虽然全球经济尚未走出疫情阴霾,但是网络安全人才市场依然是供不应求的“卖方市场”。根据ESG集团的一项全球调研,近三分之二的企业今年打算增加IT支出,同时高达69%的受访企业表示今年增加了网络安全支出。只有2%的企业希望减少在网络安全上的支出。

ESG在报告中指出:“网络安全仍然是2022年企业的首要IT计划”。

尽管身处“卖方市场”,但是网络安全人才如果寻求更好的岗位或者雇主,那么面试依然是至关重要的环节。

但是网络安全的面试与很多热门IT专业不同,网络安全属于“高挥发离散型”专业领域,涵盖的技术堆栈和知识谱系非常庞杂,同时技术热点和框架理念的迁移和演进又特别频繁,对于招聘者和应聘者来说,通过有限的问题来了解对方的能力和潜力,本身也是充满挑战的任务。

以下,我们整理了2022年全球企业招聘中常见的20个网络安全面试问题(偏管理和偏技术各10个),希望能抛砖引玉,帮助网络安全求职人士举一反三,有针对性地修复面试环节的“漏洞”:

管理类职位十大常见问题

有些公司只是想看看你的证书和经验,然后会问你一系列技术问题,看看你对技术的理解程度。然而,许多面试官想更深入地挖掘你的动机、目的和个性。他们想确定您是否精通业务并有管理抱负,或者更愿意保持纯粹的网络安全技术人员或专家身份。

以下是在高级网络安全管理职位的面试中经常会出现的一些问题:

1.您对我们如何解决网络安全问题了解多少,您可以如何帮助我们改进?

这个问题的回复质量取决于你事先是否做足了功课。通常来说,面试前你需要在网上搜索,查看该公司是否登上过网络安全事件的头条新闻,他们最近被黑客入侵了吗?还是被勒索赎金?他们是否发生过任何数据泄露并被迫报告?此外,还要检索该公司是否出现在任何IT或安全供应商的新闻稿中。这将有助于你了解该公司内部和云中使用的工具类型。此外,招聘网站无疑会提供大量线索。IT和安全职位的广告(无论是否已经结束),通常也会列出他们正在使用或计划部署的平台、工具和技能组合。

2.您可以给公司带来哪些网络安全技能和优势?

这是一个表现自己的机会——但切忌不要用力过猛。对自己的能力描述要诚实。重点突出你擅长的领域或能力。如果面试官询问您没有的特定技能,请诚实回答,因为对于企业的网络安全专业人士来说,相比日新月异的网络安全技术来,学习能力和诚信是更可贵的品质。

3.谈谈您对网络安全行业发展趋势的看法?

这个问题看似务虚,但需要谨慎对待。如果您开始谈论病毒签名而不是零信任架构,那么您不太可能获得职位。

4.您对云(端部署的)安全与内部(部署的)安全的立场是什么?

小心这样的问题。如果您冒失地声称内部部署工具和管理已经过时,那么您很可能要失去眼前的机会。面试前需要像一个真正的黑客一样“侦察”雇主,知道你在和谁说话,他们喜欢什么样的安全方法,并相应地提出解决方案。如果有必要,用一点外交手段。

5.在以前的职位上,您最喜欢什么样的网络安全挑战?

这样的问题是为了引出话题,证明你在现实世界中解决问题的能力。诚实地回答您面临的重大挑战以及您是如何应对的。面试官特别想了解软件、硬件和云端安全漏洞或挑战以及如何解决。

6.您计划如何提高您的网络安全技能,例如新的认证或培训,以帮助您实现职业目标?

通过这个问题,面试官希望了解你的职业愿景,发现你学习新技能的动力以及你打算做什么来成为更有价值的网络安全资产。

7.如果我们公司有一个网络安全高级管理职位空缺,您将如何准备好成为一名优秀的候选人?

这是另一个探讨野心的问题。招聘者需要了解眼前这个受过技术培训的人才资源是否可能成为未来首席信息安全官(CISO)或类似职位的候选人。进入最高管理层通常需要获得MBA学位。有时,面试官想知道候选人是否有足够的动力完成兼职MBA课程,为未来的晋升做好准备。

8.您如何看待向高层管理人员提供网络安全简报,您将如何处理?

这样的问题旨在确定候选人是否愿意将技术语言翻译成商业语言。许多IT领域的人都在这方面苦苦挣扎。那些能够成功的人才是管理职位的优先人选。

9.您的职业道路是朝着网络安全专业化和专业方向发展,还是更多地朝着管理更大的网络安全团队的方向发展?

尽管企业普遍面临网络安全技能严重短缺,但许多公司迫切希望找到那些了解安全复杂性并能够领导一支技术熟练的团队的人。

10.您能否例举一个您参与的安全方案或项目,该项目给企业带来了哪些商业价值?

大多数IT人员会从代码和系统的角度进行思考,很少有人能更广泛地了解所有这些如何与企业战略业务目标的实现相适应。如果您寻求管理职位或将您带到那里的职业道路,请准备从技术和业务角度回答此类问题。

技术类职位十大面试问题

安全技术领域的面试问题多如牛毛,以下的面试问题尽量将范围缩小到招聘人员和高管最容易想到和最迫切话题(甚至未必是技术问题)。在当今的IT环境中,勒索软件和网络攻击通常是首要考虑因素。ESG的调查显示,48%的受访企业至少遭受过一次成功的勒索软件攻击,其中大多数人已经支付了赎金。这就是为什么46%的受访企业将勒索软件防御、保护和补救列为他们最重要的业务优先事项之一。

以下问题重点关注勒索软件、数据泄露和应对此类攻击相关的技术问题。

1.如果您的企业遭遇勒索软件攻击所有系统被锁定,您会怎么做?

这个问题需要重点准备。制定评估数据泄露程度的步骤,重点是在攻击初始阶段进行遏制的策略。

2.遭遇网络攻击后,您将如何恢复应用程序、系统和公司数据?

面试官正在调查您是否了解通过备份恢复系统。要点包括如何找到备份磁带或其他备份数据源、如何确保将它们恢复到没有感染的系统上、验证备份的完整性以及备份本身没有勒索软件等等。

3.如果检测到分布式拒绝服务(DDoS)攻击的早期阶段,您将采取哪些步骤?

了解泛洪攻击和崩溃攻击的区别,并解释清楚。遏制是这里的关键。您如何避免服务器在流量冲击下宕机?如果企业的服务器和网站被DDoS攻击下线,您将实施哪些技术和流程来避免这种情况在未来发生?

4.CEO无意中点击了钓鱼邮件并感染了某些系统。你会如何解决这个问题?

制定预案流程,例如隔离CEO的设备并对其进行清理(同时让他或她借用)、检查泄露程度、防止网络钓鱼流量再次进入企业内网、扫描和删除恶意软件,等等。

5.在数据泄露之后,您将采取哪些措施来防止其再次发生?

需重点讨论的内容包括:取证分析、攻击溯源、全面补救、审查安全工具和程序等。

6.哪些常规安全措施可以有效减少攻击或避免损失?

这个问题的回复不要信马由缰,天花乱坠。重点讨论自动补丁管理、备份、漏洞扫描、渗透测试和用户教育等问题。这些措施通常比部署昂贵的新安全解决方案便宜得多,很多企业都具备实施常规安全措施的资源,但往往被忽视。通过梳理常规安全措施相关流程和方法,可以更好地保护企业,而无需在新技术上花费大量资金。

7.您将采取哪些措施来提高我们对网络钓鱼的“免疫力”?

网络钓鱼是攻击企业的主要途径。你需要对其了如指掌,包括各种社会工程策略,例如普通网络钓鱼、鱼叉式网络钓鱼和钓鲸攻击等。手头积累一些关于网络钓鱼的统计数据,了解为何全面的安全意识培训能够显著降低网络钓鱼攻击率,但同时也许哟得到其他网络安全措施的支持,例如防火墙、安全邮件网关、防病毒软件等。避免陷入“唯技术论”,鼓吹人工智能等花哨技术和经验科学能够一劳永逸地解决“人的问题”。安全意识培训的投资收益依然远高于工具,你需要让企业知道你是一个有着正确价值观的技术人才。

8.什么是SQL注入(SQLi),如何防止它?

SQLi攻击执行恶意SQL查询,可用于绕过应用程序安全性或授权和身份验证登录和系统。攻击因数据库引擎的类型而异。常见的变体包括基于用户输入的SQLi、基于cookie的SQLi、基于HTTP标头的SQLi和二阶SQLi。SQLi的缓解和预防都需要通过漏洞扫描和渗透测试了解哪些应用程序可能易受攻击,此外还应使用SQLi检测和预防工具。

9.什么是DevSecOps,它如何帮助我们增强安全态势?

了解DevOps和DevSecOps之间的演进关系和区别,对敏捷开发、安全左移、安全自动化与安全运营等基础概念要有通透的理解。

10.安全事件和数据泄露之间有什么区别?

安全事件被定义为损害信息资产的完整性、机密性或可用性的安全事件。数据泄露是向未经授权的一方披露数据的事件。因此,安全事件总是比泄露事件多得多。如果发生泄露,组织可能需要报告数据暴露的程度。

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。