需要为安全工程师候选人创建面试环境
需要为安全工程师候选人创建面试环境
提问于 2018-01-11 09:49:30
我在一家中等规模的初创公司做DevOps工程师,我们需要聘请一名安全工程师。因为我从来没有这样做,公司要求我创造一个环境,安全工程师候选人应该完成他的任务,作为选择过程的一部分。
我对安全有一点了解,但我不知道如何设置环境。
候选人应具备的要求是:
- 渗透试验
- AWS安全实践
- 演示了安全工程、计算机和网络安全、身份验证和安全协议以及应用密码学方面的技术知识。
- 了解JVM和最佳安全实践
- 广泛了解安全工具集,包括IDS/IPS、SIEM
- CTF竞赛经验
你有什么建议?我的意思是,你是否建议建立IDS,蜜罐,服务中断等等。应聘者应该把重点放在哪些任务上?
回答 1
Security用户
回答已采纳
发布于 2018-01-11 12:16:36
2.可能的办法(这些办法是基于候选人是“蓝色”-防御安全-还是“红色-进攻性安全”):
- 提供AWS帐户,然后要求候选人创建一个最小的安全java应用程序(这意味着在AWS中创建一个linux在AWS控制台中保护它> linux >如何保护它(甚至可以是网络级别的考虑因素,比如TIME_WAIT会话)> webserver > app服务器/ Java运行时> JVM安全性>应用程序安全性> IDS/SIEM,等等)。
- 为了更有攻击性--创建一个易受攻击的JAVA应用程序(如果您坚持使用JAVA)或DWVA,并要求他绘制攻击面或查找漏洞>,然后从应用层移动到分析服务器,可能会要求他使用通过应用程序黑客获得的知识(在某些模式下的DWVA有一个漏洞,您可以看到所有用户--您可能会留下一个用户w/唯一的密码保护登录shell)。闯入服务器后,问他如何掩盖自己的跟踪,以及如何实现某个目标(您需要预先确定目标,比如复制客户信息)。
这个答案应该会给你:
- 一个简单的框架来思考面试过程;
- 可以改进的起点;
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/177324
复制相关文章
相似问题
腾讯云开发者
