各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 244期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
话题抢先看
1、面试渗透测试岗位,作为面试官,你觉得有什么面试题目可以比较好地考察面试者的能力?
2、面试安全管理岗位,作为面试官,你觉得提问什么问题可以比较好地考察面试者的水平?
3、作为面试者,你遇到过哪些比较“奇葩的”面试题目?
4、作为面试者,在面试官提问“你有什么想问的”的时候,应该怎么问?
5、大家作为面试者或面试官的过程中,有哪些好的面试方法?
话题:面试渗透测试岗位,作为面试官,你觉得有什么面试题目可以比较好地考察面试者的能力?
A1:
录了多少洞、自研了多少工具、擅长什么类型语言,跟挖洞逻辑。
A2:
1、怎么找入口
2、怎么拖数据
3、怎么清日志
4、怎么长期隐藏
A3:
老三套,问出身、问证书、问经验。然后开放题或者从某个经验着手往下挖,最后让自述一下印象最深刻的一次。基本就差不多了。
A4:
外部的,就是各种白帽子活动等
内部的,就是扫描工具管理和漏洞修复流程等
A5:
水平较低:常用工具和常用工具的命令或者工具魔改
水平适中:渗透流程简述,最擅长的阶段展开讲述案例和技术特点
水平较高:绕过、免杀、逃逸、技术细节
水平顶尖:AI 在安全的应用并且算法细节原理
A6:
1、介绍比较得意的渗透项目
2、从Top10里找几个问原理和修复方法
3、常用的工具,还有工具的bug
4、遇到复杂漏洞的时候怎么做,举个例子
5、如何跟踪最新的漏洞和技术
A7:
常规TOP10肯定问一圈了,然后问了一两个案例吧,如果案例都说的挺好,就会问个自己感兴趣的,我喜欢提问Random函数真的随机吗,真假随机数的问题。
A8:
讲讲你的渗透测试思路,你认为当前网络安全领域的最大威胁是什么?你如何保持对最新安全漏洞和攻击技术的了解?请分享你过去的一个渗透测试项目经验,包括遇到的挑战和解决方案。如何处理客户在渗透测试后对报告的反馈?
A9:
1、提供一个网站,请给出渗透的思路
2、假设发现了这些漏洞,请问原理是怎么样子的,如何进一步扩大成果
3、针对这些漏洞,请问对应的修复方案是怎么样子的
4、列出常用的渗透测试工具,比如?
5、根据之前的渗透观察,请给出这个网站大概的架构是怎么样子的,网络怎么走,使用了哪些第三方的依赖?
A10:
1、搭建靶机环境直接实践
2、常见的免杀思路及免杀方法
3、内网渗透常用的工具使用方法,以及常见的提权漏洞编号及原理
4、常见的高交互蜜罐如何识别
5、内网渗透,横向移动的若干方法,AD域的黄金作用和白银票据作用,如何获取并利用
A11:
1、直接上实操环境考察
2、问一下对方全流程是什么,主要考察一些意识,比如是否获得授权等等。现在有些培训班会交一些面试的话术的,如果不是专业人员来面试,很可能糊弄过去了。
A12:
问测试思路、问漏洞原理(刨根问底的那种),看证书这类客观的证明,再拿一个自己单位渗透测试过程中遇到过的问题,问他遇到了会怎么处理,结合他岗位以后干什么级别的渗透了,问漏洞成因、攻击原理,这样就能排除培训班、混子了。问原理直接问到红温,知识储备+抗压表现都能考察到。
A13:
说实话,就是不要理论要实战,不要面什么 SQL注入有几种分类、延迟注入BULL注入有什么区别之类的。直接问有没有在其它SRC提过SQL注入,现在常用的工具,你会去什么地方找POC。渗透流程套路式回答大家都会,最好还是拿出几行漏洞代码实战解读下。
A14:
其实我觉得场景面试更加能够判断面试者的能力,开放性场景面试招的几个兄弟都不错。有没有实战能力,通过场景就可以看出来。当然具体还是看岗位的实际要求。比如安服跟自研所需的能力就不一样。开放性场景面试可以考察面试者的功力和知识深度。很多速成的兄弟对原理和知识点和横向移动这些还是比较弱的。
A15:
就甲方面试而言,主要提升企业安全风险管理
1、如何确保渗透测试时不会对业务和系统影响
2、如何做好漏洞生命周期管理
A16:
甲方里做渗透,一方面是挖洞能力,一方面还有推动漏洞修复的沟通协调能力。
A17:
如果面试的是甲方岗位:
问题1:说一下你印象最深刻的一次渗透经历;
问题2:你觉得甲方岗位具备的渗透能力;
问题3:针对无WEB界面的系统如何进行渗透;
问题4:说一下XXX组件漏洞的分析过程。
A18:
从甲方的角度,渗透的一个重要点就是需要和开发打交道,明确漏洞原理以及如何修复的。
那么一是漏洞的原理(从代码层面来讲);二是给一个符合本公司的业务场景,让对方分析下可能出现哪些逻辑漏洞,如何修复因业务处理逻辑问题产生的漏洞(这块可以考察对方的思维逻辑);三是漏洞修复的思路(这点可以考察对代码的功能和逻辑的实现的熟悉情况)。
渗透测试的思路还是需要问一下的,这个是门槛了。思路逻辑都说不清楚的,直接就pass了。
渗透测试不是攻防,其实不需要太多社会工程的,要是熟练用社会工程学的,那么就是加分项。
A19:
鄙人拙见:如果是甲方面试安全岗位人员,一般会从理论水平和实践经验、实操能力、心里素质等多方面考察面试者。理论水平可以提前参考专业证书、专业试题、前沿技术热点等考察或测试;实践经验主要看既往的项目执行情况/安全管理运营情况,以及从中总结出的经验和教训;实操能力可以通过威胁建模、渗透测试、代码审计、应急响应等方面的技术细节来提问;心理素质则可以通过心理分析类题目、面试中设置“向领导汇报安全问题“、“沟通协调强势部门整改”等场景化问题来考察面试者是否能从容应对。
Q:面试安全管理岗位,作为面试官,你觉得提问什么问题可以比较好地考察面试者的水平?
A20:
1、如果公司有一个project要上线,你会怎么开展风险评估并给出建议?
2、了解安全成熟度吗?
3、刚进入一家公司工作,是如何做安全规划的?
之前面试被问过的,也算经典问题。
A21:
1、如何展示业绩达成
2、如何申请资源和投入产出收益
3、如何向上管理
4、如何与业务老大激烈沟通
A22:
我遇到过的问题,如果会议上你老板说的话从你的视角来看有很大的安全认知上的错误,你会怎么做?
A23:
直接问怎样保住安全团队?安全建设思路、理念等等,看他整体框架怎么样。
A24:
描述你如何制定和实施一个全面的信息安全管理体系(ISMS),包括风险评估、政策制定、技术措施、人员培训和持续改进等方面。在这个过程中,你会面临哪些挑战,以及你将如何应对这些挑战?
A25:
常规的先让他介绍下熟悉哪些标准/法律,就职的公司有哪些认证,在公司取得270001/等时他从事哪些角色,做了哪些,另外就是安全部门如何驱动IT及业务落地安全。
A26:
关注一下被面试者对前面业务的理解以及这个业务最大的风险点。以前遇到的最困难的场景以及解决的方法。可以看出他的风险偏好以及沟通协调能力。
A27:
这个我会完全围绕上一家来问,问他上家公司的规模,他所在的团队,他进去的时候是多少人,离开的时候是多少人,为什么,中间发生了什么变化,他遇到了什么问题,解决了什么问题,听听他的思考,管理岗我是觉得没有套路,主要看脾气与队伍是否合适。
A28:
假设你来给公司从0开始做安全,你会怎么做, 讲述一下SDL建设流程,讲述一下SDL和DevSecOps的区别,等保和ISO27001的区别,说一下你知道的安全模型,有哪些优点和缺点,还有就是问,国内针对网络安全相关的法律有哪些?如果业务涉及国外就问国外体系,比如你对硅谷的安全公司和咨询公司有什么了解?
A29:
1、看看他对合规的理解,尤其是ZZ觉悟和立场
2、看看他的理解重点,是在网络层、数据层、应用层、开发层、架构层、业务层还是合规层
3、看看他的重点方向是偏哪个方面:技术?管理?控制?合规?隐私保护?个人信息保护?跨境保护?
4、看看他擅长的技术领域:开发?控制?执行?规划?设计?审计?
5、合规方面,看他的认知:只知道等保或27001加1分,等保+27001都了解 加2分,叠加个保加3分,叠加跨境加4分,叠加其他国家法律法规认知的,每了解一个加1分 6、他对安全运营的的理解,重点考察他的认知层级(网络层、数据层、应用层、开发层、架构层)
A30:
可以从宏观和微观两个角度考虑:
1、宏观看体系思维:作为甲方安全管理岗位,请面试者站在企业整体安全角度考虑,结合外部监管要求和公司业务发展情况,描述一下如何建立建立本企业的网络安全体系,包含实施简要的实施路径等。
2、微观看技术细节:结合当前企业安全痛点,请面试者给出解决方案,比如企业最近钓鱼邮件比较多,如何做好相关防范工作;进而对其中一些技术细节,比如SPF、DKIM、DMARC、RDNS等概念和如何实施进行提问等。
A31:
我面试人也不看技术,我看这个人:
1、有没有学习欲望,有没有学习能力和动力
2、懒不懒
3、蠢不蠢
4、闷不闷(口才沟通)
5、能否控制情绪
6、整体认知
如果有2、3、4,直接PASS。
A32:
我一般会问最近安全行业发生了什么事,这件事发生在你这里,如何应对,行业其他公司怎么做的。然后一部分人不知道,一部分人只知道表面,能知道其他公司咋做的,已经是佼佼者了。打一下盲区,基本技术是下面部门经理的事,我主要看认知,问加班强度的,都直接否了。闷葫芦也是致命弱点。
A33:
对着他写的简历问,讲的都是头头是道的,问一下细节不会的基本就可以刷了。如果细节都讲出来,能说明他做过就行了,面试不大可能招完全match需求的人,成功做过1~2件事的人上手新事情成功的概率也是相对高一些的。
Q:作为面试者,你遇到过哪些比较“奇葩的”面试题目?
A34:
如果你是黑客,怎么攻击我们公司。
A35:
当你入职以后,怎么融入团队?我当时差点笑出来。
A36:
某企业,群面要求15分钟,开放性题目10个人达成统一意见,不允许投票。
A37:
我们这边比较闲,可以接受嘛?
A38:
网线里面有几根双绞线,怎么排列的
A39:
能不能接受轮班或7*24接电话
A40:
其实心理测试还是很有必要的,防止有些人情绪比较极端,不好配合。测的就是你面对奇葩题目的时候是否冷静,我们还真有因为心理测验分数太低不予通过的。
A41:
你写这些项目经历对我没用啊,你水平不行很垃圾,这样我这里还有一个外地驻场的名额,请问你愿意去外地驻场么?
A42:
我有遇到过直接问我,你为什么觉得自己值这么多钱?
A43:
当时我说可以用AI对抗WAF防护。面试官逐个厂商问哪家被绕过,面试还有录屏录音。不说详细感觉在吹牛逼,说详细又有录音录屏。你们说咋办?
A44:
你的本地电脑,访问百度,中间涉及到的任何IT技术,全部阐述一次。这种一般是问经典的dns解析过程,但所有细节就太扯了。
A45:
面过某安全厂商,问我如果有个组件存在某个漏洞,但是没有POC,怎么确定POC是什么?
答: 可以对比更新代码或者知道大概细节的话用模糊测试。
面试官: 你这个不对
答: 那你们是怎么确定的?
面试官: 我们给服务器发送一个数据包,通过判断页面返回码判断有没有漏洞。
A46:
还做公务员考试的题目呢,类似这样的↓
A47:
十年前我去IBM面试的时候,遇到这种题目,还TM五张卷子,全英文!
A48:
面试没怎么问技术,就问所有的安全类工作你能不能干,能干就进入下个环节谈工资,领导直接说他不懂技术,老板家的亲戚,来搞钱的,我其实觉得这种领导是很好搭伙的,但是在谈工资的时候让我大吃一鲸,要求全能,但是工资给8K......我说HR跟我说的不是这个数,领导说他说了算,他还暗示了可以搞项目赚钱,但是我不太信,他很直白,说是老板的小舅子,创建这个部门就是为了赚钱的,他说相信我能帮他赚钱,还可以让我喝汤,但是我不敢信。
Q:作为面试者,在面试官提问“你有什么想问的”的时候,应该怎么问?
A49:
你希望我入职后,为公司做什么?
A50:
直接问公司的人员流动性高吗,中年员工占比多少?
A51:
有什么内部培训?考证可以报销吗?
A52:
把面试官提出来的某些问题反问一下。
A53:
刺探一下这个企业经营状况如何,避免试用期就裁员。
A54:
出重大安全事件, 给咱们公司主动顶包有补偿吗?
A55:
贵公司安全预算每年大概是多少,和业务的占比是什么样的,安全团队的人员构成是什么样的?
还有网络安全公司/集团组织架构中的位置是什么样的,网络安全团队负责任的直属上司是谁?
A56:
安全人员有几个,如何分工,目前安全建设处于什么阶段,是否翻过车,为什么突然找人搞安全?
A57:
我都问部门文化是偏向团体合作还是孤狼型的?有把握就问,如何看待员工的未來发展?
A58:
多久调薪,现在的同事都是工作几年?目前贵司对信息安全认为最应该改善是哪方面?原先的信息安全建设情况如何,最大的阻力是哪一方?没有半年,就问:是什么动力支撑你们还在公司呢?
A59:
描述一下你工作这几年来对这家公司的印象,你对你现在的工作满意吗?如果面试过程不顺利,可以问问,让对方陷入自我怀疑。
A60:
面试官,如果你现在我这个角度,面对这个问题,你会问哪些方面?
A61:
只要基于掌握的信息,提出与工作相关的合理问题即可,这个问题不要太过俗套,当然也不能太难,要在一个合理范围内,这个具体就需要候选人自己把控了。
A62:
我一般会想了解面试岗位的地位、环境等具体情况:比如安全团队在公司组织架构中的位置,有多少人、如何分工,向谁汇报;安全预算有多少,主要项目规模有多大;面试岗位的日常工作内容、技术要求;岗位的薪资、福利等。我觉得上述问题可以直接问,也希望面试官直接回答。
A63:
大领导, 就问安全理念、安全文化和后续公司层面的安全建设方向;直属领导,就问这个岗位空出来原因,团队组成和分工,岗位绩效考核标准;谈薪资的领导,就问公司人员流动情况,最近有无裁员情况等等和个人利益相关的。
A64:
面某互联网金融公司的时候,面试官说脉脉上说的关于我们公司加班文化都太夸张了,我就问了这周六你们上班吗,然后就没有然后了。
A65:
人家不想要你,问题再犀利也没用,想要你,基本都私下谈好,面试走个过场的。
Q:大家作为面试者或面试官的过程中,有哪些好的面试方法?
A66:
查下公司发展情况,准备倒闭的就别去面试了。查下CIO、CTO、CSO等IT管理者的背景。
A67:
放松心态,睡个好觉;面试时注意语速;多观察下面试官的情绪波动。
A68:
咖啡厅,朋友一般的聊聊天,然后探讨,由浅入深。
A69:
偏技术的岗位,可以考虑在具备靶场或模拟机的环境下,实操一些技术题目;偏管理的岗位,还是传统的面对面的沟通方式。
A70:
加候选人微信,从朋友圈获得一些信息。
A71:
尽量不开摄像头,面试状态就会好很多。
A72:
作为面试者,在面试前通过情报资源搜索公司的详细资料,通过岗位的详细介绍可以大概知道这个岗位今后的工作内容,最后将获得的资料整理成一个工作步骤和一个简易的报告,在面试的时候和面试官探讨这个报告。
A73:
曾经作为面试官,问面试者为什么想来我们公司,面试的人说,你们公司工资高,我问,你怎么知道的,面试者说,他通过公积金系统查到的。面试结束。
A74:
我觉得,就当聊天的感觉最好,毕竟各有所长,最恶心那种快问快答的。
A75:
赞同,比如面试官让你介绍一下做过项目以及碰到的问题和解决思路。你一顿说,说完之后,面试官直接说,好,面试结束,进入下个环节,这种大家怎么看。
A76:
我遇到过,面试官准备了一堆八股文,上去就跟我说,咱们快问快答......
A77:
我面试别人一般是分成两部分,盘海底和自由发挥。盘海底能够快速省力地判断出对方的大致水平以及有没有触雷点,自由发挥就是让被面试者自由说一些经验较深的场景来判断对方的深度。我基本面别人都是这两个环节。
也碰到过一些面试官喜欢搞一道题式问答,我很不喜欢这种——“你能回答出这个就算通过了”。都是预设了答案的问题。
我记得很久以前面渗透岗时候,对面问了个蜜罐的问题,说有些蜜罐能通过JS抓到你的原始IP,挂代理也没用,这是怎么做到的。我当时白眼都要翻上天了,这什么天顶星JS,怎么不说访问下网站直接我电脑弹计算器了?跳板机CS上线一条龙?风险管理我们一般是参考27001的那一套风险脆弱性评估的。这就是一种非常特化的场景,需要非常谨慎地构建前提条件,但是在面试里很容易就是一句直接过去,无视掉所有条件,这种半桶水式的面试是我非常不喜欢的。
我后面想估计是想问我什么蜜罐方面的新技术或者一些蜜罐的原理,但是这个问法就是一种非常半桶水的感觉。
以前面另一个甲方岗时候感觉他们的架构有问题,当时不懂事,就反问了下,为什么不用xxxxx这种更合理的逻辑,然后把对面问愣了,明显面子挂不住开始找理由。
现在这种话都会说得委婉一点了。
本周话题总结
本期话题探讨了在网络安全领域中,针对渗透测试岗位与安全管理岗位面试时的一些考察方法及问题。对于渗透测试岗位,面试官倾向于通过实践操作来检验应聘者的实战能力,例如让他们在一个模拟环境中进行渗透测试,或是提问具体的漏洞利用技术和修复方案。此外,也会考察应聘者对于漏洞原理的理解、常用工具的掌握程度以及在特定场景下的问题解决能力。
而在安全管理岗位的面试中,则更多关注应聘者的理论水平、实践经验、实操能力和心理素质等方面。面试官可能会问及如何构建全面的信息安全管理体系(ISMS),包括风险评估、政策制定等内容,并探讨应聘者在过去工作中遇到的具体挑战及其解决方案。此外,还会考察应聘者对于法律法规的认知、安全团队的建设和管理等综合能力。
两者的面试都强调了应聘者不仅要具备扎实的技术基础,还需要拥有良好的沟通协调能力,以便于在实际工作中与不同部门协作,推进安全项目的实施。
近期群内答疑解惑
Q:员工离职以后电脑数据要清理吗?
A1:
要,入库前重装系统,全盘格式化。
A2:
需要重装吗?直接格式化就完了。
A3:
可以不全盘,删账号也可以的,格式化非系统盘。
A4:
看他数据后续业务是否需要使用。使用-备份到服务器,再重装系统。
A5:
这个得看员工级别,以及在岗时间老实不老实了,要是重点观察的员工要保留一段时间。其实主要看你的领导有没有疑心病什么的。
A6:
这信息安全工作越干越具体,直接把IT部门网管都顶替了。
Q:安全产品要给IT开权限么?基础设施运维的,比方说上网行为、管理。
A1:
如果是不同部门,那就让他邮件给你领导,你领导同意就行。
A2:
防病毒和行为管理可以给,DLP的运维可以安装客户端,其他的用户权限控制走流程申请即可,还有一个准入的安装可以给,但是ACL需要走流程。
A3:
如果他们拿了这些权限有什么用?帮忙干活对吧。
A4:
防病毒很烦,那些人动不动装软件就杀,你给运维能减轻你工作量。不然呢,你还靠他们来审计吗?所以涉及基础的操作的都给运维,信息安全负责审计就得了。
Q:求教企业数据安全的管理方案,目前实现的管控,和老板目视化的要求差的太多了。
涉及数据的分类分组,业务及系统Matrix形成分析,数据库访问记录形成分析,员工行为分析。
1、理论方面文件已有:数据安全治理的各种方案/框架,数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁
2、目前已有基本的管理:终端桌管、文件透明加密、ACL、上网行为管理、https、备份
A1:
可以参考一下数据安全管理办法,编写自己的管理制度。
A2:
个人觉得,把问题抛给供应商,根据已有条件,看能否形成一定的解决方案。
A3:
你这个需求是要做一个数据安全咨询服务,那找厂商吧。
A4:
预算充足就做好数据安全技术+管理+运营一体化,预算不多就买几台设备,完善数据安全管理制度(结合老板的需求)。这是数据生命周期管控的部分,再结合具体业务场景优化。
Q:你们RDP怎么管的?会设置白名单嘛?还是全禁了?
A1:
RDP,SSH全禁。
A2:
全部用堡垒机,不允许开什么SSH,RDP那些玩意。
A3:
看业务需求,正常是可以全禁,如果有需求再走特殊申请。
A4:
局域网RDP让它随便玩了,外网主要靠发通知。
Q:站在审计监督部的角度,数据安全审计工作应该怎么做呢?
A1:
行为审计,权限审计。
A2:
审计主要看管理制度的合理性,有没有按照制度有效执行吧。
A3:
如果是这个角度,才不管你怎么做呢,你只要有制度、有流程、有记录、有技术平台支撑就行。
A4:
是的,主要就是审计监督的角度就不是技术了。
加入求职招聘电台专题
光看不过瘾?
想要深入话题,尽情分享你的面试见解和更“奇葩”的经历?
机会就在眼前!
FreeBuf电台小程序全新推出“求职招聘”专题页
网安人的专属语音聊天室,
体验AI变声,保护隐私的同时畅所欲言,
文字与语音无缝转换,更加灵活自由。
穿马甲零负担讨论。
手机扫码立即加入↓
本期甲方群急招岗位
甲方群最新动态
上期话题回顾:
活动预告:
议题征集开启 | FCIS 2024网络安全创新大会·十周年
活动回顾:
热议红蓝对抗,探索数据安全新路径 | FreeBuf企业安全俱乐部北京站
近期热点资讯
苹果 Vision Pro 曝出严重漏洞,黑客可通过用户眼动输入窃取信息
新型 Vo1d 恶意软件曝光,超130万台安卓电视设备已中招
FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员
“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1500+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。