การสัมภาษณ์ในระหว่างการปลดพนักงาน
ในแต่ละวันที่ผ่านไป เรากำลังอ่านเกี่ยวกับการปลดพนักงานที่ส่งผลกระทบต่อบุคคล ซึ่งบางคนเป็นเพื่อนและเพื่อนร่วมงานของเรา ในช่วงเวลาเช่นนี้ การเรียกสัมภาษณ์อาจเป็นเรื่องที่ท้าทาย ดังนั้นจึงจำเป็นต้องคว้าโอกาสที่เข้ามา และบอกตามตรงว่าไม่มีใครชอบการสัมภาษณ์อย่างแน่นอน — เป็นเรื่องเครียดและใช้เวลานาน
Karthik (ผู้จัดการฝ่ายวิศวกรรม @ Meta) และฉันJeet (วิศวกรรักษาความปลอดภัยผลิตภัณฑ์ @ Plaid) เคยทำงานในสายงานความปลอดภัยในระดับต่าง ๆ และสัมภาษณ์ผู้สมัครจากเด็กฝึกงาน ผู้มีส่วนร่วมรายบุคคล ผู้จัดการ และผู้นำระดับสูง ในโพสต์นี้ เรามีเป้าหมายที่จะแบ่งปันสิ่งที่เราได้เรียนรู้ในอดีตและวิธีที่เราสำรวจกระบวนการสัมภาษณ์ แม้ว่าตัวอย่างและทรัพยากรที่แบ่งปันในโพสต์จะมุ่งเน้นที่ความปลอดภัย (ความปลอดภัยของผลิตภัณฑ์เพื่อให้แม่นยำ) การเรียนรู้บางอย่างสามารถนำไปใช้ได้ในขณะสัมภาษณ์สำหรับบทบาทใดๆ
แต่ละองค์กรและแต่ละทีมอาจมีรอบสัมภาษณ์และรูปแบบการประเมินผู้สมัครที่แตกต่างกัน โดยทั่วไป คุณจะมีหน้าจอทางเทคนิคและ/หรือพูดคุยกับผู้จัดการการจ้างงาน หลังจากนั้น คุณจะมีการสัมภาษณ์ทางเทคนิค 2-3 ครั้งและรอบพฤติกรรมเป็นรอบการสัมภาษณ์ ในโพสต์นี้เราจะเน้นเป็นหลัก
- สัมภาษณ์ผู้จัดการการจ้างงาน:วิธีสร้างสำนวนการขายแบบลิฟต์
- บทสัมภาษณ์ทางเทคนิคด้านความปลอดภัย:จะอธิบายช่องโหว่ด้านความปลอดภัยได้อย่างไร
สัมภาษณ์ผู้จัดการฝ่ายว่าจ้าง
การสัมภาษณ์ผู้จัดการการจ้างงานมักจะเป็นการสนทนาสั้นๆ (30 นาที) ซึ่งผู้สัมภาษณ์พยายามที่จะเข้าใจแรงจูงใจและแรงบันดาลใจของคุณสำหรับบทบาทและทำความเข้าใจกับประสบการณ์และความรู้ของคุณ พวกเขาไม่ได้พยายามที่จะดำน้ำลึกในหัวข้อทางเทคนิค (รอบทางเทคนิคมีไว้สำหรับสิ่งนั้น)
บอกฉันบางอย่างเกี่ยวกับตัวคุณ
เริ่มจากการแนะนำตัวกันก่อน นี่เป็นคำถามแรกในรอบคัดเลือกผู้จัดการการจ้างงานหรือผู้สรรหา ดูเผินๆ มันเป็นคำถามพื้นๆ แต่เป็นโอกาสของคุณในการสร้างความประทับใจ พูดคุยเกี่ยวกับประสบการณ์ในอดีตและปัจจุบันของคุณ และเน้นความสำเร็จที่สำคัญใน 2-3 นาที
เราไม่สามารถเน้นได้เพียงพอถึงความสำคัญของการเตรียม"ระยะห่างระหว่างลิฟต์" ที่กระชับ พร้อม สามารถแบ่งออกเป็น 5 ขั้นตอน
- เริ่มต้นด้วยบทสรุปสั้นๆ
- กลับไปที่ราก
- ขยายความในบทสรุปเบื้องต้น
- เพิ่มสัมผัสการตกแต่ง
- สรุปและเปิดรับความคิดเห็น
นี่คือตัวอย่างวิธีที่เราจะตอบคำถามนี้โดยใช้ 5 ขั้นตอนที่สรุปไว้ข้างต้น
[เริ่มต้นด้วยบทสรุปสั้นๆ]ฉันเป็นวิศวกรรักษาความปลอดภัยผลิตภัณฑ์ที่ Acme
[ย้อนกลับไปที่รากเหง้า]ก่อนมาทำงานกับ Acme ฉันทำงานที่ Hooli และ Umbrella Corp ในบทบาทต่างๆ เริ่มตั้งแต่เพนเทสเตอร์ ไปจนถึงระบบรักษาความปลอดภัยอัตโนมัติที่ฉันทำงานเกี่ยวกับการฝังเครื่องมือรักษาความปลอดภัยในท่อส่งของผู้พัฒนา ไปจนถึงบทบาทสถาปนิกด้านความปลอดภัยที่ฉันเป็นผู้นำข้ามทีม ความคิดริเริ่มด้านความปลอดภัยและการทบทวน
[ขยายการสรุปเบื้องต้น]ที่ Acme บทบาทของฉันคือเป็นผู้นำการริเริ่มการจัดการกะซ้ายและช่องโหว่ของเราเป็นหลัก บทบาทของฉันยังเกี่ยวข้องกับการทำงานร่วมกับทีมผลิตภัณฑ์ในฐานะพันธมิตรด้านการรักษาความปลอดภัยเพื่อปรับปรุงและฝังการรักษาความปลอดภัยในผลิตภัณฑ์ของเรา ตลอดจนโต้ตอบกับลูกค้าเพื่อตอบคำถามที่เปิดอยู่เมื่อเกี่ยวข้องกับการรักษาความปลอดภัย
[เพิ่มสัมผัสสุดท้าย]ฉันภูมิใจมากกับงานของฉันใน BeyondCorp ที่ฉันร่วมมือกับทีม Enterprise Security เพื่อเปิดใช้งานการเข้าถึงเครือข่ายตามความเสี่ยงเพื่อจัดการทรัพยากร คุณคงนึกออกว่าเหตุการณ์นี้สำคัญแค่ไหนเมื่อโควิดระบาด และจู่ๆ ทุกคนก็ต้อง WFH
[สรุปและเปิดรับคำติชม]ใช่แล้ว เป็นบทสรุปสั้นๆ เกี่ยวกับตัวฉัน แต่ฉันยินดีที่จะเจาะลึกและให้บริบทเพิ่มเติมเกี่ยวกับหัวข้อต่างๆ ในระหว่างการสัมภาษณ์
ตัวอย่างนี้ให้หัวข้อมากมายที่คุณเลือก แก่ผู้สัมภาษณ์เพื่อหารือเพิ่มเติมในการสัมภาษณ์และเชื่อมโยงกับบทบาทที่เปิดในทีมของพวกเขา
วิธีที่ดีที่สุดในการเสนอขายของคุณให้สมบูรณ์แบบคือ ขั้นแรกให้จด จับเวลา ปรับแต่งอย่างละเอียด และสุดท้ายก็ฝึกฝนกับเพื่อนหรือครอบครัว
บทสัมภาษณ์ทางเทคนิคด้านความปลอดภัย
เมื่อพูดถึงรอบทางเทคนิคด้านความปลอดภัย มีหลายรสชาติที่แตกต่างกัน ซึ่งอาจเกี่ยวข้องกับการออกแบบระบบและการสร้างแบบจำลองภัยคุกคาม สถานการณ์การใช้ประโยชน์จากช่องโหว่ ตรวจสอบซอร์สโค้ดเพื่อค้นหาจุดบกพร่อง การใช้งานระบบอัตโนมัติ/เครื่องมือ และการรักษาความปลอดภัยเฉพาะโดเมน (คลาวด์ เว็บ มือถือ) การสัมภาษณ์ที่พบบ่อยที่สุดและเกือบทุกครั้งที่เราเป็นผู้สัมภาษณ์หรือผู้ให้สัมภาษณ์จะมีรอบทางเทคนิคเฉพาะโดเมนความปลอดภัย นี่คือจุดที่ผู้สัมภาษณ์จะขอให้คุณอธิบายถึงช่องโหว่
ช่องโหว่ CSRF คืออะไร?
ช่องโหว่ Cross-Site Request Forgery (CSRF) นั้นยากที่จะอธิบายให้ผู้สัมภาษณ์ทราบ มันเกี่ยวข้องกับหลายขั้นตอนและกลยุทธ์การแก้ไขซึ่งอาจมีผลกระทบและผลกระทบที่แตกต่างกัน แนวทางที่ดีที่สุดในการอธิบายช่องโหว่คือทำตามรูปแบบ What and How ที่เรียบง่าย
- อะไรคือช่องโหว่
- ความเสี่ยงคืออะไร
- วิธีการหาประโยชน์และ
- วิธีป้องกัน
[ช่องโหว่คืออะไร] CSRF คือช่องโหว่ที่ผู้โจมตีที่ประสงค์ร้ายพยายามดำเนินการเปลี่ยนแปลงสถานะในนามของผู้ใช้ที่ผ่านการรับรองความถูกต้อง การกระทำที่เปลี่ยนสถานะก็เหมือนกับการเพิ่ม แก้ไข ปรับปรุง หรือลบการกระทำ
[ ความเสี่ยงคืออะไร ] โดยทั่วไป CSRF จะดำเนินการโดยใช้เทคนิควิศวกรรมสังคมที่เป็นอันตรายโดยการส่งอีเมลหรือลิงก์ที่หลอกให้เหยื่อส่งคำขอปลอมแปลงไปยังเซิร์ฟเวอร์ ผู้ใช้ที่ประสงค์ร้ายสามารถทำให้เกิดการกระทำที่เปลี่ยนแปลงสถานะซึ่งอาจส่งผลให้เกิดสถานการณ์การโจมตีทั่วไป เช่น การโอนเงินหรือการเปลี่ยนข้อมูลส่วนตัวหรือรหัสผ่านของผู้ใช้
[วิธีการหาประโยชน์]เมื่อผู้ใช้ที่ไม่สงสัยที่ได้รับการรับรองความถูกต้องเข้าเยี่ยมชมที่ attacker.com และเข้าสู่ระบบที่ bank.com หาก bank.com ยอมรับเนื้อหาประเภท text/plain สำหรับจุดสิ้นสุด POST ผู้โจมตีจะสามารถส่งคำขอเปลี่ยนสถานะไปยังเซิร์ฟเวอร์ซึ่งจะ อนุญาตให้ดำเนินการในนามของผู้ใช้ เนื่องจากเซิร์ฟเวอร์ของ Bank.com ได้รับคุกกี้เซสชันที่ถูกต้อง จึงไม่มีทางแยกได้ว่าคำขอนั้นมาจากผู้โจมตีที่ประสงค์ร้ายหรือผู้ใช้ที่ผ่านการรับรองความถูกต้องตามกฎหมาย
[วิธีป้องกัน]ในการแก้ไขช่องโหว่ CSRF มีหลายเทคนิค แต่การใช้แอตทริบิวต์คุกกี้ไซต์เดียวกันพร้อมกับการตรวจสอบส่วนหัวต้นทางเป็นวิธีแก้ปัญหาระยะสั้นที่ง่ายที่สุดในการบรรเทาช่องโหว่ CSRF ในระดับ มีวิธีการบรรเทาที่เป็นที่นิยมและได้รับการทดสอบอื่น ๆ ที่เราสามารถทำได้ในเชิงลึก เช่น วิธีที่ใช้โทเค็น การส่งคุกกี้สองครั้ง และส่วนหัวของคำขอที่กำหนดเองเพื่อป้องกันการโจมตี CSRF
การท่องจำและให้คำตอบแบบเรียนสำหรับช่องโหว่ใดๆ จาก OWASP นั้นง่ายมาก สิ่งที่จะทำให้คุณแตกต่างคือการอธิบายปัญหาและเหตุใดจึงนำไปใช้ประโยชน์ได้ โดยให้การลดขนาดที่ปรับขนาดได้ที่ดีที่สุดซึ่งสามารถนำไปใช้ได้จริงในการตั้งค่าองค์กร
แน่นอนว่าในการสัมภาษณ์ใด ๆ ตัวอย่างจะตามมาด้วยคำถาม ในฐานะผู้สัมภาษณ์ สิ่งที่ตัวอย่างแสดงให้เห็นคือ ผู้สมัครไม่เพียงเข้าใจต้นตอของช่องโหว่เท่านั้น แต่ควรแก้ไขอย่างไรในการตั้งค่าองค์กร นอกจากนี้ยังแสดงให้เห็นถึงความสามารถของผู้สมัครในการอธิบายปัญหาแก่ผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง ซึ่งเป็นทักษะที่สำคัญมากสำหรับวิศวกรรักษาความปลอดภัยที่มีประสิทธิภาพ
แหล่งข้อมูลการสัมภาษณ์
-- Resume
[] Create a one page resume, include a good summary
[] Free resume maker https://resumake.io/generator/templates
-- Introduction
[] Create an elevator pitch. Read this post
-- Coding
[] Leetcode top interview questions for company X
[] Scripting questions like parsing log files, and extracting IP addresses
[] Learn regex https://www.hackerrank.com/domains/regex
Security technical round
[] Ultimate resource https://github.com/gracenolan/Notes/blob/master/interview-study-notes-for-security-engineering.md
[] OWASP top 10 https://cheatsheetseries.owasp.org/IndexTopTen.html
[] Web security, HTML 5 Security https://developer.mozilla.org/en-US/docs/Web/Security
[] Threat Modeling - STRIDE, PASTA
[] Security awareness, whats current -> https://tldrsec.com/
[] Cloud security -> https://cloudsecdocs.com/
[] How to secure VPN and attacks against it
[] How to identify crypto miners and ransomware running on a user’s machine
[] Topics - SSH, IPSec, TLS vs SSH, OSI, Heartbleed, Log4j, HMAC, Serialization vulnerability,
XXE, Rainbow table attack, OAuth/OpenID, SAML, WebauthN,
-- Behavioral round
[] https://www.thebalancecareers.com/top-behavioral-interview-questions-2059618
[] Write 8-10 stories in SAR format (Situation, Action, Result) and practice them with a friend
[] Example of any conflict with peers, managers
[] Biggest mistake. What is your weakness? What are you doing about it?
[] (Manager) How did you deal with poor performers and a strong performer
[] (Manager) How do you measure the health of the organization
-- System desgin
[] System design mock interviews https://www.youtube.com/c/ExponentTV,
https://www.youtube.com/channel/UCRPMAqdtSgd0Ipeef7iFsKw
[] Design a large-scale malware identification system
[] Design a password storage system
![รายการที่เชื่อมโยงคืออะไร? [ส่วนที่ 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)