Preguntas en una entrevista para analistas de seguridad

Estas preguntas esenciales de la entrevista revelarán si un candidato tiene las habilidades y los rasgos necesarios para este rol de seguridad en demanda.

Estás entrevistando candidatos para un puesto de analista de seguridad. Uno es un estudiante de historia sin experiencia técnica formal. El otro tiene un título avanzado en informática, con especialización en ciberseguridad, y 10 años de experiencia en entornos de centros de operaciones de seguridad y pentesting.

Si usted es Keatron Evans, investigador principal de seguridad del proveedor de educación en seguridad InfoSec, el estudiante de historia obtiene el trabajo. Al hacer las preguntas correctas, Evans pudo ver a través del currículum y las credenciales del candidato los rasgos de analista de seguridad más valorados: resolución de problemas y habilidades para resolver problemas, curiosidad, deseo de aprender y una pasión innata por la ciberseguridad.

La demanda para este puesto es más alta que nunca, una tendencia que es probable que continúe, y la Oficina de Estadísticas Laborales de EE. UU. Proyecta que el empleo de analistas de seguridad crecerá un 31% entre 2019 y 2029 . Las siguientes preguntas de la entrevista lo ayudarán a mantenerse a la vanguardia, asegurando que contrate con éxito a un analista de seguridad.

¿Qué es TCP?

La forma en que alguien habla sobre temas como el protocolo de enlace de tres vías o el estándar de comunicaciones TCP puede revelar mucho sobre su comprensión de los fundamentos de seguridad.

En el caso de Evans, la candidata sin experiencia habló de TCP como si lo hubiera estudiado no solo en un libro de texto, sino también en un entorno informático. “Aunque tenía la menor experiencia de todos los candidatos, respondió como si fuera la autora de los protocolos en cuestión, como TCP, ella misma”, dice.

Otros conceptos básicos incluyen distinguir entre cifrado simétrico y asimétrico y describir dónde se utilizaría mejor cada uno, las anomalías que indican un sistema comprometido o cómo lidiar con un ataque de intermediario , dice Travis Lindemoen, director gerente de la práctica de ciberseguridad. en Nexus IT Group. "Estás escuchando los procesos en los que han sido entrenados para remediar ese tipo de ataque", dice.

DOCUMENTOS TÉCNICOS RECOMENDADOS

La familiaridad con el marco también es un detalle revelador, dice Chuck Brooks, presidente de Brooks Consulting International y profesor adjunto en la Universidad de Georgetown, ya sea de NIST, SANS o MITRE. “Hay muchos elementos en estos marcos que le brindan un mapa a seguir para las defensas básicas y la gestión de riesgos”, dice.

¿Cómo manejaría esta violación de datos?

Sin embargo, lo que realmente impresionó a Evans fue cómo el candidato sin experiencia que entrevistó (y finalmente contrató) resolvió un escenario técnico que requería responder 10 preguntas sobre el manejo de una violación de datos. El ejercicio involucró dos computadoras: una conectada al entorno de laboratorio basado en la nube para realizar la tarea y una segunda conectada a Internet para buscar la información necesaria, como detalles actualizados sobre un exploit reciente.

"Ella usó la computadora de investigación con maestría, mientras que las personas más experimentadas ni siquiera se molestaron en tocarlas", dijo Evans. "Por esa razón, la mayoría de ellos se perdieron las dos últimas preguntas que debían responderse al revisar los paquetes y los volcados de memoria".

Evans también requirió intencionalmente que los candidatos le dieran a la máquina virtual una dirección IP estática para operar en la red, que solo sabrían al leer las instrucciones. “A un candidato le tomó 15 minutos dejar de quejarse de que no había nada disponible y darse cuenta de que tenía que seguir las instrucciones”, dice. "Gran parte del trabajo de SOC consiste en prestar atención a los detalles, así como leer notas y procesar la información recopilada por otros analistas".

¿Cómo clasificaría estas alertas?

Alternativamente, se puede explorar un escenario de infracción de forma conversacional. Este enfoque más interactivo puede resaltar cómo piensa, se comunica y colabora el candidato. Los entrevistadores también pueden adaptar las preguntas a medida que avanzan (completando información, profundizando, etc.) para coincidir con el nivel de experiencia del candidato.

Sin embargo, primero es importante establecer una atmósfera cómoda, ya que una persona nerviosa puede ser difícil de leer, dice Dom Glavach, director de seguridad y estratega en jefe de CyberSN, una firma de personal y carrera profesional centrada en la seguridad cibernética.

Es por eso que Glavach comienza preguntando sobre una infracción bien publicitada como el ataque SolarWinds en términos de indicadores de compromiso (IOC), lecciones aprendidas o la metodología de ataque utilizada. “Incluso si no están familiarizados con él, pueden tardar unos segundos en hacer una búsqueda en IOC y SolarWinds”, dice. Esto refleja la realidad en el trabajo de que los analistas de seguridad no deben ser juzgados por su conocimiento inmediato, sino por su capacidad para evaluar rápidamente el riesgo y hablar sobre soluciones.

A partir de ahí, Glavach pasa a la conversación del escenario, como: Lunes de hoy. Viene de un gran fin de semana y ve dos alertas de inicio de sesión extrañas la noche anterior, desde Nueva York y San Francisco, con cinco minutos de diferencia, una de las cuales fue exitosa. También detecta un Cobalt Strike y balizas en la oficina sur. ¿Qué necesitas hacer para clasificar esto?

El resto de la conversación simula lo que ocurriría en el centro de operaciones de seguridad (SOC) entre colegas, dice Glavach, en términos de colaborar en ideas, compartir conocimientos, evaluar qué tan grave es la situación y qué se debe hacer para remediarla. “He escuchado respuestas que revelan que el candidato no tiene tanta experiencia como su currículum me hizo creer”, dice. "Los currículums cuentan la historia, pero la persona cuenta la novela".

¿Cuál es su primer movimiento después de recibir nueva inteligencia sobre amenazas?

Otro enfoque basado en escenarios se centra en el primer movimiento que haría el candidato o la primera pregunta que haría cuando, por ejemplo, recibe una nueva pieza de inteligencia de amenazas o un aviso sobre una vulnerabilidad recién descubierta en un sistema o dispositivo.

Para Peter Gregory, director senior de ciberseguridad de GCI Communication Corp. en Anchorage, Alaska, y exasesor de ciberseguridad, la respuesta debería centrarse en saber si la amenaza es relevante para la organización, “lo que apunta de inmediato a la necesidad de una gestión de activos eficaz para que los analistas de seguridad puedan obtener rápidamente la respuesta ”, dice. Incluso si el candidato no está familiarizado con la gestión de activos, que, según las experiencias anteriores de consultoría de Gregory, dice que muchas empresas hacen un mal trabajo, deberían indicar que se han dado cuenta de lo valiosa que es la gestión de activos para la resolución de problemas.

La pregunta del "primer movimiento" de Evans gira en torno a qué hacer cuando una violación de datos ha comprometido una máquina específica. Un candidato con menos experiencia podría sugerir apagar la máquina y tomar una imagen del disco duro. Alguien con más experiencia se concentraría en realizar diagnósticos de memoria adecuados, porque la mayoría de los atacantes avanzados no escriben en el disco duro, así como en el análisis de paquetes de red para determinar el origen de la infracción. “Apagar la máquina es una técnica forense básica, pero no se centra en la respuesta a incidentes”, dice Evans.

Otras buenas respuestas se centrarían en la importancia de alinearse con las políticas de respuesta a incidentes vigentes o tener un diagrama de red preciso que represente dónde se encuentran los sistemas y dispositivos clave. “Una gran parte de la respuesta a incidentes consiste en contener el incidente, y no se puede contener si no se conocen los límites del entorno”, dice Evans.

¿La ciberseguridad es su trabajo o su estilo de vida?

Para aquellos que se destacan en ciberseguridad, su interés en el tema no es una cosa de 9 a 5; es una pasión que impregna su vida cotidiana. Para saber si ese es el caso, a Lindemoen le gusta preguntar sobre la configuración de la red doméstica de los candidatos. “Busco si están usando WPA2 frente a WPA y WEP y si configuran una red separada para cuando los invitados usan su red inalámbrica doméstica”, dice. "Son cosas sencillas, pero proporcionan una idea de cómo piensan sobre la seguridad en sus vidas personales".

Lindemoen también pregunta a qué conferencias de ciberseguridad les gustaría asistir, si pudieran, y por qué. En lugar de nombrar una conferencia conocida, "podrían mencionar una que esté en un nicho en el que estén enfocados o que realmente les apasione".

La participación en capture-the-flag (CTF) y otros eventos y actividades de cibercalistenia es otro buen barómetro, dice Glavach. Debido a que estos programas son gratuitos, pueden ser incluso mejores para revelar la pasión que las costosas certificaciones. “Si hay un candidato sin certificaciones pero participó en CTF similares a DEFCON CTF o SANS Holiday Hack, eso me demuestra que están muy comprometidos”, dice. “Muestra un alto nivel de curiosidad y compromiso con su oficio”.

Glavach también hace preguntas sobre el lado ofensivo de la ciberseguridad y cómo funciona un ataque, incluida la necesidad de colaboración entre los atacantes. “Me gusta preguntar cuál es su ataque favorito como defensa, o cuál es el ataque más fascinante sobre el que han leído”, dice. "Todos tienen algo por lo que sienten mucha curiosidad".

¿Puedes completar una oración sin usar una palabra de moda?

Los analistas de seguridad exitosos también son personas a las que Gregory llama "bilingües", capaces de hablar tanto desde una perspectiva tecnológica como empresarial. “Necesitan poder tener una conversación con un ejecutivo de negocios sin usar un solo acrónimo de TI o seguridad o una palabra de moda y expresarse fácilmente en términos comerciales”, dice.

Para explicar la importancia de la gestión de activos a un director financiero, por ejemplo, un analista de seguridad bilingüe podría decir: "Si supiéramos lo que tenemos, podríamos dedicar menos tiempo a averiguarlo cuando aparece una nueva amenaza y más tiempo a proteger este negocio". "Dice Gregory.

Glavach evalúa las habilidades de comunicación pidiendo a los candidatos que describan primero un ataque bien publicitado como si hablaran con un compañero durante una reunión diaria del SOC, con el enfoque en comprender lo que se necesita para defenderse de él. Luego, le pregunta al candidato cómo convertiría esa misma información en una campaña de concientización para personas no técnicas en el negocio. La conversación se vuelve rápidamente sobre cómo hacerlo sin usar palabras como "relleno de credenciales" o "reconocimiento".

Otra táctica es preguntar qué hacer si un alto ejecutivo solicita que su dispositivo doméstico se configure en la red corporativa, incluso cuando va en contra de la política de la empresa, dice Lindemoen. “Estoy buscando una respuesta diplomática que intente llegar a la raíz de lo que el ejecutivo necesita y busque un ganar-ganar que no viole la política ni exponga a la empresa a riesgos externos”, dice.

¿Qué me puede decir sobre la IA en seguridad?

Frente a un panorama de amenazas dinámico y tecnologías emergentes continuamente, tanto en el lado defensivo como en el ofensivo, los analistas de seguridad deben ser naturalmente curiosos y estar siempre dispuestos a aprender más.

“La gente tiene la impresión de que necesita un codificador experto o alguien que esté inmerso en TI”, dice Brooks. “Pero ese no es necesariamente el enfoque de la ciberseguridad, que es realmente multifacética. Implica conseguir personas que puedan aprender porque las amenazas siguen cambiando y transformándose ".

Brooks recomienda preguntar a los candidatos qué saben sobre inteligencia artificial y cómo se utiliza tanto en la web oscura como para automatizar la detección de amenazas. "Buscaría al menos una comprensión elemental de lo que significa una postura cibernética, para fortalecer las defensas y comprender cuáles son las amenazas", dice. "En la era actual, la IA juega un papel muy importante y tienes que entenderla porque la usarás tú mismo".

Semrush sigue a tu competencia

Fecha actualización el 2021-09-10. Fecha publicación el 2021-09-10. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: csoonline