Każdego dnia czytamy o zwolnieniach, które dotykają osoby, z których część to nasi przyjaciele i współpracownicy. W czasach takich jak te uzyskanie rozmowy kwalifikacyjnej może być trudne, dlatego konieczne staje się wykorzystanie każdej nadarzającej się okazji. I bądźmy szczerzy, absolutnie nikt nie lubi rozmów kwalifikacyjnych — są one stresujące i czasochłonne.

Karthik (kierownik ds. inżynierii @ Meta) i ja, Jeet (inżynier ds. bezpieczeństwa produktu @ Plaid) pracowaliśmy w dziedzinie bezpieczeństwa na różnych poziomach i przeprowadzaliśmy rozmowy kwalifikacyjne z kandydatami spośród stażystów, indywidualnych współpracowników, menedżerów i liderów wyższego szczebla. W tym poście chcemy podzielić się tym, czego nauczyliśmy się w przeszłości i jak przeszliśmy przez proces rozmowy kwalifikacyjnej. Chociaż przykłady i zasoby udostępnione w poście są zorientowane na bezpieczeństwo (dokładnie bezpieczeństwo produktu), niektóre z wniosków można wdrożyć podczas rozmowy kwalifikacyjnej na dowolne stanowisko.

Każda organizacja i zespół mogą mieć różne rundy rozmów kwalifikacyjnych i formaty oceny kandydata. Ogólnie rzecz biorąc, będziesz miał ekran techniczny i / lub porozmawiasz z kierownikiem ds. Rekrutacji. Następnie będziesz miał 2–3 wywiady techniczne i rundę behawioralną jako pętlę wywiadów. W tym poście skupimy się przede wszystkim na

• Wywiad z kierownikiem ds. zatrudniania: Jak stworzyć prezentację windy
• Wywiad techniczny dotyczący bezpieczeństwa: jak wyjaśnić lukę w zabezpieczeniach?

Rozmowa rekrutacyjna z menedżerem

Rozmowa z menedżerem ds. rekrutacji to zazwyczaj krótka rozmowa (30 minut), podczas której osoba przeprowadzająca rozmowę stara się zrozumieć Twoją motywację i aspiracje dotyczące stanowiska oraz zorientować się w zakresie Twojego doświadczenia i wiedzy. Nie próbują zagłębiać się w tematy techniczne (rundy techniczne są właśnie do tego).

Powiedz mi coś o sobie

Zacznijmy od osobistego wprowadzenia. To pierwsze pytanie w rundzie przesiewowej menedżera ds. rekrutacji lub rekrutera. Z pozoru jest to bardzo podstawowe pytanie, ale jest to okazja do wywarcia wrażenia, porozmawiania o swoich przeszłych i obecnych doświadczeniach oraz podkreślenia kluczowych osiągnięć w ciągu 2–3 minut.

Nie możemy wystarczająco podkreślić, jak ważne jest przygotowanie zwięzłej „prezentacji windy” . Można go podzielić na 5 kroków

• Zacznij od krótkiego podsumowania
• Wróć do korzeni
• Rozwiń wstępne podsumowanie
• Dodaj wykończenie
• Podsumuj i otwórz się na opinie

Oto przykład odpowiedzi na to pytanie przy użyciu 5 kroków opisanych powyżej

[Zacznij od krótkiego podsumowania] Jestem inżynierem ds. bezpieczeństwa produktów w firmie Acme.

[Wróć do korzeni] Przed Acme pracowałem w Hooli i Umbrella Corp na różnych stanowiskach, począwszy od pentestera, przez automatyzację bezpieczeństwa, gdzie pracowałem nad osadzaniem narzędzi bezpieczeństwa w potokach deweloperskich, po rolę architekta bezpieczeństwa, gdzie prowadzę międzyzespołowy inicjatywy i przeglądy bezpieczeństwa.

[Rozwiń wstępne podsumowanie] W Acme moja rola polega przede wszystkim na kierowaniu naszymi inicjatywami dotyczącymi zmiany w lewo i zarządzania lukami w zabezpieczeniach. Moja rola obejmuje również współpracę z zespołem produktu jako partnera ds. bezpieczeństwa w celu ulepszenia i osadzenia zabezpieczeń w naszych produktach, a także interakcję z klientami w celu udzielenia odpowiedzi na wszelkie otwarte pytania dotyczące bezpieczeństwa.

[Dodaj wykończenie] Jestem naprawdę dumny z mojej pracy nad BeyondCorp, gdzie współpracowałem z naszym zespołem Enterprise Security, aby umożliwić oparty na ryzyku dostęp sieciowy do zarządzanych zasobów. Możecie sobie wyobrazić, jakie to było ważne, kiedy uderzył Covid i nagle wszyscy musieli WFH.

[Zakończ i otwórz się na opinie] Więc tak, krótkie podsumowanie o mnie, ale z przyjemnością zagłębię się i przedstawię więcej kontekstu na dowolny temat podczas wywiadu.

Przykład daje ankieterowi wiele wybranych przez ciebie tematów do omówienia w dalszej części wywiadu i odniesienia go do otwartej roli w ich zespole.

Najlepszym sposobem na udoskonalenie tonu jest najpierw zapisanie go, zmierzenie czasu, dopracowanie, a na koniec przećwiczenie go z przyjaciółmi lub rodziną.

Wywiad techniczny dotyczący bezpieczeństwa

Jeśli chodzi o rundy techniczne związane z bezpieczeństwem, istnieją różne smaki. Może to być związane z projektowaniem systemu i modelowaniem zagrożeń, scenariuszami wykorzystania luk w zabezpieczeniach, przeglądem kodu źródłowego w celu znalezienia błędów, implementacją automatyzacji/narzędzi oraz specyficzną domeną bezpieczeństwa (chmura, sieć, urządzenia mobilne). Najczęstsza i prawie każda rozmowa, w której byliśmy ankieterem lub rozmówcą, miała rundę techniczną specyficzną dla domeny bezpieczeństwa. W tym miejscu ankieter poprosi Cię o wyjaśnienie luki w zabezpieczeniach.

Czym jest podatność CSRF?

Luka w zabezpieczeniach związana z fałszowaniem żądań między witrynami (CSRF) jest niezwykle trudna do wyjaśnienia ankieterowi. Obejmuje kilka kroków i strategii naprawczych, które mogą mieć różne efekty i konsekwencje. Najlepszym podejściem do wyjaśnienia każdej luki w zabezpieczeniach jest zastosowanie prostego wzorca Co i jak

• Jaka jest luka
• Jakie jest ryzyko
• Jak wykorzystać i
• Jak zapobiegać

[Na czym polega luka] CSRF to luka, w której złośliwy atakujący próbuje wykonać działanie zmieniające stan w imieniu uwierzytelnionego użytkownika . Akcja zmieniająca stan jest podobna do akcji dodawania, edytowania, aktualizowania lub usuwania.

[ Jakie jest ryzyko ] CSRF jest najczęściej przeprowadzany przy użyciu złośliwych technik socjotechnicznych poprzez wysłanie wiadomości e-mail lub łącza, które nakłania ofiarę do wysłania sfałszowanego żądania na serwer. Złośliwy użytkownik może powodować działania zmieniające stan, które mogą prowadzić do typowych scenariuszy ataków, takich jak transfer środków lub zmiana danych osobowych lub hasła użytkownika.

[Jak wykorzystać] Kiedy niczego niepodejrzewający uwierzytelniony użytkownik odwiedza stronę attacker.com i jest zalogowany w witrynie bank.com, jeśli witryna bank.com akceptuje typ zawartości text/plain dla swoich punktów końcowych POST, osoba atakująca może wysłać do serwera żądanie zmiany stanu, które umożliwić im podjęcie działań w imieniu użytkownika. Ponieważ serwer bank.com otrzymał prawidłowe sesyjne pliki cookie, nie ma możliwości rozróżnienia, czy żądanie pochodzi od złośliwego atakującego, czy od uprawnionego uwierzytelnionego użytkownika.

[Jak zapobiegać] Aby naprawić lukę w zabezpieczeniach CSRF, istnieje kilka technik, ale użycie atrybutu pliku cookie tej samej witryny wraz z weryfikacją nagłówka pochodzenia jest najprostszym krótkoterminowym rozwiązaniem mającym na celu złagodzenie luki w zabezpieczeniach CSRF na dużą skalę . Istnieją inne popularne i przetestowane metody łagodzenia skutków, które możemy pogłębić, takie jak podejście oparte na tokenie, podwójne przesyłanie pliku cookie i niestandardowe nagłówki żądań, aby zapobiec atakom CSRF.

Zapamiętywanie i udzielanie podręcznikowej odpowiedzi na każdą lukę z OWASP jest proste. Tym, co Cię wyróżni, jest wyjaśnienie problemu i wyjaśnienie, dlaczego można go wykorzystać, zapewniając najlepsze możliwe skalowalne środki zaradcze, które faktycznie można wdrożyć w konfiguracji przedsiębiorstwa.

Oczywiście w przypadku każdego wywiadu po przykładzie następowałyby pytania. Przykład pokazuje, że jako osoba przeprowadzająca rozmowę kwalifikacyjną kandydat nie tylko rozumie podstawową przyczynę luki w zabezpieczeniach, ale także wie, jak należy ją złagodzić w konfiguracji przedsiębiorstwa. Pokazuje również zdolność kandydata do wyjaśnienia problemu odpowiednim interesariuszom, co jest bardzo ważną umiejętnością skutecznego inżyniera bezpieczeństwa.

Zasoby wywiadu

-- Resume 
[] Create a one page resume, include a good summary 
[] Free resume maker https://resumake.io/generator/templates 

-- Introduction 
[] Create an elevator pitch. Read this post

-- Coding
[] Leetcode top interview questions for company X 
[] Scripting questions like parsing log files, and extracting IP addresses
[] Learn regex https://www.hackerrank.com/domains/regex 

Security technical round 
[] Ultimate resource https://github.com/gracenolan/Notes/blob/master/interview-study-notes-for-security-engineering.md
[] OWASP top 10 https://cheatsheetseries.owasp.org/IndexTopTen.html 
[] Web security, HTML 5 Security https://developer.mozilla.org/en-US/docs/Web/Security 
[] Threat Modeling - STRIDE, PASTA
[] Security awareness, whats current -> https://tldrsec.com/
[] Cloud security -> https://cloudsecdocs.com/
[] How to secure VPN and attacks against it
[] How to identify crypto miners and ransomware running on a user’s machine
[] Topics - SSH, IPSec, TLS vs SSH, OSI, Heartbleed, Log4j, HMAC, Serialization vulnerability,
XXE, Rainbow table attack, OAuth/OpenID, SAML, WebauthN, 

-- Behavioral round 
[] https://www.thebalancecareers.com/top-behavioral-interview-questions-2059618
[] Write 8-10 stories in SAR format (Situation, Action, Result) and practice them with a friend 
[] Example of any conflict with peers, managers
[] Biggest mistake. What is your weakness? What are you doing about it? 
[] (Manager) How did you deal with poor performers and a strong performer 
[] (Manager) How do you measure the health of the organization 

-- System desgin 
[] System design mock interviews https://www.youtube.com/c/ExponentTV,
https://www.youtube.com/channel/UCRPMAqdtSgd0Ipeef7iFsKw 
[] Design a large-scale malware identification system
[] Design a password storage system