2022年網(wǎng)絡(luò)安全面試的20個常見問題

雖然全球經(jīng)濟尚未走出疫情陰霾，但是網(wǎng)絡(luò)安全人才市場依然是供不應(yīng)求的“賣方市場”。根據(jù)ESG集團的一項全球調(diào)研，近三分之二的企業(yè)今年打算增加IT支出，同時高達69%的受訪企業(yè)表示今年增加了網(wǎng)絡(luò)安全支出。只有2%的企業(yè)希望減少在網(wǎng)絡(luò)安全上的支出。

ESG在報告中指出：“網(wǎng)絡(luò)安全仍然是2022年企業(yè)的首要IT計劃”。

盡管身處“賣方市場”，但是網(wǎng)絡(luò)安全人才如果尋求更好的崗位或者雇主，那么面試依然是至關(guān)重要的環(huán)節(jié)。

但是網(wǎng)絡(luò)安全的面試與很多熱門IT專業(yè)不同，網(wǎng)絡(luò)安全屬于“高揮發(fā)離散型”專業(yè)領(lǐng)域，涵蓋的技術(shù)堆棧和知識譜系非常龐雜，同時技術(shù)熱點和框架理念的遷移和演進又特別頻繁，對于招聘者和應(yīng)聘者來說，通過有限的問題來了解對方的能力和潛力，本身也是充滿挑戰(zhàn)的任務(wù)。

以下，我們整理了2022年全球企業(yè)招聘中常見的20個網(wǎng)絡(luò)安全面試問題（偏管理和偏技術(shù)各10個），希望能拋磚引玉，幫助網(wǎng)絡(luò)安全求職人士舉一反三，有針對性地修復(fù)面試環(huán)節(jié)的“漏洞”：

有些公司只是想看看你的證書和經(jīng)驗，然后會問你一系列技術(shù)問題，看看你對技術(shù)的理解程度。然而，許多面試官想更深入地挖掘你的動機、目的和個性。他們想確定您是否精通業(yè)務(wù)并有管理抱負，或者更愿意保持純粹的網(wǎng)絡(luò)安全技術(shù)人員或?qū)＜疑矸荨?/p>

以下是在高級網(wǎng)絡(luò)安全管理職位的面試中經(jīng)常會出現(xiàn)的一些問題：

這個問題的回復(fù)質(zhì)量取決于你事先是否做足了功課。通常來說，面試前你需要在網(wǎng)上搜索，查看該公司是否登上過網(wǎng)絡(luò)安全事件的頭條新聞，他們最近被黑客入侵了嗎？還是被勒索贖金？他們是否發(fā)生過任何數(shù)據(jù)泄露并被迫報告？此外，還要檢索該公司是否出現(xiàn)在任何IT或安全供應(yīng)商的新聞稿中。這將有助于你了解該公司內(nèi)部和云中使用的工具類型。此外，招聘網(wǎng)站無疑會提供大量線索。IT和安全職位的廣告（無論是否已經(jīng)結(jié)束），通常也會列出他們正在使用或計劃部署的平臺、工具和技能組合。

這是一個表現(xiàn)自己的機會——但切忌不要用力過猛。對自己的能力描述要誠實。重點突出你擅長的領(lǐng)域或能力。如果面試官詢問您沒有的特定技能，請誠實回答，因為對于企業(yè)的網(wǎng)絡(luò)安全專業(yè)人士來說，相比日新月異的網(wǎng)絡(luò)安全技術(shù)來，學(xué)習(xí)能力和誠信是更可貴的品質(zhì)。

這個問題看似務(wù)虛，但需要謹慎對待。如果您開始談?wù)摬《竞灻皇橇阈湃渭軜?gòu)，那么您不太可能獲得職位。

小心這樣的問題。如果您冒失地聲稱內(nèi)部部署工具和管理已經(jīng)過時，那么您很可能要失去眼前的機會。面試前需要像一個真正的黑客一樣“偵察”雇主，知道你在和誰說話，他們喜歡什么樣的安全方法，并相應(yīng)地提出解決方案。如果有必要，用一點外交手段。

這樣的問題是為了引出話題，證明你在現(xiàn)實世界中解決問題的能力。誠實地回答您面臨的重大挑戰(zhàn)以及您是如何應(yīng)對的。面試官特別想了解軟件、硬件和云端安全漏洞或挑戰(zhàn)以及如何解決。

通過這個問題，面試官希望了解你的職業(yè)愿景，發(fā)現(xiàn)你學(xué)習(xí)新技能的動力以及你打算做什么來成為更有價值的網(wǎng)絡(luò)安全資產(chǎn)。

這是另一個探討野心的問題。招聘者需要了解眼前這個受過技術(shù)培訓(xùn)的人才資源是否可能成為未來首席信息安全官(CISO)或類似職位的候選人。進入最高管理層通常需要獲得MBA學(xué)位。有時，面試官想知道候選人是否有足夠的動力完成兼職MBA課程，為未來的晉升做好準(zhǔn)備。

這樣的問題旨在確定候選人是否愿意將技術(shù)語言翻譯成商業(yè)語言。許多IT領(lǐng)域的人都在這方面苦苦掙扎。那些能夠成功的人才是管理職位的優(yōu)先人選。

盡管企業(yè)普遍面臨網(wǎng)絡(luò)安全技能嚴(yán)重短缺，但許多公司迫切希望找到那些了解安全復(fù)雜性并能夠領(lǐng)導(dǎo)一支技術(shù)熟練的團隊的人。

大多數(shù)IT人員會從代碼和系統(tǒng)的角度進行思考，很少有人能更廣泛地了解所有這些如何與企業(yè)戰(zhàn)略業(yè)務(wù)目標(biāo)的實現(xiàn)相適應(yīng)。如果您尋求管理職位或?qū)⒛鷰У侥抢锏穆殬I(yè)道路，請準(zhǔn)備從技術(shù)和業(yè)務(wù)角度回答此類問題。

安全技術(shù)領(lǐng)域的面試問題多如牛毛，以下的面試問題盡量將范圍縮小到招聘人員和高管最容易想到和最迫切話題（甚至未必是技術(shù)問題）。在當(dāng)今的IT環(huán)境中，勒索軟件和網(wǎng)絡(luò)攻擊通常是首要考慮因素。ESG的調(diào)查顯示，48%的受訪企業(yè)至少遭受過一次成功的勒索軟件攻擊，其中大多數(shù)人已經(jīng)支付了贖金。這就是為什么46%的受訪企業(yè)將勒索軟件防御、保護和補救列為他們最重要的業(yè)務(wù)優(yōu)先事項之一。

以下問題重點關(guān)注勒索軟件、數(shù)據(jù)泄露和應(yīng)對此類攻擊相關(guān)的技術(shù)問題。

這個問題需要重點準(zhǔn)備。制定評估數(shù)據(jù)泄露程度的步驟，重點是在攻擊初始階段進行遏制的策略。

面試官正在調(diào)查您是否了解通過備份恢復(fù)系統(tǒng)。要點包括如何找到備份磁帶或其他備份數(shù)據(jù)源、如何確保將它們恢復(fù)到?jīng)]有感染的系統(tǒng)上、驗證備份的完整性以及備份本身沒有勒索軟件等等。

了解泛洪攻擊和崩潰攻擊的區(qū)別，并解釋清楚。遏制是這里的關(guān)鍵。您如何避免服務(wù)器在流量沖擊下宕機？如果企業(yè)的服務(wù)器和網(wǎng)站被DDoS攻擊下線，您將實施哪些技術(shù)和流程來避免這種情況在未來發(fā)生？

制定預(yù)案流程，例如隔離CEO的設(shè)備并對其進行清理（同時讓他或她借用）、檢查泄露程度、防止網(wǎng)絡(luò)釣魚流量再次進入企業(yè)內(nèi)網(wǎng)、掃描和刪除惡意軟件，等等。

需重點討論的內(nèi)容包括：取證分析、攻擊溯源、全面補救、審查安全工具和程序等。

這個問題的回復(fù)不要信馬由韁，天花亂墜。重點討論自動補丁管理、備份、漏洞掃描、滲透測試和用戶教育等問題。這些措施通常比部署昂貴的新安全解決方案便宜得多，很多企業(yè)都具備實施常規(guī)安全措施的資源，但往往被忽視。通過梳理常規(guī)安全措施相關(guān)流程和方法，可以更好地保護企業(yè)，而無需在新技術(shù)上花費大量資金。

網(wǎng)絡(luò)釣魚是攻擊企業(yè)的主要途徑。你需要對其了如指掌，包括各種社會工程策略，例如普通網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚和釣鯨攻擊等。手頭積累一些關(guān)于網(wǎng)絡(luò)釣魚的統(tǒng)計數(shù)據(jù)，了解為何全面的安全意識培訓(xùn)能夠顯著降低網(wǎng)絡(luò)釣魚攻擊率，但同時也許喲得到其他網(wǎng)絡(luò)安全措施的支持，例如防火墻、安全郵件網(wǎng)關(guān)、防病毒軟件等。避免陷入“唯技術(shù)論”，鼓吹人工智能等花哨技術(shù)和經(jīng)驗科學(xué)能夠一勞永逸地解決“人的問題”。安全意識培訓(xùn)的投資收益依然遠高于工具，你需要讓企業(yè)知道你是一個有著正確價值觀的技術(shù)人才。

SQLi攻擊執(zhí)行惡意SQL查詢，可用于繞過應(yīng)用程序安全性或授權(quán)和身份驗證登錄和系統(tǒng)。攻擊因數(shù)據(jù)庫引擎的類型而異。常見的變體包括基于用戶輸入的SQLi、基于cookie的SQLi、基于HTTP標(biāo)頭的SQLi和二階SQLi。SQLi的緩解和預(yù)防都需要通過漏洞掃描和滲透測試了解哪些應(yīng)用程序可能易受攻擊，此外還應(yīng)使用SQLi檢測和預(yù)防工具。

了解DevOps和DevSecOps之間的演進關(guān)系和區(qū)別，對敏捷開發(fā)、安全左移、安全自動化與安全運營等基礎(chǔ)概念要有通透的理解。

安全事件被定義為損害信息資產(chǎn)的完整性、機密性或可用性的安全事件。數(shù)據(jù)泄露是向未經(jīng)授權(quán)的一方披露數(shù)據(jù)的事件。因此，安全事件總是比泄露事件多得多。如果發(fā)生泄露，組織可能需要報告數(shù)據(jù)暴露的程度。