0
0
Essas perguntas essenciais da entrevista revelarão se um candidato possui as habilidades e características necessárias para essa função de segurança
Mary Brandel, CSO
Você está entrevistando candidatos para um cargo de analista de segurança. Um é formado em história sem nenhuma experiência técnica formal. O outro tem um diploma avançado em ciência da computação, com foco em segurança cibernética, e 10 anos de experiência em ambientes de centros de operações de segurança e pentesting. Qual candidato você contrata?
Se você é Keatron Evans, Pesquisador de Segurança do provedor de educação em segurança InfoSec, o especialista em história fica com o trabalho. Ao fazer as perguntas certas, Evans poderia ver através do currículo e credenciais do candidato os traços de analista de segurança mais valorizados: resolução de problemas e habilidades para resolver problemas, curiosidade, desejo de aprender e uma paixão inata pela segurança cibernética.
A demanda por essa função é maior do que nunca, uma tendência que provavelmente continuará, com o Bureau of Labor Statistics, dos Estados Unidos, projetando que o emprego para analistas de segurança crescerá 31% de 2019-2029. As perguntas da entrevista a seguir o ajudarão a se manter à frente dessa curva, garantindo uma contratação bem-sucedida de analista de segurança.
O que é TCP?
A maneira como alguém fala sobre tópicos como o handshake de três vias ou o padrão de comunicação TCP pode revelar muito sobre sua compreensão dos fundamentos de segurança.
No caso de Evans, a candidata inexperiente discutiu o TCP como se o tivesse estudado não apenas em um livro, mas também em um ambiente de computação. “Mesmo tendo a menor experiência de todos os candidatos, ela respondeu como se ela própria fosse a autora dos protocolos em questão, como o TCP”, diz ele.
Outros princípios básicos incluem distinguir entre criptografia simétrica e assimétrica e descrever onde cada uma seria melhor usada, as anomalias que indicam um sistema comprometido ou como lidar com um ataque man-in-the-middle, diz Travis Lindemoen, Diretor Administrativo da Prática de Segurança Cibernética no Nexus IT Group. “Você está atento aos processos em que eles foram treinados para remediar esse tipo de ataque”, diz ele.
A familiaridade com a estrutura também é um detalhe revelador, diz Chuck Brooks, Presidente da Brooks Consulting International e Professor Adjunto da Universidade de Georgetown, seja do NIST, SANS ou MITER. “Há muitos elementos nessas estruturas que fornecem um mapa a seguir para defesas básicas e gerenciamento de risco”, diz ele.
Como você lidaria com essa violação de dados?
O que realmente impressionou Evans, entretanto, foi como a candidata inexperiente que ele entrevistou (e acabou contratando) resolveu um problema técnico que exigia responder a 10 perguntas sobre como lidar com uma violação de dados. O exercício envolveu dois computadores – um conectado ao ambiente de laboratório baseado em nuvem para fazer a tarefa e um segundo conectado à Internet para pesquisar as informações necessárias, como detalhes atualizados sobre uma exploração recente.
“Ela usou o computador de pesquisa com maestria, enquanto as pessoas mais experientes nem se deram ao trabalho de tocá-lo”, disse Evans. “Por esse motivo, a maioria deles perdeu as duas perguntas finais que precisavam ser respondidas na revisão dos pacotes e nos despejos de memória”.
Evans também exigiu intencionalmente que os candidatos dessem à máquina virtual um endereço IP estático para operar na rede – que eles só saberiam lendo as instruções. “Um candidato levou 15 minutos para parar de reclamar de que nada estava acessível e perceber que precisava seguir as instruções”, diz ele. “Uma grande parte do trabalho do SOC é prestar atenção aos detalhes, bem como ler notas e processar informações coletadas por outros analistas”.
Como você faria a triagem desses alertas?
Como alternativa, um cenário de violação pode ser explorado conversacionalmente. Essa abordagem mais interativa pode destacar como o candidato pensa, se comunica e colabora. Os entrevistadores também podem adaptar as perguntas à medida que avançam (preenchendo informações, indo mais fundo, etc.) para combinar com o nível de experiência do candidato.
Mas, primeiro, é importante estabelecer uma atmosfera confortável, pois uma pessoa nervosa pode ser difícil de interpretar, diz Dom Glavach, Diretor de Segurança e Estrategista-Chefe da CyberSN, uma empresa de carreira e recursos humanos focada em segurança cibernética.
É por isso que Glavach começa perguntando sobre uma violação bem divulgada como o ataque SolarWinds em termos de indicadores de comprometimento (IOC), lições aprendidas ou a metodologia de ataque usada. “Mesmo que eles não estejam familiarizados com ele, eles podem levar alguns segundos para fazer uma pesquisa no IOC e SolarWinds”, diz ele. Isso reflete a realidade no trabalho de que os analistas de segurança não devem ser julgados por seu conhecimento imediato, mas por sua capacidade de avaliar rapidamente o risco e falar sobre soluções.
A partir daí, Glavach passa para a conversa do cenário, como: Hoje é segunda-feira. Você está tendo um ótimo fim de semana e viu dois alertas de login estranhos na noite anterior, de Nova York e San Francisco, com uma diferença de cinco minutos, um dos quais foi bem-sucedido. Você também detecta um ataque de cobalto e balizas no escritório ao sul. O que você precisa fazer para fazer a triagem?
O resto da conversa simula o que ocorreria no centro de operações de segurança (SOC) entre os colegas, diz Glavach, em termos de colaboração em ideias, compartilhamento de conhecimento, avaliação de quão terrível está a situação e o que deve ser feito para remediá-la. “Já ouvi respostas que revelam que o candidato não é tão experiente quanto seu currículo me fez acreditar”, diz ele. “Os currículos contam a história, mas a pessoa conta o romance”.
Qual é o seu primeiro passo depois de receber novas informações sobre ameaças?
Outra abordagem baseada em cenário se concentra no primeiro movimento que o candidato faria ou na primeira pergunta que faria quando, por exemplo, recebesse uma nova informação sobre ameaças ou um aviso sobre uma vulnerabilidade recém-descoberta em um sistema ou dispositivo.
Para Peter Gregory, Diretor Sênior de Cibersegurança da GCI Communication Corp., e ex-consultor de cibersegurança, a resposta deve se concentrar em saber se a ameaça é relevante para a organização, “o que aponta imediatamente para a necessidade de gerenciamento eficaz de ativos para que os analistas de segurança possam obter rapidamente a resposta para isso”, diz ele. Mesmo que o candidato não esteja familiarizado com gerenciamento de ativos – o que, com base nas experiências anteriores de consultoria de Gregory, ele diz que muitas empresas fazem um trabalho ruim -, eles devem indicar uma compreensão de quão valioso é o gerenciamento de ativos para a resolução de problemas.
A questão “inicial” de Evans gira em torno do que fazer quando uma violação de dados compromete uma máquina específica. Um candidato menos experiente pode sugerir desligar a máquina e tirar uma imagem do disco rígido. Alguém com mais experiência se concentraria em fazer o diagnóstico de memória adequado – porque a maioria dos invasores avançados não grava no disco rígido – bem como na análise de pacotes de rede para determinar as origens da violação. “Desligar a máquina é uma técnica forense básica, mas não se concentra na resposta a incidentes”, diz Evans.
Outras boas respostas se concentrariam na importância de se alinhar com as políticas de resposta a incidentes que estão em vigor ou ter um diagrama de rede preciso representando onde estão os principais sistemas e dispositivos. “Uma grande parte da resposta a incidentes é conter o incidente, e você não pode conter se você não conhece os limites do ambiente”, diz Evans.
A segurança cibernética é seu trabalho ou seu estilo de vida?
Para aqueles que se destacam em segurança cibernética, seu interesse no tópico não é uma coisa das 9 às 5; é uma paixão que permeia sua vida cotidiana. Para descobrir se é esse o caso, Lindemoen gosta de perguntar sobre a configuração da rede doméstica dos candidatos. “Procuro saber se eles estão usando WPA2 em vez de WPA e WEP e se configuram uma rede separada para quando os convidados usam sua rede sem fio doméstica”, diz ele. “São coisas simples, mas que fornecem alguns insights sobre como eles pensam sobre a segurança em suas vidas pessoais”.
Lindemoen também pergunta sobre quais conferências de segurança cibernética eles mais gostariam de participar, se pudessem, e por quê. Em vez de nomear uma conferência bem conhecida, “eles podem mencionar uma que esteja em um nicho no qual eles estão focados ou pelo qual são verdadeiramente apaixonados”.
A participação em Capture The Flag (CTF) e em outros eventos e atividades cyber calisthenics é outro bom termômetro, diz Glavach. Como esses programas são gratuitos, eles podem revelar melhor a paixão do que as certificações caras. “Se houver um candidato sem certificações, mas ele participou de CTFs semelhantes a um DEFCON CTF ou SANS Holiday Hack, isso mostra que ele está muito comprometido”, diz ele. “Isso mostra um alto nível de curiosidade e compromisso com seu ofício”.
Glavach também faz perguntas sobre o lado ofensivo da segurança cibernética e como um ataque funciona, incluindo a necessidade de colaboração entre os invasores. “Gosto de perguntar qual é o ataque favorito deles como defensor, ou o ataque mais fascinante sobre o qual eles já leram”, diz ele. “Todo mundo tem algo que os deixa super curiosos”.
Você pode completar uma frase sem usar uma palavra da moda?
Analistas de segurança bem-sucedidos também são pessoas que Gregory chama de “bilíngues” – capazes de falar tanto de uma perspectiva de tecnologia quanto de negócios. “Eles precisam ser capazes de conversar com um executivo de negócios sem usar um único acrônimo de TI ou segurança ou chavão e se expressar facilmente em termos de negócios”, diz ele.
Para explicar a importância da gestão de ativos para um CFO, por exemplo, um analista de segurança bilíngue poderia dizer: “Se soubéssemos o que temos, poderíamos perder menos tempo descobrindo isso quando uma nova ameaça aparecer e mais tempo protegendo este negócio, ”Gregory diz.
Glavach avalia as habilidades de comunicação pedindo aos candidatos que primeiro descrevam um ataque bem divulgado como se estivessem conversando com um colega durante uma reunião diária do SOC, com o foco em entender o que é necessário para se defender contra ele. Em seguida, ele pergunta ao candidato como ele transformaria essa mesma informação em uma campanha de conscientização para pessoas não técnicas no negócio. A conversa rapidamente se transforma em fazer isso sem usar palavras como “recheio de credencial” ou “reconhecimento”.
Outra tática é perguntar o que fazer se um executivo sênior solicitar que seu dispositivo doméstico seja configurado na rede corporativa, mesmo que isso seja contra a política da empresa, diz Lindemoen. “Estou procurando uma resposta diplomática que tente chegar à raiz do que o executivo precisa e esteja em busca de uma situação vantajosa para ambas as partes, que não viole a política ou exponha a empresa a riscos externos”, diz ele.
O que você pode me dizer sobre IA em segurança?
Diante de um cenário de ameaças dinâmico e tecnologias emergentes continuamente, tanto do lado defensivo quanto ofensivo, os analistas de segurança precisam ser naturalmente curiosos e sempre dispostos a aprender mais.
“As pessoas têm a impressão de que você precisa de um programador especialista ou de alguém imerso em TI”, diz Brooks. “Mas esse não é necessariamente o foco da cibersegurança, que é realmente multifacetada. Envolve conseguir pessoas que possam aprender, porque as ameaças continuam mudando e se transformando”.
Brooks recomenda perguntar aos candidatos o que eles sabem sobre inteligência artificial e como ela é usada na dark web e para automatizar a detecção de ameaças. “Eu procuraria pelo menos uma compreensão elementar do que significa uma postura cibernética, para fortalecer as defesas e entender quais são as ameaças”, diz ele. “Na era de hoje, a IA desempenha um papel muito importante e você precisa entendê-la porque você mesmo a usará”.
Como você teria lidado com o ataque do Colonial Pipeline?
A cibersegurança é tanto uma arte quanto uma ciência, e é por isso que os melhores contratados são pensadores criativos que não estão presos ao status quo. Uma ótima maneira de avaliar seu nível de inovação é perguntar o que o candidato teria feito de diferente ao se deparar com a mesma situação de um ataque bem divulgado, mesmo que seja com o benefício de 20:20 em retrospectiva. “Isso me dá uma ideia de como suas ideias são perturbadoras, no bom sentido”, diz Glavach.
FONTE: CIO