Каждый день мы читаем об увольнениях, затрагивающих отдельных лиц, некоторые из которых являются нашими друзьями и коллегами. В такие времена получение приглашения на собеседование может быть сложной задачей, поэтому необходимо использовать любую возможность, которая появляется на вашем пути. Да и давайте будем честными, абсолютно никому не нравятся собеседования — они стрессовые и отнимают много времени.

Картик (технический менеджер @ Meta) и я, Джит (инженер по безопасности продуктов @ Plaid), работали в области безопасности на разных уровнях и брали интервью у кандидатов из числа стажеров, отдельных участников, менеджеров и руководителей высшего звена. В этом посте мы стремимся поделиться тем, что мы узнали в прошлом, и как мы проходили процесс интервью. Хотя примеры и ресурсы, представленные в посте, ориентированы на безопасность (точнее, на безопасность продукта), некоторые уроки можно применить во время собеседования на любую должность.

У каждой организации и команды могут быть разные раунды и форматы интервью для оценки кандидата. Как правило, у вас будет технический экран и/или разговор с менеджером по найму. После этого у вас будет 2–3 технических интервью и поведенческий раунд в качестве цикла интервью. В этом посте мы сосредоточимся в первую очередь на

• Собеседование с менеджером по найму: как создать презентацию для лифта
• Интервью с техническим специалистом по безопасности: как объяснить уязвимость в системе безопасности?

Собеседование с менеджером по найму

Собеседование с менеджером по найму обычно представляет собой короткий разговор (30 минут), в ходе которого интервьюер пытается понять вашу мотивацию и стремления к должности, а также получить представление о широте вашего опыта и знаний. Они не пытаются глубоко погрузиться в технические темы (техраунды как раз для этого и существуют).

Расскажи мне что-нибудь о себе

Начнем с личного знакомства. Это первый вопрос в раунде отбора менеджера по найму или рекрутера. На первый взгляд, это очень простой вопрос, но это ваша возможность произвести впечатление, рассказать о своем прошлом и настоящем опыте и выделить ключевые достижения за 2–3 минуты.

Мы не можем не подчеркнуть, насколько важно иметь готовую краткую «презентацию для лифта» . Его можно разбить на 5 шагов

• Начните с краткого резюме
• Вернуться к корням
• Расширьте первоначальное резюме
• Добавьте последний штрих
• Заключите и откройте для обратной связи

Вот пример того, как мы могли бы ответить на этот вопрос, используя 5 шагов, описанных выше.

[Начните с краткого описания] Я инженер по безопасности продуктов в компании Acme.

[Вернуться к истокам] До прихода в Acme я работал в Hooli и Umbrella Corp на различных должностях, начиная от пентестера и заканчивая автоматизацией безопасности, где я занимался внедрением инструментов безопасности в конвейеры разработки, и архитектором безопасности, где я руковожу кросс-командой. инициативы и обзоры безопасности.

[Расширить первоначальное резюме] В Acme моя роль заключается в том, чтобы в первую очередь руководить нашими инициативами по сдвигу влево и управлению уязвимостями. Моя роль также включает в себя работу с командой разработчиков в качестве партнера по безопасности для улучшения и внедрения безопасности в наши продукты, а также взаимодействие с клиентами для решения любых открытых вопросов, касающихся безопасности.

[Добавить завершающий штрих] Я очень горжусь своей работой над BeyondCorp, где я сотрудничал с нашей командой корпоративной безопасности, чтобы обеспечить сетевой доступ к управляемым ресурсам с учетом рисков. Вы можете себе представить, насколько это было важно, когда разразился Covid, и внезапно всем пришлось сделать WFH.

[Завершить и открыть для обратной связи] Так что да, кратко обо мне, но я буду рад углубиться и предоставить больше контекста по любой теме во время интервью.

Пример дает интервьюеру достаточно тем по вашему выбору для дальнейшего обсуждения в ходе интервью и соотнесения их с открытой ролью в их команде.

Лучший способ усовершенствовать свою подачу — сначала записать ее, рассчитать время, отрегулировать ее и, наконец, попрактиковаться с друзьями или семьей.

Техническое интервью по безопасности

Когда дело доходит до технических раундов безопасности, есть разные вкусы. Это может быть связано с проектированием системы и моделированием угроз, сценариями использования уязвимостей, просмотром исходного кода для поиска ошибок, внедрением автоматизации/инструментов и безопасностью в конкретной области (облачной, веб-, мобильной). Наиболее распространенное и почти каждое собеседование, где мы были интервьюером или интервьюируемым, включало в себя технический раунд, связанный с предметной областью безопасности. Здесь интервьюер попросит вас объяснить уязвимость.

Что такое CSRF-уязвимость?

Общеизвестно, что интервьюеру трудно объяснить уязвимость, связанную с подделкой межсайтовых запросов (CSRF). Он включает в себя несколько шагов и стратегий исправления, которые могут иметь различные эффекты и последствия. Лучший подход к объяснению любой уязвимости — следовать простой схеме «что и как» .

• В чем уязвимость
• Каков риск
• Как использовать и
• Как предотвратить

[Что такое уязвимость] CSRF — это уязвимость, при которой злоумышленник пытается выполнить действие по изменению состояния от имени аутентифицированного пользователя . Действие, изменяющее состояние, похоже на действие добавления, редактирования, обновления или удаления.

[ Каков риск ] CSRF чаще всего проводится с использованием вредоносных методов социальной инженерии, отправляя электронное письмо или ссылку, которые обманом заставляют жертву отправить поддельный запрос на сервер. Злоумышленник может инициировать действия по изменению состояния, которые могут привести к обычным сценариям атак, таким как перевод средств или изменение личной информации или пароля пользователя.

[Как использовать] Когда ничего не подозревающий пользователь, прошедший проверку подлинности, посещает атакующий.com и входит в систему bank.com, если банк.com принимает тип содержимого text/plain для своих конечных точек POST, злоумышленник может затем отправить серверу запрос на изменение состояния, который разрешить им действовать от имени пользователя. Поскольку сервер bank.com получил действительные файлы cookie сеанса, он не может различить, исходит ли запрос от злонамеренного злоумышленника или от законного пользователя, прошедшего проверку подлинности.

[Как предотвратить] Для устранения уязвимости CSRF существует несколько методов, но использование атрибута файла cookie того же сайта вместе с проверкой заголовка источника является простейшим краткосрочным решением для снижения уязвимости CSRF в масштабе . Существуют и другие популярные и проверенные методы смягчения последствий, которые мы можем подробно рассмотреть, такие как подход на основе токенов, двойная отправка файла cookie и настраиваемые заголовки запросов для предотвращения атак CSRF.

Заучить и дать стандартный ответ на любую уязвимость OWASP несложно. Что будет отличать вас, так это объяснение проблемы и того, почему ее можно использовать, обеспечивая наилучшее возможное масштабируемое смягчение, которое действительно может быть реализовано в корпоративной настройке.

Конечно, после любого интервью за примером последовали бы вопросы. Пример демонстрирует, что кандидат не только понимает основную причину уязвимости, но и то, как ее следует смягчить в корпоративной среде. Это также демонстрирует способность кандидата объяснить проблему соответствующим заинтересованным сторонам, что является очень важным навыком для эффективного инженера по безопасности.

Ресурсы для интервью

-- Resume 
[] Create a one page resume, include a good summary 
[] Free resume maker https://resumake.io/generator/templates 

-- Introduction 
[] Create an elevator pitch. Read this post

-- Coding
[] Leetcode top interview questions for company X 
[] Scripting questions like parsing log files, and extracting IP addresses
[] Learn regex https://www.hackerrank.com/domains/regex 

Security technical round 
[] Ultimate resource https://github.com/gracenolan/Notes/blob/master/interview-study-notes-for-security-engineering.md
[] OWASP top 10 https://cheatsheetseries.owasp.org/IndexTopTen.html 
[] Web security, HTML 5 Security https://developer.mozilla.org/en-US/docs/Web/Security 
[] Threat Modeling - STRIDE, PASTA
[] Security awareness, whats current -> https://tldrsec.com/
[] Cloud security -> https://cloudsecdocs.com/
[] How to secure VPN and attacks against it
[] How to identify crypto miners and ransomware running on a user’s machine
[] Topics - SSH, IPSec, TLS vs SSH, OSI, Heartbleed, Log4j, HMAC, Serialization vulnerability,
XXE, Rainbow table attack, OAuth/OpenID, SAML, WebauthN, 

-- Behavioral round 
[] https://www.thebalancecareers.com/top-behavioral-interview-questions-2059618
[] Write 8-10 stories in SAR format (Situation, Action, Result) and practice them with a friend 
[] Example of any conflict with peers, managers
[] Biggest mistake. What is your weakness? What are you doing about it? 
[] (Manager) How did you deal with poor performers and a strong performer 
[] (Manager) How do you measure the health of the organization 

-- System desgin 
[] System design mock interviews https://www.youtube.com/c/ExponentTV,
https://www.youtube.com/channel/UCRPMAqdtSgd0Ipeef7iFsKw 
[] Design a large-scale malware identification system
[] Design a password storage system