安全招聘中,如何招到优秀的Web渗透测试人员?
越来越多的企业招聘安全人员,然而安全人员大多草根出身,可谓鱼龙混杂。作为企业,你就必须要知道如何才能招到最优秀的Web渗透人员,而不是“职业骗子”。本文罗列了一些安全招聘中其可能需要具备的素质,技能和准则,仅供参考。
有开发背景(知道如何编写代码)
你不会想招一个只会对Web应用运行漏洞扫描器的脚本小子。而与一个仅仅知道扫描器的来龙去脉的脚本小子相比,经过安全培训后的开发人员的优势在于:
了解他们自己开发的应用程序的漏洞和缺陷,并知道如何测试和修复。 在评估过程中可以自动化或者开发相应的工具。 如果培训得当,他们更容易学会正确测试web应用程序的方式——这是基于我的经验,当时我被一个软件开发公司雇佣,用来培训一组几乎没有漏洞评估经验和安全意识的开发人员,结果非常好。对我来说,这些人比非开发人员更好训练。 有一个好主意和理解应用程序的业务逻辑和程序流。 可以编写一个简单的Poc。
当然,我不会招聘完全不懂代码的人,也不会招一个之前没有做过开发的人作为源代码审计工程师,因为这很容易出现误报。
熟悉OWASP(开放性Web应用程序安全项目)
强烈建议熟悉OWASP的旗舰文件——OWASP的Top 10。因为它提供了有关Web应用安全的意识。
OWASP中的TOP 10依次是:A1,注入;A2,失效的身份认证和会话管理;A3,跨站脚本;A4,不安全的直接对象引用;A5,安全配置错误;A6,敏感信息泄漏;A7,功能级的访问控制缺失;A8,跨站请求伪造;A9,使用含有已知漏洞的组件;A10,未验证的重定向和转发。
如果在招聘过程中,面试人能总结OWASP的Top 10,那么他应该是适合这项工作,特别是如果他可以在自己的实验室或机器上展示一些攻击方法。
除了上述项目,如果他也熟悉一些由OWASP发起的项目比如Mutillidae,OWASP漏洞的Web应用程序项目,那么就能证明他是一个真正的安全爱好者和发烧友并且具有渗透应用程序的能力。
玩过漏洞平台
首先,漏洞赏金计划是什么?这是一个公司的奖励程序,如果黑客发现他们的应用程序的一个安全缺陷,就可以通过一些平台进行负责任的披露。?国外有Hackerone、BugCrowd,国内有漏洞盒子、乌云等平台。
如果你可以在谷歌、facebook、twitter、微软等公司的应急响应中心上看到面试人的名字或ID,那么他可能是一个出色的人才,特别是如果他还在Google,Chrome,Mozilla或Internet Explorer的漏洞并获得了奖励,那就说明他更牛了。
但是仍要注意那些为了在平台上的排行榜靠前,但靠量取胜(如提交大量无效或低质量漏洞)白帽子。
在Exploit-DB,Packet Strom,或其他的漏洞数据库公开或披露利用程序、公开披露开源软件或企业软件漏洞的EXP作者,漏洞研究者以及白帽子都是值得你考虑招聘的人选,尤其是那些漏洞带有CVE-ID或者OSVD-ID。
对安全好奇且有激情的黑客
如果候选人不具备对安全领域的激情,那么你很难把他们培养成一个优秀的安全人员。优秀的安全人员需要始终保持对知识的渴望——这是黑客的心态,始终探索新的可能性。
你不能招那些仅是通过阅读书籍和文档了解OWASP的测试方法的人。他们还必须知道如何跳出固有思维模式应用或测试。比如喜好搭建自己的实验环境,攻击和测试自己搭建的脆弱的web应用程序,练习他们所学到的一切。
他们需要像黑客一样思考。黑客喜欢创新,做事出于好奇,这种主动性人才比那些有许多安全认证的和在信息安全领域有很多经验,但并没有从实践经验的人好多了!
我们必须承认,有资质认证并不能成为一个黑客,但并不意味着安全认证完全没什么卵用。在文章的后面部分我们讨论为何有安全认证也是一个优势。
UNIX或GNU / Linux经验丰富
虽然大多数商业Web应用程序漏洞扫描器运行在Windows上,但在Unix上也有很多不错的开源工具。与Windows用户相比,擅长GNU/LINUX和UNIX的优势在于能够熟练的使用渗透测试系统Kali linux,backbox linux,以及命令行工具。
这也是最值得关注的,大多数网站都会因为稳定性和总体拥有成本而托管在GNU / Linux服务器。
安全认证
当然,这是一个加分项!通过CEH/ CHFI/ ECSA/ CISSP等的认证考试是一种投资。是的,你投入你的时间,得到了你一定安全证明。通过一定的认证将不能保证你已经是一个黑客,但它仍只是开始和一个良好的基础,除非这家公司仅仅为了合规性要求才招聘安全人员。
然而,这并不是在聘用网络安全测试人员的硬性要求,但知识+技能+认证始终是一个优势。
“会棍”与“赛棍”
出席过像DEFCON、BlackHat、 ROOTCON、 Derbycon这样的国际黑客会议,很容易证明候选人是如何充满激情的对待安全与黑客文化的。黑客界有各种各样的主题和比赛,这将给与会人员带来新的收获。
*参考来源:resources.infosecinstitute,FB小编东二门陈冠希编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)