8 preguntas obligatorias de la entrevista del analista de seguridad

08:48 13/09/2021 | 1 Lượt xem

Está entrevistando a candidatos para un puesto de analista de seguridad. Uno es un estudiante de historia sin experiencia técnica formal. El otro tiene un título avanzado en informática, con enfoque en ciberseguridad, y 10 años de experiencia en centros de operaciones de seguridad y entornos de pentesting.

¿Qué candidato contratas?

Si es Keatron Evans, investigador principal de seguridad del proveedor de educación en seguridad InfoSec, el experto en historia obtiene el trabajo. Al hacer las preguntas correctas, Evans pudo ver a través del currículum y las credenciales del candidato los rasgos de analista de seguridad más valiosos: resolución de problemas y habilidades para resolver problemas, curiosidad, deseo de aprender y una pasión innata por la ciberseguridad.

La demanda para este puesto es mayor que nunca, una tendencia que probablemente continuará, y la Oficina de Estadísticas Laborales de EE. UU. Proyecta que el empleo de analistas de seguridad crecerá en un 31% entre 2019 y 2029. Las siguientes preguntas de la entrevista lo ayudarán a mantenerse a la vanguardia, asegurando una contratación exitosa de analistas de seguridad.

¿Qué es TCP?

La forma en que alguien habla sobre temas como el protocolo de enlace de tres vías o el estándar de comunicación TCP puede revelar mucho sobre su comprensión de los fundamentos de seguridad.

En el caso de Evans, la candidata sin experiencia discutió TCP como si lo hubiera estudiado no solo en un libro sino también en un entorno informático. “Aunque tenía la menor experiencia de todos los candidatos, respondió como si fuera la autora de los protocolos en cuestión, como TCP, ella misma”, dice.

Otros principios básicos incluyen distinguir entre criptografía simétrica y asimétrica y describir dónde se usaría mejor cada una, las anomalías que indican un sistema comprometido o cómo manejar un ataque de intermediario, dice Travis Lindemoen, director gerente de práctica de seguridad. cibernética en el Nexus IT Group. “Estás escuchando los procesos en los que han sido entrenados para remediar este tipo de ataque”, dice.

La familiaridad con la estructura también es un detalle revelador, dice Chuck Brooks, presidente de Brooks Consulting International y profesor adjunto en la Universidad de Georgetown, ya sea NIST, SANS o MITRE. “Hay muchos elementos en estos marcos que proporcionan una hoja de ruta a seguir para las defensas básicas y la gestión de riesgos”, dice.

¿Cómo manejaría esta violación de datos?

Sin embargo, lo que realmente impresionó a Evans fue cómo el candidato sin experiencia que entrevistó (y terminó contratando) resolvió un problema técnico que requería responder 10 preguntas sobre cómo manejar una violación de datos. El ejercicio involucró dos computadoras: una conectada al entorno del laboratorio basado en la nube para realizar la tarea y una segunda conectada a Internet para buscar la información necesaria, como detalles actualizados sobre una exploración reciente.

“Ella usó la computadora de investigación con maestría, mientras que las personas más experimentadas ni siquiera se molestaron en tocarla”, dijo Evans. “Por esa razón, la mayoría de ellos pasaron por alto las dos últimas preguntas que debían ser respondidas en la revisión del paquete y los volcados”.

Evans también requirió intencionalmente que los candidatos le dieran a la máquina virtual una dirección IP estática para operar en la red, que solo sabrían al leer las instrucciones. “A un candidato le tomó 15 minutos dejar de quejarse de que no había nada accesible y darse cuenta de que tenían que seguir las instrucciones”, dice. “Una gran parte del trabajo del SOC es prestar atención a los detalles, así como leer notas y procesar la información recopilada por otros analistas”.

¿Cómo clasificaría estas alertas?

Alternativamente, se puede explorar un escenario de infracción de forma conversacional. Este enfoque más interactivo puede resaltar cómo piensa, se comunica y colabora el candidato. Los entrevistadores también pueden adaptar las preguntas a medida que avanzan (completando la información, profundizando en ella, etc.) para que coincidan con el nivel de experiencia del candidato.

Pero primero, es importante establecer una atmósfera cómoda, ya que una persona nerviosa puede ser difícil de interpretar, dice Dom Glavach, director de seguridad y estratega jefe de CyberSN, una empresa de carrera y recursos humanos centrada en la ciberseguridad.

Es por eso que Glavach comienza preguntando sobre una infracción bien publicitada como el ataque SolarWinds en términos de indicadores de compromiso (IOC), lecciones aprendidas o la metodología de ataque utilizada. “Incluso si no están familiarizados con él, pueden tardar unos segundos en realizar una búsqueda en IOC y SolarWinds”, dice. Esto refleja la realidad en el trabajo de que los analistas de seguridad no deben ser juzgados por su conocimiento inmediato, sino por su capacidad para evaluar rápidamente los riesgos y hablar sobre soluciones.

A partir de ahí, Glavach pasa a la conversación del escenario, como: Lunes de hoy. Viene de un gran fin de semana y vio dos extrañas alertas de inicio de sesión la noche anterior, desde Nueva York y San Francisco, con cinco minutos de diferencia, una de las cuales fue exitosa. También ve un Cobalt Strike y balizas en la oficina sur. ¿Qué necesitas hacer para la pantalla?

O restante da conversa simula o que ocorreria no centro de operações de segurança (SOC) entre os colegas, diz Glavach, em termos de colaboração em ideias, compartilhamento de conhecimento, avaliação de quão calamitosa está a situação e o que deve ser feito para remediá -allí. “He escuchado respuestas que revelan que el candidato no tiene tanta experiencia como su currículum me haría creer”, dice. “Los currículums cuentan la historia, pero la persona cuenta la novela”.

¿Cuál es su primer movimiento después de recibir nueva información sobre amenazas?

Otro enfoque basado en escenarios se centra en el primer movimiento que haría el candidato o la primera pregunta que haría cuando, por ejemplo, recibiera nueva información sobre amenazas o una advertencia sobre una vulnerabilidad recién descubierta en un sistema o dispositivo.

Para Peter Gregory, director senior de ciberseguridad de GCI Communication Corp. en Anchorage, Alaska, y un ex consultor de ciberseguridad, la respuesta debe centrarse en si la amenaza es relevante para la organización, “lo que apunta inmediatamente a la necesidad de una gestión de activos eficaz para que los analistas de seguridad puedan obtener rápidamente la respuesta”, dice. . Incluso si el candidato no está familiarizado con la gestión de activos, que, según las experiencias previas de consultoría de Gregory, dice que muchas empresas hacen un mal trabajo, deben indicar que comprenden lo valiosa que es la gestión de activos para la resolución de problemas.

La pregunta “inicial” de Evans gira en torno a qué hacer cuando una violación de datos compromete una máquina específica. Un candidato con menos experiencia podría sugerir apagar la máquina y tomar una imagen del disco duro. Alguien con más experiencia se concentraría en realizar diagnósticos de memoria adecuados, porque la mayoría de los atacantes avanzados no escriben en el disco duro, así como en analizar paquetes de red para determinar las fuentes de la infracción. “Apagar la máquina es una técnica forense básica, pero no se centra en la respuesta a incidentes”, dice Evans.

Otras buenas respuestas se centrarían en la importancia de alinearse con las políticas de respuesta a incidentes vigentes o tener un diagrama de red preciso que represente dónde se encuentran los sistemas y dispositivos clave. “Una gran parte de la respuesta a incidentes consiste en contener el incidente, y no se puede contener si no se conocen los límites del entorno”, dice Evans.

¿La ciberseguridad es su trabajo o su estilo de vida?

Para aquellos que se destacan en ciberseguridad, su interés en el tema no es una cosa de 9 a 5; es una pasión que impregna tu vida diaria. Para saber si ese es el caso, a Lindemoen le gusta preguntar sobre la configuración de la red doméstica de los candidatos. “Miro para ver si están usando WPA2 en lugar de WPA y WEP y si configuran una red separada para cuando los invitados usan su red inalámbrica doméstica”, dice. “Es algo simple, pero proporciona una idea de cómo piensan sobre la seguridad en sus vidas personales”.

Lindemoen también pregunta a qué conferencias de ciberseguridad les gustaría asistir, si pudieran, y por qué. En lugar de nombrar una conferencia conocida, “podrían mencionar una que se encuentra en un nicho en el que están enfocados o que realmente les apasiona”.

La participación en la captura de la bandera (CTF) y otros eventos y actividades cibercalistinas es otro buen barómetro, dice Glavach. Debido a que estos programas son gratuitos, pueden revelar la pasión mejor que las costosas certificaciones. “Si hay un candidato sin certificaciones, pero ha participado en CTF similares a DEFCON CTF o SANS Holiday Hack, demuestra que están muy comprometidos”, dice. “Esto muestra un alto nivel de curiosidad y compromiso con su oficio”.

Glavach también hace preguntas sobre el lado ofensivo de la ciberseguridad y cómo funciona un ataque, incluida la necesidad de colaboración entre los atacantes. “Me gusta preguntar cuál es su ataque favorito como defensa, o el ataque más fascinante sobre el que han leído”, dice. “Todos tienen algo por lo que sienten mucha curiosidad”.

¿Puedes completar una oración sin usar una palabra de moda?

Los analistas de seguridad exitosos también son personas que Gregory llama “bilingües”, capaces de hablar tanto desde una perspectiva tecnológica como empresarial. “Necesitan poder hablar con un ejecutivo de negocios sin usar un solo acrónimo o palabra de moda de TI o seguridad y expresarse fácilmente en términos comerciales”, dice.

Para explicar la importancia de la gestión de activos a un director financiero, por ejemplo, un analista de seguridad bilingüe podría decir: “Si supiéramos lo que tenemos, podríamos dedicar menos tiempo a averiguarlo cuando aparece una nueva amenaza y más tiempo a proteger este negocio”. Gregory dice.

Glavach evalúa las habilidades de comunicación pidiendo a los candidatos que describan primero un ataque bien publicitado como si estuvieran hablando con un colega durante una reunión diaria del SOC, para comprender qué se necesita para defenderse de él. Luego le pregunta al candidato cómo convertiría esa misma información en una campaña de concientización para personas no técnicas en el campo. La conversación pasa rápidamente a hacer esto sin usar palabras como “relleno de credenciales” o “reconocimiento”.

Otra táctica es preguntar qué hacer si un alto ejecutivo solicita que su dispositivo doméstico se configure en la red corporativa, incluso si va en contra de la política de la empresa, dice Lindemoen. “Estoy buscando una respuesta diplomática que intente llegar a la raíz de lo que el ejecutivo necesita y busque un ganar-ganar que no viole la política ni exponga a la empresa a riesgos externos”, dice.

¿Qué me puede decir sobre la IA en seguridad?

Frente a un panorama de amenazas dinámico y tecnologías emergentes continuamente, tanto defensivas como ofensivas, los analistas de seguridad deben ser curiosos por naturaleza y estar siempre dispuestos a aprender más.

“La gente tiene la impresión de que necesita un programador experto o alguien inmerso en TI”, dice Brooks. “Pero ese no es necesariamente el enfoque de la ciberseguridad, que es realmente multifacético. Implica conseguir personas que puedan aprender, porque las amenazas siguen cambiando y cambiando. ”

Brooks recomienda preguntar a los candidatos qué saben sobre inteligencia artificial y cómo se usa en la web oscura y para automatizar la detección de amenazas. “Buscaría al menos una comprensión elemental de lo que significa para una postura cibernética, para fortalecer las defensas y comprender cuáles son las amenazas”, dice. “En la era actual, la IA juega un papel muy importante y es necesario comprenderla porque la usará sola”.

¿Cómo habrías manejado el ataque Colonial Pipeline?

La ciberseguridad es tanto un arte como una ciencia, por lo que los mejores empleados son pensadores creativos que no están atrapados en el status quo. Una excelente manera de medir su nivel de innovación es preguntar qué habría hecho el candidato de manera diferente al enfrentarse a la misma situación que un ataque bien publicitado, incluso con el beneficio de 20:20 en retrospectiva. “Me da una idea de lo perturbadoras que son sus ideas, en el buen sentido”, dice Glavach.

Copyright © 2021 IDG Communications, Inc.

Related Posts

Agregar fondos a archivos PDF

Este artículo explicará cómo agregar un fondo a un PDF con Foxit PDF Editor. Para agregar un nuevo fondo, haga lo siguiente: 1. Abra un documento al que desee agregar un fondo y elija...

lên đầu trang