0
0
Você está entrevistando candidatos para uma posição de analista de segurança. Um deles é um curso de história sem experiência técnica formal. O outro tem um diploma avançado em ciência da computação, com foco em segurança cibernética, e 10 anos de experiência em ambientes de centros de operações de pentesting e segurança.
Qual candidato você contrata?
Se você é Keatron Evans, pesquisador principal de segurança do provedor de educação em segurança InfoSec, o curso de história consegue o emprego. Ao fazer as perguntas certas, Evans podia ver através do currículo e credenciais do candidato as características de analista de segurança mais valorizadas: habilidades de solução de problemas e resolução de problemas, curiosidade, desejo de aprender e uma paixão inata pela segurança cibernética.
A demanda por esse papel é maior do que nunca, uma tendência que provavelmente continuará, com o Bureau of Labor Statistics dos EUA projetando que o emprego para analistas de segurança crescerá 31% de 2019-2029. As perguntas da entrevista a seguir ajudarão você a ficar à frente desse curvo, garantindo que você faça uma contratação bem-sucedida de analistas de segurança.
O que é TCP?
Como alguém fala sobre tópicos como o aperto de mão de três vias ou o padrão de comunicações TCP pode revelar muito sobre sua compreensão dos fundamentos de segurança.
No caso de Evans, a candidata inexperiente discutiu o TCP como se tivesse estudado não apenas em um livro didático, mas também em um ambiente de computação. “Mesmo que ela tivesse a menor experiência de todos os candidatos, ela respondeu como se tivesse sido autora dos protocolos em questão, como o TCP,”, diz ele.
Outros conceitos básicos incluem distinguir entre criptografia simétrica e assimétrica e descrever onde cada um seria melhor usado, as anomalias que indicam um sistema comprometido ou como lidar com o ataque aman-in-the-middle, diz Travis Lindemoen, diretor administrativo da prática de segurança cibernética do Nexus IT Group. “Você está ouvindo os processos em que eles foram treinados para remediar esse tipo de ataque”, diz ele.
A familiaridade com a estrutura também é um detalhe revelador, diz Chuck Brooks, presidente da Brooks Consulting International e professor adjunto da Universidade de Georgetown, seja do NIST, SANS ou MITRE. “Há muitos elementos nessas estruturas que fornecem um mapa a seguir para defesas básicas e gerenciamento de riscos”, diz ele.
Como você lidaria com essa violação de dados?
O que realmente impressionou Evans, no entanto, foi como o candidato inexperiente que ele entrevistou (e finalmente contratou) resolveu um cenário técnico que exigia responder a 10 perguntas sobre como lidar com uma violação de dados. O exercício envolveu dois computadores – um conectado ao ambiente de laboratório baseado em nuvem para fazer a tarefa e um segundo conectado à Internet para pesquisar informações necessárias, como detalhes atualizados sobre um exploit recente.
“Ela usou o computador de pesquisa magistralmente, enquanto as pessoas mais experientes nem se incomodavam em tocá-las”, disse Evans. “Por esse motivo, a maioria deles perdeu as duas últimas perguntas que tiveram que ser respondidas ao revisar os pacotes e despejos de memória.”
Evans também exigiu intencionalmente que os candidatos dessem à máquina virtual um endereço IP estático para operar na rede – o que eles só saberiam lendo as instruções. “Levou 15 minutos para um candidato parar de reclamar que nada estava acessível e perceber que tinha que seguir as instruções”, diz ele. “Muito trabalho SOC está prestando atenção aos detalhes, bem como lendo notas e processando informações coletadas por outros analistas.”
Como você faria a triagem desses alertas?
Alternativamente, um cenário de violação pode ser explorado conversacionalmente. Essa abordagem mais interativa pode destacar como o candidato pensa, se comunica e colabora. Os entrevistadores também podem adaptar as perguntas à medida que avançam (preenchendo informações, aprofundando-se, etc.) para combinar com o nível de experiência do candidato.
Primeiro, porém, é importante estabelecer uma atmosfera confortável, pois uma pessoa nervosa pode ser difícil de ler, diz Dom Glavach, diretor de segurança e estrategista-chefe da CyberSN, uma empresa de carreira e pessoal focada em segurança cibernética.
É por isso que a Glavach começa perguntando sobre uma violação bem divulgada, como o ataque SolarWinds em termos de indicadores de compromisso (IOC), lições aprendidas ou a metodologia de ataque usada. “Mesmo que eles não estejam familiarizados com isso, podem levar alguns segundos para fazer uma pesquisa no COI e no SolarWinds”, diz ele. Isso reflete a realidade no trabalho de que os analistas de segurança não devem ser julgados por seu conhecimento imediato, mas por sua capacidade de avaliar rapidamente o risco e falar sobre remediações.
A partir daí, Glavach passa para a conversa de cenário, como: Segunda-feira de hoje. Você está saindo de um ótimo fim de semana e vê dois estranhos alertas de login na noite anterior, de Nova York e São Francisco, a cinco minutos um do outro, um dos quais foi bem-sucedido. Você também detecta uma Greve de Cobalto e faróis no escritório do sul. O que você precisa fazer para fazer a triagem disso?
O resto da conversa simula o que ocorreria no centro de operações de segurança (SOC) entre colegas, diz Glavach, em termos de colaboração em ideias, compartilhamento de conhecimento, avaliação de quão terrível é a situação e o que deve ser feito para corrigi-la. “Ouvi respostas que revelam que o candidato não é tão experiente quanto seu currículo me levou a acreditar”, diz ele. “Currículos contam a história, mas a pessoa conta o romance.”
Qual é o seu primeiro passo depois de receber nova inteligência contra ameaças?
Outra abordagem baseada em cenários se concentra no primeiro movimento que o candidato faria ou na primeira pergunta que faria quando, por exemplo, receberia uma nova inteligência contra ameaças ou um aviso sobre uma vulnerabilidade recém-descoberta em um sistema ou dispositivo.
Para Peter Gregory, diretor sênior de segurança cibernética da GCI Communication Corp. em Anchorage, Alasca, e ex-assessor de segurança cibernética, a resposta deve se concentrar em saber se a ameaça é relevante para a organização, “o que aponta imediatamente para a necessidade de gerenciamento eficaz de ativos para que os analistas de segurança possam obter rapidamente a resposta para isso”, diz ele. Mesmo que o candidato não esteja familiarizado com o gerenciamento de ativos – que, com base nas antigas experiências de consultoria de Gregory, ele diz que muitas empresas fazem um trabalho ruim – eles devem indicar uma percepção de quão valioso é o gerenciamento de ativos para a resolução de problemas.
A pergunta do “primeiro movimento” de Evans gira em torno do que fazer quando uma violação de dados comprometeu uma máquina específica. Um candidato menos experiente pode sugerir desligar a máquina e tirar uma foto do disco rígido. Alguém com mais experiência se concentraria em fazer diagnósticos de memória adequados – porque a maioria dos atacantes avançados não grava no disco rígido – bem como na análise de pacotes de rede para determinar as origens da violação. “Desligar a máquina é uma técnica forense básica, mas não está focada na resposta a incidentes”, diz Evans.
Outras boas respostas se concentrariam na importância de alinhar com as políticas de resposta a incidentes que estão em vigor ou ter um diagrama de rede preciso representando onde estão os principais sistemas e dispositivos. “Uma grande parte da resposta a incidentes está contendo o incidente, e você não pode conter se não conhecer os limites do ambiente”, diz Evans.
A segurança cibernética é o seu trabalho ou seu estilo de vida?
Para aqueles que se destacam em segurança cibernética, seu interesse no tópico não é uma coisa de 9 a 5; é uma paixão que permeia suas vidas cotidianas. Para descobrir se esse é o caso, Lindemoen gosta de perguntar sobre a configuração da rede doméstica dos candidatos. “Eu procuro se eles estão usando WPA2 vs. WPA e WEP e se eles configuram uma rede separada para quando os hóspedes usam sua rede sem fio doméstica”, diz ele. “São coisas simples, mas fornecem algumas informações sobre como eles pensam sobre segurança em suas vidas pessoais.”
Lindemoen também pergunta sobre quais conferências de segurança cibernética eles mais gostariam de participar se pudessem, e por quê. Em vez de nomear uma conferência bem conhecida, “eles podem mencionar uma que esteja em um nicho em que estão focados ou pela qual são verdadeiramente apaixonados”.
A participação em eventos e atividades de captura-a-bandeira (CTF) e outras atividades cibernéticas de calistenia é outro bom barômetro, diz Glavach. Como esses programas são gratuitos, eles podem ser ainda melhores em revelar paixão do que certificações caras. “Se há um candidato sem certificações, mas que participou de CTFs semelhantes a um DEFCON CTF ou um SANS Holiday Hack, isso me mostra que eles estão muito comprometidos”, diz ele. “Isso mostra um alto nível de curiosidade e compromisso com seu ofício.”
Glavach também faz perguntas sobre o lado ofensivo da segurança cibernética e como um ataque funciona, incluindo a necessidade de colaboração entre os atacantes. “Gosto de perguntar qual é o ataque favorito deles como defensor, ou o ataque mais fascinante sobre o qual eles leram”, diz ele. “Todo mundo tem algo sobre o qual estão super curiosos.”
Você pode completar uma frase sem usar uma palavra-chave?
Analistas de segurança bem-sucedidos também são pessoas que Gregory chama de “bilíngües”—capazes de falar tanto do ponto de vista tecnológico quanto dos negócios. “Eles precisam ser capazes de conversar com um executivo de negócios sem usar um único acrônimo ou chavão de TI ou segurança e se expressar facilmente em termos comerciais”, diz ele.
Para explicar a importância do gerenciamento de ativos para um CFO, por exemplo, um analista de segurança bilíngue poderia dizer: “Se soubéssemos o que tínhamos, poderíamos gastar menos tempo descobrindo isso quando uma nova ameaça aparece e mais tempo protegendo esse negócio”, diz Gregory.
Glavach avalia as habilidades de comunicação pedindo aos candidatos que primeiro descrevam um ataque bem divulgado como se estivessem conversando com um colega durante uma reunião diária do SOC, com foco em entender o que é necessário para se defender contra ele. Em seguida, ele pergunta ao candidato como ele transformaria essas mesmas informações em uma campanha de conscientização para pessoas não técnicas no negócio. A conversa rapidamente se torna sobre fazê-lo sem usar palavras como “recheio de credenciais” ou “reconhecimento”.
Outra tática é perguntar o que fazer se um executivo sênior solicitar que seu dispositivo doméstico seja configurado na rede corporativa, mesmo quando for contra a política da empresa, diz Lindemoen. “Estou procurando uma resposta diplomática que esteja tentando chegar à raiz do que o executivo precisa e esteja procurando um ganha-ganha que não viole a política ou exponha a empresa a riscos externos”, diz ele.
O que você pode me dizer sobre IA em segurança?
Diante de um cenário dinâmico de ameaças e tecnologias continuamente emergentes, tanto no lado defensivo quanto no ofensivo, os analistas de segurança precisam ser naturalmente curiosos e sempre dispostos a aprender mais.
“As pessoas têm a impressão de que você precisa de um codificador especialista ou alguém imerso em TI”, diz Brooks. “Mas esse não é necessariamente o foco da segurança cibernética, que é realmente multifacetada. Envolve conseguir pessoas que possam aprender porque as ameaças continuam mudando e se transformando.”
Brooks recomenda perguntar aos candidatos o que eles sabem sobre inteligência artificial e como ela é usada tanto na dark web quanto para automatizar a detecção de ameaças. “Eu procuraria pelo menos uma compreensão elementar do que significa para uma postura cibernética, fortalecer as defesas e entender quais são as ameaças”, diz ele. “Na era de hoje, a IA desempenha um papel tão grande e você precisa ter uma compreensão dela porque você mesmo a usará.”
Como você teria lidado com o ataque Colonial Pipeline?
A segurança cibernética é tanto uma arte quanto uma ciência, e é por isso que os melhores contratados são pensadores criativos que não estão presos ao status quo. Uma ótima maneira de avaliar seu nível de inovação é perguntar o que o candidato teria feito de diferente quando confrontado com a mesma situação que um ataque bem divulgado, mesmo que seja com o benefício de 20:20 retrospectiva. “Isso me dá uma ideia de como suas ideias são disruptivas, no bom sentido”, diz Glavach.
FONTE: CSO ONLINE