安全认证不会给你一份工作,你需要向面试官证明你真的知道怎样保护企业的安全。
世界经济处在严重衰退中,据51CTO之前报道,不少IT企业已经或正在进行大规模裁员,你可能很难相信会有好的IT安全工作还在等着你,但实际情况是,确实有不少好的IT安全岗位在那里等着,或者更精确地说,很难找到合格的安全人员。
我最近接受了一个任务,帮助一名客户聘请一位网络安全分析师,能够管理大量的IIS和ApacheWebServer。在筛选掉数百名缺乏经验的候选人后,我选择了六位候选人,他们具有合格的工作经验、教育背景和证书(这正是我所关心的先后顺序),邀请他们来参加面试。
然而在对这所有六个亲自挑选的候选人的面试中,我却惊讶地发现他们在很大程度上不了解网络安全。他们不能告诉我XSS(跨站点脚本)攻击与跨域攻击的区别。大多数人不知道如何对Web服务器操作系统的基础进行强化,大多数人无法描述SQL注入攻击。只有一个人知道如何通过安全帐户和应用池来隔离不同的网站。说点积极的吧,至少有两个人知道横幅广告会被恶意软件利用。
51CTO.com编者注:有兴趣的读者可以参看以下文章:《什么是跨站脚本(XSS)攻击》、《图文详解网站SQL注入攻击解决全过程》
当我告诉候选人们他们将负责让ASP/ASP.Net和PHP的攻击和漏洞保持更新,竟然所有人都对PHP会有漏洞表示了惊讶。在第三个人这样表示后,我还只是惊讶而已。但听到最后一位候选人也这样说,我就只有沮丧了。他们生活在哪里?难道他们对Facebook和Twitter不关心吗?
最终我选择了那位真正想更多的了解一下PHP漏洞的人。我承认自己倍受打击,这与我几年前做的那些面试完全不同了。时代发生了变化,但候选人的质量不应该变化。
一个相同的例子
有一天在我回想起这件事的时候,一位在一家财富百强企业担任CSO的朋友给我打电话来发泄他的不满,我们正巧碰上了完全相同的问题。这位CSO是任何一位老板都想要的。他是一位卓尔不群的聪明人,喜欢计算机安全,懂得保护他的团队,也能让手下尝试所有时尚的东西。他的安全团队中需要一个人,这是份理想的工作,也有不菲的薪水。
我的朋友给一个值得信赖的计算机安全猎头打电话,告诉他们理想人选的资格,并期待着在面试时能够找到一位百里挑一的精英。他的结果呢?和我完全一样。他几乎对所有的候选人完全失望,他认为百分之九十的人都不合格,而且疑惑这些获得安全认证的人为什么不能回答基本的问题。
例如:“告诉我你对Conficker的了解。”大多数的回答是他们对“Conflicker”(注意多了一个“l”)并不知道太多,但它感染了大量计算机而且威胁有些言过其实。另一个问题:“告诉我你会做哪五件事情来强化Windows。”他原以为他会不得不打断大部分候选人因为他们可能会说的太多太细。(可以理解,比如只在密码策略方面我就可以列出五件事)。而结果却相反,竟然没有一个人能提满五条,最多只能说出两三件。有一位候选人要求再说一遍问题,当然,他最后没有得到这份工作。
聘请的是知识,而不是证书
这些事让我更坚定的认为,安全认证并不能保证一个候选人的整体素质。按理说目前最受欢迎的头号证书(也是最被高估的,你知道我说的哪一个)的持有人应该具有全方位的安全知识。但我怀疑他们是怎么通过考试的?
我要说的是,从我的经验来看,SANS认证往往会给你带来知识丰富的候选人。他们是少数做法正确的组织之一,拥有SANS证书的人应该首先考虑。
如果你申请安全工作,请先做足了解,然后再现身。要了解这家企业运行的操作系统和应用程序(当然未经允许的话还是不要记录他们的电脑),以及首选的安全工具。准备一下任何与安全有关的问题,提前进行练习。研究相关平台的安全问题和恶意软件。最后,如果被问到一个你不知道答案的问题时,不要惊慌失措,可以从几个大方面谈一下安全问题,但也不要说的太含糊,让面试官知道你是在回避。
另外,不要说前雇主的坏话。同样也不要批评任何产品或平台,侮辱面试官最喜欢的技术不会为你赚到额外积分。
另一项要注意的:不要吹嘘你的黑帽子,还有你做过的非法攻击,除非你发现雇主想要找的是一名黑客(绝大部分情况下不会)。
最终我们两个聘请的都是一群候选人中相对最广博的那位。你可以分辨出他们,他们阅读广泛,喜爱网络和安全的书籍(有兴趣的读者可登录51CTO读书频道阅读安全图书)。更主要的原因是,成功的候选人对岗位表现出了热心。这是他们得以通过的最大原因。他们不仅是找工作,他们是在寻找一种职业,心中有具体的目标和想法。
我最后的忠告是:如果你经过多次面试还是难以赢得一份工作,也许应该就面试技巧去请教一下专业人士,或者做些模拟的面试,当然要找一个诚实的朋友,他必须要跟你说实话。