上一题下一题
跳转到
 
 
  世界如此多姿,发展如此迅速,窥一斑未必还能知全豹。但正如万花筒一样,每一个管窥都色彩斑斓。  
 
 
  知识通道 | 学习首页 | 教师首页 | PK首页 | 知识创造首页 | 企业首页 | 登录
 
本文对应知识领域
不要搞砸下一次IT安全面试
作者:(未知) 申领版权
2010年12月15日 共有 2956 次访问 【添加到收藏夹】 【我要附加题目
受欢迎度:

    安全认证不会给你一份工作,你需要向面试官证明你真的知道怎样保护企业的安全。
    
    世界经济处在严重衰退中,据51CTO之前报道,不少IT企业已经或正在进行大规模裁员,你可能很难相信会有好的IT安全工作还在等着你,但实际情况是,确实有不少好的IT安全岗位在那里等着,或者更精确地说,很难找到合格的安全人员。
    我最近接受了一个任务,帮助一名客户聘请一位网络安全分析师,能够管理大量的IIS和ApacheWebServer。在筛选掉数百名缺乏经验的候选人后,我选择了六位候选人,他们具有合格的工作经验、教育背景和证书(这正是我所关心的先后顺序),邀请他们来参加面试。
    然而在对这所有六个亲自挑选的候选人的面试中,我却惊讶地发现他们在很大程度上不了解网络安全。他们不能告诉我XSS(跨站点脚本)攻击与跨域攻击的区别。大多数人不知道如何对Web服务器操作系统的基础进行强化,大多数人无法描述SQL注入攻击。只有一个人知道如何通过安全帐户和应用池来隔离不同的网站。说点积极的吧,至少有两个人知道横幅广告会被恶意软件利用。
    51CTO.com编者注:有兴趣的读者可以参看以下文章:《什么是跨站脚本(XSS)攻击》、《图文详解网站SQL注入攻击解决全过程》
    当我告诉候选人们他们将负责让ASP/ASP.Net和PHP的攻击和漏洞保持更新,竟然所有人都对PHP会有漏洞表示了惊讶。在第三个人这样表示后,我还只是惊讶而已。但听到最后一位候选人也这样说,我就只有沮丧了。他们生活在哪里?难道他们对Facebook和Twitter不关心吗?
    最终我选择了那位真正想更多的了解一下PHP漏洞的人。我承认自己倍受打击,这与我几年前做的那些面试完全不同了。时代发生了变化,但候选人的质量不应该变化。
    一个相同的例子
    有一天在我回想起这件事的时候,一位在一家财富百强企业担任CSO的朋友给我打电话来发泄他的不满,我们正巧碰上了完全相同的问题。这位CSO是任何一位老板都想要的。他是一位卓尔不群的聪明人,喜欢计算机安全,懂得保护他的团队,也能让手下尝试所有时尚的东西。他的安全团队中需要一个人,这是份理想的工作,也有不菲的薪水。
    我的朋友给一个值得信赖的计算机安全猎头打电话,告诉他们理想人选的资格,并期待着在面试时能够找到一位百里挑一的精英。他的结果呢?和我完全一样。他几乎对所有的候选人完全失望,他认为百分之九十的人都不合格,而且疑惑这些获得安全认证的人为什么不能回答基本的问题。
    例如:“告诉我你对Conficker的了解。”大多数的回答是他们对“Conflicker”(注意多了一个“l”)并不知道太多,但它感染了大量计算机而且威胁有些言过其实。另一个问题:“告诉我你会做哪五件事情来强化Windows。”他原以为他会不得不打断大部分候选人因为他们可能会说的太多太细。(可以理解,比如只在密码策略方面我就可以列出五件事)。而结果却相反,竟然没有一个人能提满五条,最多只能说出两三件。有一位候选人要求再说一遍问题,当然,他最后没有得到这份工作。
    聘请的是知识,而不是证书
    这些事让我更坚定的认为,安全认证并不能保证一个候选人的整体素质。按理说目前最受欢迎的头号证书(也是最被高估的,你知道我说的哪一个)的持有人应该具有全方位的安全知识。但我怀疑他们是怎么通过考试的?
    我要说的是,从我的经验来看,SANS认证往往会给你带来知识丰富的候选人。他们是少数做法正确的组织之一,拥有SANS证书的人应该首先考虑。
    如果你申请安全工作,请先做足了解,然后再现身。要了解这家企业运行的操作系统和应用程序(当然未经允许的话还是不要记录他们的电脑),以及首选的安全工具。准备一下任何与安全有关的问题,提前进行练习。研究相关平台的安全问题和恶意软件。最后,如果被问到一个你不知道答案的问题时,不要惊慌失措,可以从几个大方面谈一下安全问题,但也不要说的太含糊,让面试官知道你是在回避。
    另外,不要说前雇主的坏话。同样也不要批评任何产品或平台,侮辱面试官最喜欢的技术不会为你赚到额外积分。
    另一项要注意的:不要吹嘘你的黑帽子,还有你做过的非法攻击,除非你发现雇主想要找的是一名黑客(绝大部分情况下不会)。
    最终我们两个聘请的都是一群候选人中相对最广博的那位。你可以分辨出他们,他们阅读广泛,喜爱网络和安全的书籍(有兴趣的读者可登录51CTO读书频道阅读安全图书)。更主要的原因是,成功的候选人对岗位表现出了热心。这是他们得以通过的最大原因。他们不仅是找工作,他们是在寻找一种职业,心中有具体的目标和想法。
    我最后的忠告是:如果你经过多次面试还是难以赢得一份工作,也许应该就面试技巧去请教一下专业人士,或者做些模拟的面试,当然要找一个诚实的朋友,他必须要跟你说实话。
    
    

 

相关新闻

创业项目的5大灵魂拷问
创业公司如何寻找联合创始人?
创业5年,邻趣创始人刘伟力告诉你公司死掉只有一个原因……
初创公司的“三位一体”
硅谷创投教父告诉你,从四个角度入手,打造从0到1的垄断型企业
施密特:谷歌的五大原则
管理不确定性,华为是如何做到的?
隐形天花板
中国芯酸往事
中国的芯片产业为什么不尽人意?

您可能对这些感兴趣  

在字里行间反映金字塔
在PPT上反映金字塔
在页面上反映金字塔
结构性分析问题
界定问题
引 言
完成归纳跃进
找出各结论之间的共性
直接概括行动的结果
区分行动步骤的层次

题目筛选器
日期:
类型:
状态:
得分: <=
分类:
作者:
职业:
关键字:
搜索

 
 
 
  焦点事件
 
  知识体系
 
  职业列表
 
 
  最热文章
 
 
  最多引用文章
 
 
  最新文章
 
 
 
 
网站介绍 | 广告服务 | 招聘信息 | 保护隐私权 | 免责条款 | 法律顾问 | 意见反馈
版权所有 不得转载
沪ICP备 10203777 号 联系电话:021-54428255
  帮助提示    
《我的太学》是一种全新的应用,您在操作中遇到疑问或者问题,请拨打电话13564659895,15921448526。
《我的太学》