“ози сайт използва бисквитки (cookies). јко желаете можете да научите повече тук. –азбрах

Ќовини »“ сигурност
бр. 1, 2011

 ак да разпознаем добрите специалисти по »“ сигурност

от , 19 €нуари 2011 0 8532 прочитани€,

¬ъпросите за интервю които предлагам са тези които аз бих задал - и не отраз€ват препоръки или квалификации за компании и продукти, а само личната ми гледна точка. ћного от въпросите които бих задал на евентуален кандидат ще ви учуд€т, и с право. Ќо аз мога да наема най-добри€ кандидат и н€ма да имам капка съмнение в избора си - над€вам се да помогна и на вас в тази изключително трудна задача 
"ƒайте ми маймуна и за 1 месец ще € направ€ хакер" - това е общото мнение на много известни личности в InfoSec средата. ¬ общи линии, колкото и неверо€тно да звучи, съм сългласен. InfoSec професи€та не е лесна - просто за около месец денонощен труд и обучение могат да бъдат поставени основите на почти вс€ка техническа позици€. 
“ова не е валидно обаче, когато търсим човек занимаващ се с информационна защита. ƒа намериш у€звимост в една система е лесно, пон€кога елементарно, пон€кога плод на случайност - да построиш неу€звима (добре де, н€ма неу€звими системи... трудно у€звима) - това в никакъв случай не може да се дължи на случайност или да стане за ден, месец или година. Ќа никого не му тр€бва поредни€т "wannabe" - тр€бва ви човек с качества като посто€нство, педантичност, страст за постигане на цели, устойчивост на часове взиране в таблици... 
ћирогледът на специалиста по »“ сигурност е не по-малко важен от неговите/нейните технически познани€ - да е добър психолог, добър системен архитект и не на последно м€сто - добър хакер (в официални€ смисъл на думата - н€кой, който умее да намира оригинални решени€ на сложни проблеми). Ќа специалиста по сигурност много често ще се налага да се бори с нови и непознати досега заплахи - когато срещне креативен враг, ще е добре да умее да се бори с него (или с т€х) креативно.  
»ма кратки и дълги пътища към откриването на такъв човек. —ещам се за само един въпрос, отговора на който би предопределил дали бих наел н€кого като специалист по »“ сигурност или не, но за него - в кра€ на стати€та. «асега ще опиша дълги€ път по отс€ване на кандидатите - защото повечето от вас биха предпочели именно него (и с право). 
ќтношение и подход
¬ажно е кандидатът да има €сна концепци€ как ще мотивира хората в компани€та да бъдат по-внимателни, как ще ги обучи поне на минимума познани€, необходими за да се предпаз€т сами от най-попул€рните кибер опасности (включително индустриален шпионаж - лично, по телефона, чрез и-мейл и т.н). ѕри€телското, човешко отношение което евентуално би показал обучавайки хора на информационна самоотбрана ще е ключово за това дали те ще възприемат думите му или не.  
 лючов въпрос: „ ак би помогнал на колегите си и като ц€ло служителите на компани€та да се предпазват сами и съответно данните на компани€та?”. ¬ отговора търсете по-скоро отношение и подход, отколкото техническите детайли. 

¬ажно ли е формалното образование
≈дна основна грешка, допускана от HR специалистите, отс€ващи кандидати още преди интервю е елиминаци€ на база образование. ѕолучавате 1000 CV-та на най-различни хора - естествено, че тези без диплома отпадат веднага? “а те не са положили минимума усили€ който всички останали полагат, за да се образоват! ’мм... не винаги. ѕознавам едно момче, което на 18 вече пишеше алгоритми за изкуствен интелект - вече е на 25, н€ма желание да започва да учи официално - естествено, защото повечето професори в Ѕългари€ не биха могли дори да разберат за какво говори, когато започне да описва алгоритми. ќт друга страна познавам магистри от един от най-добрите български университети, които оставени сами на себе си не биха могли да свършат дори елементарни задачи. ќтс€вайки на база диплома, получавате доста от вторите и нито един кандидат от първите!
–азбира се, съществува и обратната страна на медала. ћой добър при€тел написа собственоръчно Java Debugger още в трети курс на “” - извода е, че изключително много тр€бва да се внимава при първоначалното отс€ване. Ќе всеки диамант се намира в чист вид - повечето изискват сериозна първоначална обработка. 
—ертификати
јвторите на най-съвършените системи за сигурност (както и на инструменти за тестване на сигурността на »“ системи), авторите на най-основополагащите книги за »“ сигурност, лекторите на годишни хакерски конференции - хората, които биха унищожили или изградили системите ви за сигурност по-добре от всеки друг - н€мат дори и един сертификат. «а какво им е? 
»ма разлика между това да учиш, за да се научиш да градиш защита и да учиш, за да вземеш даден сертификат. –азликата е ќ√–ќћЌј. —ертификатите са бонус за изпълнителен персонал - ако ви тр€бват мислещи хора, сертификатът не е достатъчен критерий.  ойто и да е сертификат (освен OSCP). 
јвтобиографи€та
Ќормално е автобиографиите да се четат подред - образование, първа месторабота, втора месторабота.. степенуването по важност обикновено е в същи€ ред - като най-важни са последната работа и последната диплома. “ака отс€вате "технически", преди първите интервюта. ќтс€вате същите тези самоуки неошлайфани диаманти без корпоративен опит и без формално образование, давайки шанс на книжните плъхове да добав€т още едно ниво към бюрокраци€та в компани€та... това ли искате? ѕочти всеки може да свикне с корпоративна среда, да смени дрехите си, начина на говорене и поведение, начина на общуване. Ќе всеки може да бъде истински специалист по »“ сигурност обаче и формалното образование не промен€ този факт. 
ќстава правилни€т вариант за четене на автобиографии - отзад напред. ѕърво научавате какви са техните хобита, после страничните им познани€ и обучени€, опита - отзад напред, и най-накра€ научавате какво са учили - защото това би тр€бвало да бъдат и приоритетите по подбор. 
—траничните занимани€, хобито -  е един от най-важните фактори при избор на човек за даден екип.  ћомчето или момичето може да с брилиантно образование и да има опит в големи компании, но ако н€ма хоби... Ќапример, дори най-антисоциалните личности в областта на сигурността възприемат като свое хоби поне професи€та си - те живе€т и дишат в тази среда, позвават и са познати от много други специалисти по сигурността, запознати са с най-новите технологии, у€звимости и защити още в ден€ на по€в€ването им. јко в CV-то прочетете нещо от типа "хоби - IT Security" това може да даде повод за много интересна дискуси€ по време на интервюто. 
»нтервюто
"’обито ти е IT Security? Ќаистина? –азкажи ми за последни€ път, когато преодол€ система за сигурност? и т.н и т.н. —амо с н€колко въпроса вече ще сте на€сно колко дълбоко плува тази "рибка" и колко полезна ще е на вашата компани€. 
ѕознаването на Ћичности може да се счита като бонус. јко отговорът на въпроса " ой е HDM" e "јвтора на Metasploit Framework", кандидатът печели много бонус точки. 
¬секи, който е свикнал със стандартните въпроси за интервю ще каже: "Ѕонус точки, за “ова? «ащо?" - ћного просто. ћожеш да знаеш отговора само ако се движиш и общуваш в определени среди. 
—лед хобито идва ред на професионални€ опит. “ук е важно не за кой са работили, а какво са правили там.  акто се казва... "„овек дори и добре да работи - напуска, но остав€ след себе си това, което е построил!" 
ћного важен момент са може би не толкова техническите детайли, колкото пламъчето гордост в очите на човека - ако наистина се гордее от това което е направил и говори въодушевено за постигнатото има гол€ма веро€тност казаното да е истина и да има реална стойност за предишната компани€ - следователно същата веро€тност съществува и за вас. 
»ма н€кои ключови въпроси според професионалната ориентаци€. јко например кандидатът каже, че е специалист по *nix сигурност - перфектни€ въпрос според мен е да го питате кой е най-сигурни€ DNS сървърен софтуер според него. јко отговори "DJBDNS" - печели възможност да отиде на следващото ниво (естествено след нужната аргументаци€) - ако отговор€т BIND, просто им покажете къде е изхода за да се ориентират по-бързо. 
»ма и въпроси по обща култура в *niх, които принципно не би тр€бвало да задавате, но... ¬еднъж съвсем случайно открих у€звимост в сървърите на един от големите хостинг провайдери в Ѕългари€, даваща ми достъп до всички сайтове, хоствани на даден сървър... когато се обадих на администратора и го попитах защо не са имплементирали Jails за защита на папките на потребителите, той ме попита: "а какво е Jail?" което провокира искрената ми усмивка и отговор "н€ма значение... ". “ова би бил още един добър въпрос за начинаещ *nix кандидат - знае ли какво е jail и за какво се използва. 
јко са Cisco специалисти - потитайте ги кой е най-бързи€т известен метод за получаване на отдалечен административен достъп до сравнително стар Cisco аppliance. јко отговор€т "чрез предварително генериран експлоит в ping пакет" - значи най-малкото са чели новините свързани с т€хната професи€, и могат да отидат на следващото ниво. “ук искам да допълн€, че компани€та Cisco е сред най-сериозно отнас€щите се към сигурността на своите продукти и най-новите им разработки естествено не са толкова лесно у€звими. 
 

јко кандидатът е MCDC (Microsoft Certified Double Clicker) - ситуаци€та е малко по-различна. “ъй като това е най-попул€рната операционна система, естествено е за не€ да има нужда от най-сериозни мерки за защита - и съответно не е лесно да се отсе€т хората, умеещи да € защитават добре. ƒа речем, че кандидатът знае за съществуването на "NSA Security Configuration guides" - минава на следващото ниво. “ук се сещам за един "виц" - отива един кандидат на интервю за програмист - и казва: "«нам C++, C#, Java, PHP, Assembler, Python, ADA, и още ... много други думички" - тоест, познаването на имена на продукти за защита не означава абсолютно нищо - затова - пропускайте до второ интервю само хора, познаващи документаци€та на NIST или NSA за защита на Windows системи, ако искате да притежавате най-добрите в екипа си. 
¬иждате, че простите, насочени въпроси са най-добри. јз съм от€влен враг на дългите тестове които се дават на кандидатите - най-вече защото дори студент първи курс е на€сно, че сте свалили тези тестове от н€кой сайт - който те също могат да намер€т, да се подготв€т за най-често срещаните тестови въпроси и да се покажат съвършени в сво€та област... до първи€ работен ден. 
ќт насочени въпроси може да преминете към по-общи - например, кои са последните 3 книги за »“ сигурност които са прочели и откъде са се снабдили с т€х. ќбщовалиден факт е, че за да получи €снота по даден въпрос, човек тр€бва да прочете поне 1 книга за него... (честно казано, правилото е 10, но реалността е друга). 
јко кандидатът каже, че четенето на книги е отживелица и всичко може да бъде научено онлайн, ще е *дон€къде* прав. ≈стествено въпросът ще е "“огава кои са сайтовете от които се информираш?" - въпрос-уловка, защото най-добри€т отговор ще е "имам колекци€ от RSS източници - чрез които след€ поне 20 сайта в областта на сигурността". ќще по-добър отговор: "»мам добре структуриран Twitter feed, в който след€ ключови компании,  говорители и автори на световно ниво за »“ сигурност". ƒнес и сега, Twitter е светкавичен източник на информаци€ във вс€ка област и ако следиш правилните хора, можеш да научиш за пробив в сигурността на попул€рна операционна система преди производител€т или който и да било друг да научи за него. » да вземеш съответните мерки!
јко кандитатът спомене IRC като източник на обучение и информаци€, както и като среда за общуване на хора с интереси в областта - печели бонус точки.  ¬нимавайте обаче, защото споменаване SILC като протокол за комуникаци€ с „колеги и при€тели в областта” може да означава наемане на престъпник... не задължително, но с гол€ма доза веро€тност. 
ќбещани€т ключов въпрос
¬ началото на стати€та споменах, че има един-единствен въпрос, който би предопределил дали даден човек е добър кандидат за позици€ в отдела по »“ сигурност или не. јко сте на ръба за избор между двама или повече кандидати, той може да послужи изключително добре - ето го и него: " ой е Bruce Schneier?" - н€ма да об€сн€вам защо, ако сами не знаете отговора на въпроса, може би е време да научите :) 

 ќћ≈Ќ“ј–» ќ“  

ѕолезни страници
    «а нас | јудитори€ | –еклама |  онтакти | ќбщи услови€ | ƒеклараци€ за поверителност | ѕолитика за бисквитки |
    ƒействителни собственици на насто€щото издание са »во √еоргиев ѕрокопиев и “еодор »ванов «ахов