övervaka och rapportera realtidsanalys av varningar och händelser som genereras av mjuk- och hårdvarulösningar i en organisations nätverk.
SPAM Oönskade och oönskade meddelanden som skickas via e-post.
Spearphishing En mycket målinriktad phishing-attack som är inriktad på en person/organisation etc. Vanligtvis föregås det av en lång och uttömmande spaning.
SQL-injektion (SQLi) En av de mest populära attackerna är riktad mot databasfrågor i program. De orsakas av felaktig sanering, kodning och hantering av data som tillhandahålls av användaren. SQLi-attacker leder till att godtyckliga SQL-uttalanden utförs i databasen och att dess innehåll exfiltreras eller ändras.
SSTI (Server Side Template Injection) En teknik för kodinjektion som används när servern använder data som användaren skickat in i mallen. Den här typen av angrepp kan leda till exekvering av godtycklig kod på serversidan.
Modellering av hot Detta är en process som identifierar och prioriterar potentiella hot. Den kan till exempel avslöja sårbarheter som kan utnyttjas av en angripare för att äventyra datorsystem. Hotmodellering hjälper till att utforma och genomföra förfaranden, policyer och åtgärder för att säkra värdefulla tillgångar så att attacker blir olönsamma. För att göra hotmodellering enklare har metoder som VAST utformats.
VAST (Visual Agile and Simple Threat modeling) En metod som används vid hotmodellering.
Bedömning av sårbarhet En process för att söka efter kända hot (kända sårbarheter) i ett system med hjälp av tekniker som portscanning och fingeravtryck av tjänster. Vid sårbarhetsbedömningar analyseras resultaten för att fastställa systemets svagheter och åtgärder vidtas för att minimera risken för eller effekterna av en eventuell attack.
WAF (brandvägg för webbapplikationer) Ett verktyg som används för att skydda webbapplikationer. WAF:er validerar användarinmatningen och övervakar förfrågningar för att upptäcka skadliga förfrågningar, blockerar dem och rapporterar.
XSRF Ännu en akronym för CSRF
XSS (Cross-Site Scripting)

En klass av sårbarheter i datasäkerheten, vanligtvis i webbprogram, som gör det möjligt för en angripare att injicera skript på klientsidan (vanligtvis i JavaScript, ibland VBScript). Genom att köra kod i en användares webbläsare kan man kringgå vissa metoder för åtkomstkontroller som SOP (same origin policy), exfiltrera autentiseringsdata (cookies) för att utge sig för att vara en inloggad användare eller dynamiskt ändra en webbplats.

XXE (XML External Entity) En attack som riktar sig mot XML-behandlingsprogram som inte hanterar referenser till externa enheter på rätt sätt. Vanligtvis leder denna typ av sårbarhet till att data avslöjas.

4.2 De vanligaste namnen på säkerhetsteknik som används omväxlande

  • CRSF XSRF (se ordlistan)

4.3 Versioner av säkerhetsfrågor som är helt olika

  • SSTI föregås vanligen av XSS, men leder till exekvering av kod på serversidan. XSS handlar däremot om att utföra kod på klientsidan.

4.4 Hur viktigt är certifikat för säkerhetsteknik för att bedöma en kandidats kodningsfärdigheter?

Certifikat är verkligen inte allt, men det finns några viktiga certifikat som respekteras av säkerhetsingenjörer. Dessa är bra att ha men inte nödvändiga. De vanligaste respekterade certifikaten är:

  • CISSP
  • OSCP
  • OSSE
  • CCNA [Säkerhet]

4.5 Andra saker att tänka på i en säkerhetsingenjörs CV

  • Det är bra att ha en förteckning över inlämnade CVEs (se ordlistan).

Intervjufrågor för säkerhetsingenjörer att ställa under en teknisk intervju per telefon/video - intervjufrågor för produktsäkerhetsingenjörer5. Intervjufrågor för säkerhetsingenjörer att ställa under en teknisk intervju per telefon/video

Ett CV som säkerhetsingenjör kan ge dig en fingervisning om säkerhetsingenjörens kunskaper och erfarenheter, men det är viktigt att kunna testa vad kandidaten faktiskt kan tala om och hur han eller hon har tillämpat sina kunskaper tidigare.

5.1 Frågor om kandidatens erfarenhet

Q1: Har du hanterat en överträdelse? Hur gick det till? Hur kunde det förhindras?

Varför du ska fråga Q1: Kandidaten kommer att kunna dela med sig av sina erfarenheter från den aktuella branschen. Stora överträdelser sker inte dagligen, men mindre olyckor gör det, så kandidaten bör ha några tankar och slutsatser om detta ämne. Observera att specifika fall är viktig information och att detaljerna kan vara konfidentiella och att den intervjuade kanske inte får prata om dem.

Q2: Vad anser du om rollen som säkerhetsingenjör på företaget?

Varför du bör fråga Q2: Kandidaten bör känna till säkerhetsingenjörens ansvarsområden i en organisation. Observera att vissa uppgifter kan ligga utanför eller inom ramen för denna funktion - det beror på organisationens struktur.

Q3: Vad tycker du om BYOD (bring your own device)?

Varför du bör fråga Q3: Oavsett vilken sida av augment-kandidaten väljer är det viktigt att förstå riskerna, svagheterna och den korrekta hanteringen av opålitliga enheter och tillgång till organisationens data.

5.2 Frågor om kandidatens kunskaper och åsikter

Q1: Vad är ett hot, en sårbarhet, ett utnyttjande och en begränsning? (förklara)

Varför du ska fråga Q1: Den här frågan gör det möjligt för kandidaten att visa sin förståelse och grundläggande kunskap om termer som används inom IT-säkerhet. Kandidaten bör påpeka att begränsningsåtgärder är patchar/korrigeringar som tillämpas på programvara (eller andra mekanismer som används t.ex. på kärnnivå) för att förhindra att sårbarheten utnyttjas.

Q2: Vad är en SQL-injektion och hur skiljer den sig från XXE? (förklara)

Varför du bör fråga Q2: Kandidaten bör kunna visa en grundläggande förståelse för några vanliga sårbarheter som förekommer i moderna tillämpningar.

Q3: Vad leder till SSTI (server-side template injection) och är det farligare än XSS? Hur skiljer de sig åt?

Varför du bör fråga Q3: Sårbarheter är komplexa. Ibland kan förekomsten av en typ av fel tyda på att en annan del av programmet också beter sig illa och att det verkliga hotet har en mycket större inverkan än vad man först trodde.

Q4: Vad är: IDS, IPS och EDR. Hur skiljer de sig åt?

Varför du bör fråga Q4: Kandidaten bör kunna skilja mellan de grundläggande klasser av verktyg som används för att upptäcka och förhindra att angripare orsakar förluster.

Q5: Hur fungerar asymmetrisk kryptering? När ska du använda den? Vilka är fördelarna och nackdelarna jämfört med symmetrisk kryptering? Nämn en symmetrisk och en asymmetrisk krypteringsalgoritm.

Varför du bör ställa frågan Q5: Kryptografi är allestädes närvarande när det gäller att säkra moderna tillämpningar. Kandidaten bör känna till nackdelarna med asymmetrisk kryptering (t.ex. hastighet).

Q6: Vad är skillnaden mellan stream cipher och block cipher?

Varför du bör ställa frågan Q6: Kandidaten bör kunna visa grundläggande kunskaper om verktyg som modern kryptografi tillhandahåller och deras användningsområden.

Q7: Vad är hashing (kryptografiskt), vad det används till, när och hur skiljer det sig från kryptering? Nämn en hash-algoritm som inte bör användas och en som inte är "bevisat osäker".

Varför du bör ställa frågan Q7: Kandidaten bör veta att det till exempel är förkastligt att lagra kunders lösenord i klartext och att det är här som hashfunktioner bör användas. Den osäkra funktionen är till exempel MD5. SHA256 har fortfarande inte bevisats ha kollisioner och det är ganska säkert att använda den.

Q8: Vad är PBKDF, hur fungerar det? Varför använder man den?

Varför du bör ställa frågan Q8: Kandidaten bör kunna visa att han/hon har kunskap om dessa mekanismer och om effektiva/smidiga sätt att genomföra säkerheten på daglig basis.

Q9: Hur skiljer sig CSRF från XSS?

Varför du bör fråga Q2: Kandidaten bör kunna skilja mellan olika klasser av vanliga sårbarheter.

Q10: Vad är ett fingeravtryck?

Varför du bör fråga Q10: Detta ämne ger kandidaten möjlighet att tala om metoder för att identifiera system som stötts på. Tekniken används vanligtvis av angriparen i rekognosceringsfasen. Kandidaten kan också tala om unika fingeravtrycksbaserade spårningsmetoder.

Q11: Hur kontrollerar jag om den nedladdade filen är korrekt?

Varför du bör fråga Q2: Den här frågan ger kandidaten möjlighet att visa en viss praktisk och grundläggande kunskap om kontrollsummor, hash-algoritmer och kryptografiska signaturer.

Q12: Förklara CIA-principen.

Varför du bör fråga Q12: CIA-principen eller CIA-triangeln är en grundläggande modell som används för att skapa säkerhetsprinciper. Kandidaten bör kunna använda den för att visa sin djupa kunskap om vilka regler som bör beaktas vid utarbetandet av regler och policyer.

Q13: Vad är port knocking?

Varför du bör fråga Q13: Kandidaten bör känna till grundläggande säkerhetsåtgärder. Den här frågan är lite knepig, eftersom man inte bör betrakta portknackning som skottsäker.

Q14: Namnge ett säkert protokoll för att hantera fjärrservrar?

Varför du bör fråga Q14: Kandidaten bör kunna tala om grundläggande verktyg som säkerställer säkerheten vid dagliga uppgifter som fjärrservrar. SSH är ett av dem.

Q15: Vad är rlogin och bör det användas? Varför? Varför inte? Förklara

Varför du bör fråga Q15: IT-säkerhet är ett mycket dynamiskt område, men ibland måste miljöer ta hänsyn till äldre krav. Det är därför de använder gammal teknik som rlogin. Genom att svara på den frågan kan kandidaten visa att han eller hon har en djupgående kunskap om säkerhetsverktyg och vet vilka av dem som saknar säkerhet och varför.

Q16: Vad är härdning?

Varför du bör fråga Q16: Denna fråga bör ge kandidaten möjlighet att tala om olika metoder för att göra miljön och tillämpningarna säkrare.

Q17: Vad är penetrationstestning? Vad är sårbarhetsbedömning? Hur skiljer de sig åt? Vad är en säkerhetsrevision?

Varför du bör fråga Q17: Den här frågan är lite knepig. Ibland missförstås dessa termer och används omväxlande. Ledningen kan missbruka dessa termer, så kandidaten bör vara bekant med dem och känna till skillnaderna.

Q18: Nämn en vägledning för pentesting.

Varför du bör fråga Q18: Pentesting-rapporter hamnar vanligtvis på en säkerhetsingenjörs skrivbord. Kandidaten bör kunna känna till några riktlinjer för penetrationstestning, inte bara för att hantera rapporterna på rätt sätt utan också för att ta hänsyn till funktioner som inte påverkas av pentestet.

Q19: Vad är PKI (Public Key Infrastructure)? Hur fungerar den?

Varför du bör ställa frågan Q19: Genom att besvara denna fråga kan kandidaten visa att han/hon har kunskap om hur man hanterar autentisering som tillhandahålls av kryptografiska lösningar. Kandidaten bör vara medveten om de antaganden som följer med denna typ av mekanismer.

Q20: Vad är Kerberos? Vad används det till? Kan det användas i Windows-domäner?

Varför du bör ställa frågan Q20: En stor organisations nätverk behöver särskilda lösningar för att minska angreppsytorna i områden med åtkomstbegränsningar. Kandidaten kan visa sin förståelse för en av de mest populära lösningarna, dess fördelar och begränsningar.

Q21: Vad är certifikatpinnning? Hur gör man det på rätt sätt?

Varför du bör fråga Q21: Den här frågan handlar om att garantera säkerheten trots kommunikation över en osäker kanal. Den hjälper kandidaten att visa sina kunskaper om vanliga åtgärder för att minska risken.

Q22: Vad gör du när ditt privata certifikat stjäls?

Varför du bör fråga Q22: Det är en praktisk fråga som ger kandidaten möjlighet att tala om åtgärder som är ganska sällsynta men som har en mycket stor inverkan på företagets säkerhet. Detta kan vara en mycket stressig och farlig situation och att veta hur man hanterar den är en av mjukvaruteknikens egenskaper.

Q23: Nämn ett populärt verktyg för sårbarhetsscanning?

Varför du bör ställa frågan Q23: Den här frågan handlar inte direkt om säkerhetsingenjörens arbete, men ger kandidaten möjlighet att visa sin kunskap om verktyg som används vid säkerhetsbedömningar.

Q24: Vad är ett blått lag, ett rött lag och ett lila lag? Vilket är det viktigaste?

Varför du bör fråga Q24: Med hjälp av denna fråga kan kandidaten visa om han eller hon är mer intresserad av offensiv säkerhet eller försvar. Men oavsett vilket val du gör visar dessa frågor att du har en förståelse för dagens säkerhetsutmaningar och lösningar.

Q25: Vad är DLP och hur fungerar det?

Varför du bör fråga Q25: Den här frågan ger kandidaten möjlighet att tala om några tekniker som hjälper till att förhindra eller lokalisera dataläckage.

Q25: Vad är WAF? Nämn en WAF-lösning.

Varför du bör fråga Q25: Webbapplikationer är mycket populära i dag. Det är därför de ofta blir måltavlor. Kandidaten bör ha viss kunskap om möjligheterna att skydda dem och om vanliga produkter som kan användas.

Q26: Vad är SOP (same origin policy)?

Varför du bör fråga Q26: Kandidaten bör kunna tala om dessa åtgärder som implementeras i moderna webbläsare, deras starka och svaga sidor.

Q27: Vad är CSP (Content Security Policy) och när bör den användas?

Varför du bör fråga Q27: Eftersom XSS fortfarande är högst upp på OWASP:s topp 10-lista över sårbarheter kan kandidaten med den här frågan visa att han eller hon känner till problemet och vet hur man kan minska det på rätt sätt.

Q28: Hur kan man förhindra SQL-injektion?

Varför du bör fråga Q28: Den här frågan gör det möjligt för kandidaten att tala om några grundläggande begränsningsåtgärder som används i tillämpningar (t.ex. förberedda uttalanden) för att se till att data som tillhandahålls av användaren hanteras på rätt sätt och förblir klassificerade som otillförlitliga.

Q29: Vad är HSTS? Varför ska du använda det?

Varför du bör fråga Q29: Mannen i mitten har stor betydelse för säkerheten. Den kandidat som svarar på denna fråga bör kunna visa en grundläggande förståelse för kryptografiapparater och lösningar som minskar denna farliga attack.

Q30: Förklara hur TLS fungerar (i några få meningar).

Varför du bör fråga Q30: Den här frågan ger kandidaten möjlighet att tala om moderna kryptografiska lösningar för att säkra osäkra kommunikationskanaler med mycket populär teknik.

Q31: Vad är skillnaden mellan auktorisering och autentisering?

Varför du bör fråga Q31: Detta är en mycket grundläggande fråga som visar att kandidaten har en god förståelse för termer och utmaningar som han eller hon kommer att möta varje dag i sitt arbete som säkerhetsingenjör.

Q32: Vad är ACL:er? Hur använder man dem?

Varför du bör fråga Q32: Den här frågan visar att kandidaten har goda kunskaper om lösningar för åtkomstbegränsningar i moderna system.

Q33: Nämn sekretessnivåer.

Varför du bör fråga Q33: Den här frågan ger kandidaten möjlighet att tala om grundläggande termer som används för att bedöma nivån på skyddet av tillgångar i organisationen.

Q34: Vad är RADIUS? När ska du använda det?

Varför du bör fråga Q34: Genom att svara på den här frågan visar kandidaten att han eller hon har djupgående kunskaper om moderna lösningar för att autentisera och auktorisera användare, vilket är den viktigaste nivån för att garantera säkerheten.

Q35: Vad är VLAN, när ska du använda det? Hur fungerar VLAN hopping?

Varför du bör fråga Q35: Den här frågan gör det möjligt för kandidaten att berätta hur man använder nätverkslösningar för nätverksseparation.

Q36: Hur säkrar man WiFi i en organisation? (nätverksseparation)

Varför du bör fråga Q36: Detta är ett brett ämne. Kandidaten kan visa att han/hon förstår det komplexa problemet och att han/hon förstår hotmodellering.

Q37: Nämn tre sätt att testa säkerheten beroende på angriparens kunskapsnivå. Vilket är det mest tillförlitliga och simulerar ett verkligt scenario?

Varför du bör fråga Q37: Pentester är ett sätt att ifrågasätta genomförda säkerhetsåtgärder. Kandidaten kommer att kunna visa sin kunskapsnivå om det simulerade attackerande laget, vilket kommer att bidra till hotmodellering och analys av rapporterna.

Q38: Namnge varje lager i ISO/OSI-modellen.

Varför du bör ställa frågan Q38: Den här frågan ger kandidaten möjlighet att visa sina grundläggande kunskaper om nätverk.

Q39: Vad är restrisk?

Varför du bör fråga Q39: Kandidaten ska kunna visa sin djupa kunskap om hot och hotmodellering. Detta är en nyckelkompetens som används vid riskbedömningar.

Q40: Tänk dig att du arbetar på ett litet företag. Varje månad anställs flera praktikanter för en kortare period. De behöver tillgång till några servrar och ett WiFi-nätverk. Hur kommer du att hantera det?

Varför du bör fråga Q40: Detta är ett praktiskt och brett ämne som gör det möjligt för kandidaten att visa sin kunskap om nätverk och säkerhetslösningar som hjälper till att garantera säkerheten i företag på ett bekvämt sätt. Han/hon bör peka på mekanismer som används för att kringgå behovet av att dela och ändra ett lösenord i teamet.

Q41: Vad är en lösenordshanterare? Vad ska den användas till?

Varför du bör fråga Q41: Den här frågan hjälper kandidaten att visa sina kunskaper om att förenkla säkerhetsmekanismer för slutanvändare.

Q42: Vilken policy är bäst - svartlistning eller vitlistning, och varför?

Varför du bör fråga Q42: Den här frågan gör det möjligt för kandidaten att visa en grundläggande kunskap om försvararnas ställning i cyberkrigföring. Genom att känna till nackdelarna med vitlistor kan man förhindra katastrofala händelser i framtiden.

Q43: Definiera vad en "man i mitten"-attack är.

Varför du bör fråga Q43: Den här frågan hjälper kandidaten att visa sina kunskaper om dagens hot och populära attacker. Den bör också ge möjlighet att tala om motåtgärder.

Q44: Hur fungerar Diffie-Hellman-nyckelutbytet (DHKEX)?

Varför du bör fråga Q44: Den här frågan ger kandidaten möjlighet att tala om en av de mest populära och vanligaste mekanismerna.

Q45: Vad är SIEM och hur fungerar det?

Varför du bör fråga Q45: Kandidaten ska kunna visa sin förståelse för de verktyg som används för att hjälpa till att försvara en organisations tillgångar.

Q46: Vad är DoS och DDoS? Vad är skillnaden?

Varför du bör fråga Q46: Det här är en enkel fråga som visar att du har en grundläggande förståelse för vanliga och gamla attacker som fortfarande är mycket populära idag.

Q47: Hur förhindrar man DNS-spoofing och hur säkrar man en DNS?

Varför du bör ställa frågan Q47: Den här frågan gör det möjligt för kandidaten att visa sin administrativa kunskap och förståelse för moderna hot i organisationer. Att tala om att säkra en DNS visar att kandidaten är bekant med kryptografiska mekanismer och lösningar för att bekämpa aktuella hot i interna nätverk.

5.3 Beteendefrågor Du bör ställa frågor för att förstå hur kandidaten har agerat tidigare.

Q1: De senaste två åren har varit upptagna av attacker med utpressningstrojaner som orsakat förödelse i organisationer och företag, vilket lett till enorma ekonomiska förluster och ryktesspridning. Vilka åtgärder skulle du vidta för att förhindra att sådana olyckor inträffar i din organisation?

Varför du bör fråga Q1: Den här frågan ger kandidaten möjlighet att utmana dagens hot och visa sin kreativitet när det gäller att lösa icke-triviala problem.

Q2: Din IDS rapporterade ett intrång. Vad skulle du göra för att undanröja hotet?

Varför du bör fråga Q2: Detta är ett brett ämne som gör det möjligt för kandidaten att visa sin förståelse för säkerhetspolitik, förståelse för säkerhetsproblemens komplexitet och visa sin breda syn på problemet.

Teknisk screening av säkerhetsingenjörens färdigheter med hjälp av ett kodningstest online - intervjufrågor för produktsäkerhetsingenjörer6. Teknisk screening av säkerhetstekniska färdigheter med hjälp av ett kodningstest online.

Säkerhet ska inte vara ett abstrakt begrepp som du tänker på. Det bör vara en kontinuerlig serie av förberedelser och reaktioner på de säkerhetshot som din organisation ställs inför. Som vi diskuterade är en viktig del av detta förmågan att koda och använda verktyg för att testa säkerheten i en applikation eller ett nätverk. Det kodningstest som ni använder bör återspegla detta.

6.1 Vilket test för säkerhetsprogrammering ska du välja?

När du letar efter rätt säkerhetstest för programmering online bör du se till att de uppfyller följande kriterier.

  • De återspeglar det arbete som verkligen utförs, med verkliga aktuella säkerhetsutmaningar.
  • De tar inte alltför mycket tid i anspråk, högst en till två timmar.
  • De kan skickas automatiskt och kan tas med var som helst för att ge dig och din kandidat flexibilitet.
  • De går längre än att kontrollera om lösningen fungerar och kontrollerar även kodens kvalitet och hur väl den fungerar i randfall.
  • De ligger så nära den naturliga programmeringsmiljön som möjligt och ger kandidaten tillgång till samma slags resurser som de normalt skulle ha på jobbet.
  • De låter kandidaten använda alla bibliotek, ramverk och andra verktyg som de normalt skulle använda, inklusive de som är viktigast för jobbet.
  • De är på en lämplig nivå som motsvarar kandidatens förmåga.

7. DevSkiller färdiga test för bedömning av säkerhetskodning online, färdiga att använda

Devskillers RealLifeTestingTM-metodik är idealisk för att testa säkerhetsingenjörers färdigheter. Plattformen ställer inga akademiska frågor. Istället ställs verkliga säkerhetssituationer upp som en säkerhetsingenjör måste hantera med hjälp av sin erfarenhet och kreativitet. Dessutom betygsätts testerna automatiskt och du kan se hur säkerhetsingenjören kommer fram till sin lösning. DevSkiller erbjuder säkerhetstest både med kodning och system. Här är några som du kan prova från.

Dela inlägg

Läs mer om rekrytering av tekniker

Prenumerera på vår Learning Hub för att få nyttiga insikter direkt i din inkorg.

Kontrollera och utveckla kodningsfärdigheter utan problem.

Se DevSkillers produkter i praktiken.

Säkerhetscertifieringar och efterlevnad. Vi ser till att dina data är säkra och skyddade.

DevSkillers logotyp TalentBoost logotyp TalentScore-logotyp