Сигурност

Как да разпознаем добрите специалисти по ИТ сигурност

CIO Media


Въпросите за интервю които предлагам са тези които аз бих задал - и не отразяват препоръки или квалификации за компании и продукти, а само личната ми гледна точка. Много от въпросите които бих задал на евентуален кандидат ще ви учудят, и с право. Но аз мога да наема най-добрия кандидат и няма да имам капка съмнение в избора си - надявам се да помогна и на вас в тази изключително трудна задача 
"Дайте ми маймуна и за 1 месец ще я направя хакер" - това е общото мнение на много известни личности в InfoSec средата. В общи линии, колкото и невероятно да звучи, съм сългласен. InfoSec професията не е лесна - просто за около месец денонощен труд и обучение могат да бъдат поставени основите на почти всяка техническа позиция. 
Това не е валидно обаче, когато търсим човек занимаващ се с информационна защита. Да намериш уязвимост в една система е лесно, понякога елементарно, понякога плод на случайност - да построиш неуязвима (добре де, няма неуязвими системи... трудно уязвима) - това в никакъв случай не може да се дължи на случайност или да стане за ден, месец или година. На никого не му трябва поредният "wannabe" - трябва ви човек с качества като постоянство, педантичност, страст за постигане на цели, устойчивост на часове взиране в таблици... 
Мирогледът на специалиста по ИТ сигурност е не по-малко важен от неговите/нейните технически познания - да е добър психолог, добър системен архитект и не на последно място - добър хакер (в официалния смисъл на думата - някой, който умее да намира оригинални решения на сложни проблеми). На специалиста по сигурност много често ще се налага да се бори с нови и непознати досега заплахи - когато срещне креативен враг, ще е добре да умее да се бори с него (или с тях) креативно.  
Има кратки и дълги пътища към откриването на такъв човек. Сещам се за само един въпрос, отговора на който би предопределил дали бих наел някого като специалист по ИТ сигурност или не, но за него - в края на статията. Засега ще опиша дългия път по отсяване на кандидатите - защото повечето от вас биха предпочели именно него (и с право). 
Отношение и подход
Важно е кандидатът да има ясна концепция как ще мотивира хората в компанията да бъдат по-внимателни, как ще ги обучи поне на минимума познания, необходими за да се предпазят сами от най-популярните кибер опасности (включително индустриален шпионаж - лично, по телефона, чрез и-мейл и т.н). Приятелското, човешко отношение което евентуално би показал обучавайки хора на информационна самоотбрана ще е ключово за това дали те ще възприемат думите му или не.  
Ключов въпрос: „Как би помогнал на колегите си и като цяло служителите на компанията да се предпазват сами и съответно данните на компанията?”. В отговора търсете по-скоро отношение и подход, отколкото техническите детайли. 

Важно ли е формалното образование
Една основна грешка, допускана от HR специалистите, отсяващи кандидати още преди интервю е елиминация на база образование. Получавате 1000 CV-та на най-различни хора - естествено, че тези без диплома отпадат веднага? Та те не са положили минимума усилия който всички останали полагат, за да се образоват! Хмм... не винаги. Познавам едно момче, което на 18 вече пишеше алгоритми за изкуствен интелект - вече е на 25, няма желание да започва да учи официално - естествено, защото повечето професори в България не биха могли дори да разберат за какво говори, когато започне да описва алгоритми. От друга страна познавам магистри от един от най-добрите български университети, които оставени сами на себе си не биха могли да свършат дори елементарни задачи. Отсявайки на база диплома, получавате доста от вторите и нито един кандидат от първите!
Разбира се, съществува и обратната страна на медала. Мой добър приятел написа собственоръчно Java Debugger още в трети курс на ТУ - извода е, че изключително много трябва да се внимава при първоначалното отсяване. Не всеки диамант се намира в чист вид - повечето изискват сериозна първоначална обработка. 
Сертификати
Авторите на най-съвършените системи за сигурност (както и на инструменти за тестване на сигурността на ИТ системи), авторите на най-основополагащите книги за ИТ сигурност, лекторите на годишни хакерски конференции - хората, които биха унищожили или изградили системите ви за сигурност по-добре от всеки друг - нямат дори и един сертификат. За какво им е? 
Има разлика между това да учиш, за да се научиш да градиш защита и да учиш, за да вземеш даден сертификат. Разликата е ОГРОМНА. Сертификатите са бонус за изпълнителен персонал - ако ви трябват мислещи хора, сертификатът не е достатъчен критерий. Който и да е сертификат (освен OSCP). 
Автобиографията
Нормално е автобиографиите да се четат подред - образование, първа месторабота, втора месторабота.. степенуването по важност обикновено е в същия ред - като най-важни са последната работа и последната диплома. Така отсявате "технически", преди първите интервюта. Отсявате същите тези самоуки неошлайфани диаманти без корпоративен опит и без формално образование, давайки шанс на книжните плъхове да добавят още едно ниво към бюрокрацията в компанията... това ли искате? Почти всеки може да свикне с корпоративна среда, да смени дрехите си, начина на говорене и поведение, начина на общуване. Не всеки може да бъде истински специалист по ИТ сигурност обаче и формалното образование не променя този факт. 
Остава правилният вариант за четене на автобиографии - отзад напред. Първо научавате какви са техните хобита, после страничните им познания и обучения, опита - отзад напред, и най-накрая научавате какво са учили - защото това би трябвало да бъдат и приоритетите по подбор. 
Страничните занимания, хобито -  е един от най-важните фактори при избор на човек за даден екип.  Момчето или момичето може да с брилиантно образование и да има опит в големи компании, но ако няма хоби... Например, дори най-антисоциалните личности в областта на сигурността възприемат като свое хоби поне професията си - те живеят и дишат в тази среда, позвават и са познати от много други специалисти по сигурността, запознати са с най-новите технологии, уязвимости и защити още в деня на появяването им. Ако в CV-то прочетете нещо от типа "хоби - IT Security" това може да даде повод за много интересна дискусия по време на интервюто. 
Интервюто
"Хобито ти е IT Security? Наистина? Разкажи ми за последния път, когато преодоля система за сигурност? и т.н и т.н. Само с няколко въпроса вече ще сте наясно колко дълбоко плува тази "рибка" и колко полезна ще е на вашата компания. 
Познаването на Личности може да се счита като бонус. Ако отговорът на въпроса "Кой е HDM" e "Автора на Metasploit Framework", кандидатът печели много бонус точки. 
Всеки, който е свикнал със стандартните въпроси за интервю ще каже: "Бонус точки, за Това? Защо?" - Много просто. Можеш да знаеш отговора само ако се движиш и общуваш в определени среди. 
След хобито идва ред на професионалния опит. Тук е важно не за кой са работили, а какво са правили там. Както се казва... "Човек дори и добре да работи - напуска, но оставя след себе си това, което е построил!" 
Много важен момент са може би не толкова техническите детайли, колкото пламъчето гордост в очите на човека - ако наистина се гордее от това което е направил и говори въодушевено за постигнатото има голяма вероятност казаното да е истина и да има реална стойност за предишната компания - следователно същата вероятност съществува и за вас. 
Има някои ключови въпроси според професионалната ориентация. Ако например кандидатът каже, че е специалист по *nix сигурност - перфектния въпрос според мен е да го питате кой е най-сигурния DNS сървърен софтуер според него. Ако отговори "DJBDNS" - печели възможност да отиде на следващото ниво (естествено след нужната аргументация) - ако отговорят BIND, просто им покажете къде е изхода за да се ориентират по-бързо. 
Има и въпроси по обща култура в *niх, които принципно не би трябвало да задавате, но... Веднъж съвсем случайно открих уязвимост в сървърите на един от големите хостинг провайдери в България, даваща ми достъп до всички сайтове, хоствани на даден сървър... когато се обадих на администратора и го попитах защо не са имплементирали Jails за защита на папките на потребителите, той ме попита: "а какво е Jail?" което провокира искрената ми усмивка и отговор "няма значение... ". Това би бил още един добър въпрос за начинаещ *nix кандидат - знае ли какво е jail и за какво се използва. 
Ако са Cisco специалисти - потитайте ги кой е най-бързият известен метод за получаване на отдалечен административен достъп до сравнително стар Cisco аppliance. Ако отговорят "чрез предварително генериран експлоит в ping пакет" - значи най-малкото са чели новините свързани с тяхната професия, и могат да отидат на следващото ниво. Тук искам да допълня, че компанията Cisco е сред най-сериозно отнасящите се към сигурността на своите продукти и най-новите им разработки естествено не са толкова лесно уязвими. 
 

Ако кандидатът е MCDC (Microsoft Certified Double Clicker) - ситуацията е малко по-различна. Тъй като това е най-популярната операционна система, естествено е за нея да има нужда от най-сериозни мерки за защита - и съответно не е лесно да се отсеят хората, умеещи да я защитават добре. Да речем, че кандидатът знае за съществуването на "NSA Security Configuration guides" - минава на следващото ниво. Тук се сещам за един "виц" - отива един кандидат на интервю за програмист - и казва: "Знам C++, C#, Java, PHP, Assembler, Python, ADA, и още ... много други думички" - тоест, познаването на имена на продукти за защита не означава абсолютно нищо - затова - пропускайте до второ интервю само хора, познаващи документацията на NIST или NSA за защита на Windows системи, ако искате да притежавате най-добрите в екипа си. 
Виждате, че простите, насочени въпроси са най-добри. Аз съм отявлен враг на дългите тестове които се дават на кандидатите - най-вече защото дори студент първи курс е наясно, че сте свалили тези тестове от някой сайт - който те също могат да намерят, да се подготвят за най-често срещаните тестови въпроси и да се покажат съвършени в своята област... до първия работен ден. 
От насочени въпроси може да преминете към по-общи - например, кои са последните 3 книги за ИТ сигурност които са прочели и откъде са се снабдили с тях. Общовалиден факт е, че за да получи яснота по даден въпрос, човек трябва да прочете поне 1 книга за него... (честно казано, правилото е 10, но реалността е друга). 
Ако кандидатът каже, че четенето на книги е отживелица и всичко може да бъде научено онлайн, ще е *донякъде* прав. Естествено въпросът ще е "Тогава кои са сайтовете от които се информираш?" - въпрос-уловка, защото най-добрият отговор ще е "имам колекция от RSS източници - чрез които следя поне 20 сайта в областта на сигурността". Още по-добър отговор: "Имам добре структуриран Twitter feed, в който следя ключови компании,  говорители и автори на световно ниво за ИТ сигурност". Днес и сега, Twitter е светкавичен източник на информация във всяка област и ако следиш правилните хора, можеш да научиш за пробив в сигурността на популярна операционна система преди производителят или който и да било друг да научи за него. И да вземеш съответните мерки!
Ако кандитатът спомене IRC като източник на обучение и информация, както и като среда за общуване на хора с интереси в областта - печели бонус точки.  Внимавайте обаче, защото споменаване SILC като протокол за комуникация с „колеги и приятели в областта” може да означава наемане на престъпник... не задължително, но с голяма доза вероятност. 
Обещаният ключов въпрос
В началото на статията споменах, че има един-единствен въпрос, който би предопределил дали даден човек е добър кандидат за позиция в отдела по ИТ сигурност или не. Ако сте на ръба за избор между двама или повече кандидати, той може да послужи изключително добре - ето го и него: "Кой е Bruce Schneier?" - няма да обяснявам защо, ако сами не знаете отговора на въпроса, може би е време да научите :) 


X