6月4日外電頭條:不要搞砸下一次IT安全面試
原創(chuàng)【51CTO.com快譯】安全認證不會給你一份工作,你需要向面試官證明你真的知道怎樣保護企業(yè)的安全。
世界經濟處在嚴重衰退中,據(jù)51CTO之前報道,不少IT企業(yè)已經或正在進行大規(guī)模裁員,你可能很難相信會有好的IT安全工作還在等著你,但實際情況是,確實有不少好的IT安全崗位在那里等著,或者更精確地說,很難找到合格的安全人員。
我最近接受了一個任務,幫助一名客戶聘請一位網絡安全分析師,能夠管理大量的IIS和Apache Web Server。在篩選掉數(shù)百名缺乏經驗的候選人后,我選擇了六位候選人,他們具有合格的工作經驗、教育背景和證書(這正是我所關心的先后順序),邀請他們來參加面試。
然而在對這所有六個親自挑選的候選人的面試中,我卻驚訝地發(fā)現(xiàn)他們在很大程度上不了解網絡安全。他們不能告訴我XSS(跨站點腳本)攻擊與跨域攻擊的區(qū)別。大多數(shù)人不知道如何對Web服務器操作系統(tǒng)的基礎進行強化,大多數(shù)人無法描述SQL注入攻擊。只有一個人知道如何通過安全帳戶和應用池來隔離不同的網站。說點積極的吧,至少有兩個人知道橫幅廣告會被惡意軟件利用。
【51CTO.com編者注:有興趣的讀者可以參看以下文章:《什么是跨站腳本(XSS)攻擊》、《圖文詳解網站SQL注入攻擊解決全過程》】
當我告訴候選人們他們將負責讓ASP/ASP.Net和PHP的攻擊和漏洞保持更新,竟然所有人都對PHP會有漏洞表示了驚訝。在第三個人這樣表示后,我還只是驚訝而已。但聽到最后一位候選人也這樣說,我就只有沮喪了。他們生活在哪里?難道他們對Facebook和Twitter不關心嗎?
最終我選擇了那位真正想更多的了解一下PHP漏洞的人。我承認自己倍受打擊,這與我?guī)啄昵白龅哪切┟嬖囃耆煌恕r代發(fā)生了變化,但候選人的質量不應該變化。
一個相同的例子
有一天在我回想起這件事的時候,一位在一家財富百強企業(yè)擔任CSO的朋友給我打電話來發(fā)泄他的不滿,我們正巧碰上了完全相同的問題。這位CSO是任何一位老板都想要的。他是一位卓爾不群的聰明人,喜歡計算機安全,懂得保護他的團隊,也能讓手下嘗試所有時尚的東西。他的安全團隊中需要一個人,這是份理想的工作,也有不菲的薪水。
我的朋友給一個值得信賴的計算機安全獵頭打電話,告訴他們理想人選的資格,并期待著在面試時能夠找到一位百里挑一的精英。他的結果呢?和我完全一樣。他幾乎對所有的候選人完全失望,他認為百分之九十的人都不合格,而且疑惑這些獲得安全認證的人為什么不能回答基本的問題。
例如:“告訴我你對Conficker的了解。”大多數(shù)的回答是他們對“Conflicker”(注意多了一個“l(fā)”)并不知道太多,但它感染了大量計算機而且威脅有些言過其實。另一個問題:“告訴我你會做哪五件事情來強化Windows。”他原以為他會不得不打斷大部分候選人因為他們可能會說的太多太細。(可以理解,比如只在密碼策略方面我就可以列出五件事)。而結果卻相反,竟然沒有一個人能提滿五條,最多只能說出兩三件。有一位候選人要求再說一遍問題,當然,他最后沒有得到這份工作。
聘請的是知識,而不是證書
這些事讓我更堅定的認為,安全認證并不能保證一個候選人的整體素質。按理說目前最受歡迎的頭號證書(也是最被高估的,你知道我說的哪一個)的持有人應該具有全方位的安全知識。但我懷疑他們是怎么通過考試的?
我要說的是,從我的經驗來看,SANS認證往往會給你帶來知識豐富的候選人。他們是少數(shù)做法正確的組織之一,擁有SANS證書的人應該首先考慮。
如果你申請安全工作,請先做足了解,然后再現(xiàn)身。要了解這家企業(yè)運行的操作系統(tǒng)和應用程序(當然未經允許的話還是不要記錄他們的電腦),以及首選的安全工具。準備一下任何與安全有關的問題,提前進行練習。研究相關平臺的安全問題和惡意軟件。最后,如果被問到一個你不知道答案的問題時,不要驚慌失措,可以從幾個大方面談一下安全問題,但也不要說的太含糊,讓面試官知道你是在回避。
另外,不要說前雇主的壞話。同樣也不要批評任何產品或平臺,侮辱面試官最喜歡的技術不會為你賺到額外積分。
另一項要注意的:不要吹噓你的黑帽子,還有你做過的非法攻擊,除非你發(fā)現(xiàn)雇主想要找的是一名黑客(絕大部分情況下不會)。
最終我們兩個聘請的都是一群候選人中相對最廣博的那位。你可以分辨出他們,他們閱讀廣泛,喜愛網絡和安全的書籍(有興趣的讀者可登錄51CTO讀書頻道閱讀安全圖書)。更主要的原因是,成功的候選人對崗位表現(xiàn)出了熱心。這是他們得以通過的最大原因。他們不僅是找工作,他們是在尋找一種職業(yè),心中有具體的目標和想法。
我最后的忠告是:如果你經過多次面試還是難以贏得一份工作,也許應該就面試技巧去請教一下專業(yè)人士,或者做些模擬的面試,當然要找一個誠實的朋友,他必須要跟你說實話。
【編輯推薦】
【51CTO.com譯稿,非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com,且不得修改原文內容。】
原文:Don't blow your next IT security job interview 作者:Roger Grimes
