Algumas perguntas essenciais da entrevista com analistas de segurança revelarão se um candidato possui as habilidades e características necessárias para essa função.
Considere o seguinte: você está entrevistando candidatos para um cargo de analista de segurança. Um é formado em história sem nenhuma experiência técnica formal. O outro possui um diploma avançado em ciência da computação, com foco em segurança cibernética, e 10 anos de experiência em ambientes de centros de operações de segurança e pentesting.
Qual candidato você contrata?
Se você é Keatron Evans, principal pesquisador de segurança do provedor de educação em segurança InfoSec, o especialista em história fica com o trabalho. Afinal, ao fazer as perguntas certas, Evans poderia ver através do currículo e das credenciais do candidato os traços de analista de segurança mais valorizados:
- Habilidades para resolver problemas;
- Curiosidade;
- Desejo de aprender;
- Uma paixão inata pela segurança cibernética.
A demanda por essa função está maior do que nunca. E essa é uma tendência que provavelmente continuará, com o Bureau of Labor Statistics dos EUA projetando que o emprego para analistas de segurança crescerá 31% de 2019-2029. Então, as perguntas para uma entrevista com analistas de segurança vão te ajudar a se manter à frente dessa curva, garantindo uma contratação bem-sucedida para essa função.
O que é TCP?
A maneira como alguém fala sobre tópicos como o handshake de três vias ou o padrão de comunicação TCP pode revelar muito sobre sua compreensão dos fundamentos de segurança.
No caso de Evans, a candidata inexperiente discutiu o TCP como se o tivesse estudado não apenas em um livro, mas também em um ambiente de computação. “Mesmo tendo a menor experiência de todos os candidatos, ela respondeu como se ela própria fosse a autora dos protocolos em questão, como o TCP”, diz ele.
Outros princípios básicos na entrevista com analistas de segurança incluem distinguir entre criptografia simétrica e assimétrica e descrever onde cada uma seria melhor usada. O mesmo vale para as anomalias que indicam um sistema comprometido ou como lidar com um ataque man-in-the-middle, diz Travis Lindemoen, diretor administrativo da prática de segurança cibernética no Nexus IT Group. “Você está atento aos processos em que eles foram treinados para remediar esse tipo de ataque”, diz ele.
No entanto, a familiaridade com a estrutura também é um detalhe revelador, diz Chuck Brooks, presidente da Brooks Consulting International e professor adjunto da Universidade de Georgetown, seja do NIST, SANS ou MITER. “Há muitos elementos nessas estruturas que fornecem um mapa a seguir para defesas básicas e gerenciamento de risco”, diz ele.
Como você lidaria com essa violação de dados?
O que realmente impressionou Evans, no entanto, foi como a candidata inexperiente que ele entrevistou (e acabou contratando) resolveu um problema técnico. Este exigia responder a 10 perguntas sobre como lidar com uma violação de dados. O exercício envolveu dois computadores:
- Um conectado ao ambiente de laboratório baseado em nuvem para fazer a tarefa;
- Outro conectado à internet para pesquisar as informações necessárias, como detalhes atualizados sobre uma exploração recente.
“Ela usou o computador de pesquisa com maestria, enquanto as pessoas mais experientes nem se deram ao trabalho de tocá-lo. Por esse motivo, a maioria deles perdeu as duas perguntas finais que precisavam ser respondidas na revisão dos pacotes e nos despejos de memória.”
Evans também exigiu intencionalmente que os candidatos dessem à máquina virtual um endereço IP estático para operar na rede – que eles só saberiam lendo as instruções. “Um candidato levou 15 minutos para parar de reclamar de que nada estava acessível e perceber que precisava seguir as instruções”, diz ele.
“Uma grande parte do trabalho do SOC é prestar atenção aos detalhes, bem como ler notas e processar informações coletadas por outros analistas.”
Como você faria a triagem desses alertas?
Como alternativa, na entrevista com analistas de segurança, um cenário de violação pode ser explorado conversacionalmente. Essa abordagem mais interativa pode destacar como o candidato pensa, se comunica e colabora. Contudo, os entrevistadores também podem adaptar as perguntas à medida que avançam (preenchendo informações, indo mais fundo, etc.) para combinar com o nível de experiência do candidato.
Porém, primeiro é importante estabelecer uma atmosfera confortável, pois uma pessoa nervosa pode ser difícil de interpretar, diz Dom Glavach, diretor de segurança e estrategista-chefe da CyberSN.
É por isso que Glavach começa perguntando sobre uma violação bem divulgada como o ataque SolarWinds em termos de indicadores de comprometimento (IOC), lições aprendidas ou a metodologia de ataque usada. “Mesmo que eles não estejam familiarizados com ele, eles podem levar alguns segundos para fazer uma pesquisa no IOC e SolarWinds”, diz ele. Isso reflete a realidade no trabalho de que os analistas de segurança não devem ser julgados por seu conhecimento imediato, mas por sua capacidade de avaliar rapidamente o risco e falar sobre soluções.
Crie cenários
Portanto, a partir daí, Glavach passa para a conversa do cenário, como: Segunda-feira de hoje. Você está tendo um ótimo fim de semana e viu dois alertas de login estranhos na noite anterior, de Nova York e San Francisco, com uma diferença de cinco minutos, um dos quais foi bem-sucedido. Você também detecta um Cobalt Strike e balizas no escritório ao sul. O que você precisa fazer para fazer a triagem?
O resto da conversa simula o que ocorreria no centro de operações de segurança (SOC) entre os colegas em termos de colaboração em ideias, compartilhamento de conhecimento, avaliação de quão terrível está a situação e o que deve ser feito para remediá-la. “Já ouvi respostas que revelam que o candidato não é tão experiente quanto seu currículo me fez acreditar”, diz ele. “Os currículos contam a história, mas a pessoa conta o romance.”
Qual é o seu primeiro passo depois de receber novas informações sobre ameaças?
Outra abordagem baseada em cenário se concentra no primeiro movimento que o candidato faria ou na primeira pergunta que faria quando, por exemplo, recebesse uma nova informação sobre ameaças ou um aviso sobre uma vulnerabilidade recém-descoberta em um sistema ou dispositivo.
Para Peter Gregory, diretor sênior de cibersegurança da GCI Communication Corp., a resposta na entrevista com analistas de segurança deve se concentrar em saber se a ameaça é relevante para a organização, “o que aponta imediatamente para a necessidade de gerenciamento eficaz de ativos para que os analistas de segurança possam obter rapidamente a resposta para isso”, diz ele. Então, mesmo que o candidato não esteja familiarizado com gerenciamento de ativos – o que, com base nas experiências anteriores de consultoria de Gregory, ele diz que muitas empresas fazem um trabalho ruim – eles devem indicar uma compreensão de quão valioso é o gerenciamento de ativos para a resolução de problemas.
Peça exemplos
Portanto, a questão “inicial” de Evans gira em torno do que fazer quando uma violação de dados compromete uma máquina específica. Um candidato menos experiente pode sugerir desligar a máquina e tirar uma imagem do disco rígido. Alguém com mais experiência se concentraria em fazer o diagnóstico de memória adequado – porque a maioria dos invasores avançados não grava no disco rígido – bem como na análise de pacotes de rede para determinar as origens da violação. “Desligar a máquina é uma técnica forense básica, mas não se concentra na resposta a incidentes”, diz Evans.
Outras boas respostas na entrevista com analistas de seguranças focam na importância de se alinhar com as políticas de resposta a incidentes em vigor. Ou, pelo menos, ter um diagrama de rede preciso representando onde estão os principais sistemas e dispositivos. “Uma grande parte da resposta a incidentes é conter o incidente. No entanto, você não pode conter se você não conhece os limites do ambiente”, diz Evans.
A segurança cibernética é seu trabalho ou seu estilo de vida?
Para aqueles que se destacam em segurança cibernética na entrevista com analistas de segurança, seu interesse no tópico não é uma coisa das 9 às 5; é uma paixão que permeia sua vida cotidiana. Para descobrir se é esse o caso, Lindemoen gosta de perguntar sobre a configuração da rede doméstica dos candidatos. “Procuro saber se eles estão usando WPA2 em vez de WPA e WEP e se configuram uma rede separada para quando os convidados usam sua rede sem fio doméstica”, diz ele. “São coisas simples, mas fornecem alguns insights sobre como eles pensam sobre a segurança em suas vidas pessoais.”
Não obstante, Lindemoen também pergunta sobre quais conferências de segurança cibernética eles mais gostariam de participar, se pudessem, e por quê. Ao invés de nomear uma conferência bem conhecida, “eles podem mencionar uma que está em um nicho em que estão focados ou pelo qual são verdadeiramente apaixonados.”
A participação na captura da bandeira (CTF) e em outros eventos e atividades relacionadas é outro bom barômetro. Como esses programas são gratuitos, eles podem revelar melhor a paixão do que as certificações caras. “Se houver um candidato sem certificações, mas ele participou de CTFs semelhantes a um DEFCON CTF ou SANS Holiday Hack, isso mostra que eles estão muito comprometidos”, diz ele. “Isso mostra um alto nível de curiosidade e compromisso com seu ofício.”
Na entrevista com analistas de segurança, Glavach também faz perguntas sobre o lado ofensivo da segurança cibernética e como um ataque funciona, incluindo a necessidade de colaboração entre os invasores. “Gosto de perguntar qual é o ataque favorito deles como defensor, ou o ataque mais fascinante sobre o qual eles já leram”, diz ele. “Afinal, todo mundo tem algo que os deixa super curiosos.”
Você pode completar uma frase sem usar uma palavra da moda?
Analistas de segurança bem-sucedidos também são pessoas que Gregory chama de “bilíngues”. Ou seja, capazes de falar tanto de uma perspectiva de tecnologia quanto de negócios.
“Eles precisam ser capazes de conversar com um executivo de negócios sem usar um único acrônimo de TI ou segurança ou chavão e se expressar facilmente em termos de negócios”, diz ele.
Para explicar a importância da gestão de ativos para um CFO, por exemplo, um analista de segurança bilíngüe poderia dizer: “Se soubéssemos o que temos, poderíamos perder menos tempo descobrindo isso quando uma nova ameaça aparecer e mais tempo protegendo este negócio”, afirma Gregory.
Então, Glavach avalia as habilidades de comunicação pedindo aos candidatos que primeiro descrevam um ataque bem divulgado como se estivessem conversando com um colega durante uma reunião diária do SOC. Ou seja, com o foco em compreender o que é necessário para se defender contra ele. Em seguida, ele pergunta ao candidato como ele transformaria essa mesma informação em uma campanha de conscientização para pessoas não técnicas no negócio. A conversa rapidamente se transforma em fazer isso sem usar palavras como “recheio de credencial” ou “reconhecimento”.
Outra tática é perguntar o que fazer se um executivo sênior solicitar que seu dispositivo doméstico seja configurado na rede corporativa, mesmo que isso seja contra a política da empresa, diz Lindemoen.
Estou procurando uma resposta diplomática que tente chegar à raiz do que o executivo precisa e esteja em busca de um ganha-ganha que não viole a política ou exponha a empresa a riscos externos”, diz ele.
O que você pode me dizer sobre IA em segurança?
Diante de um cenário de ameaças dinâmico e tecnologias emergentes, tanto do lado defensivo quanto ofensivo, os analistas de segurança precisam ser naturalmente curiosos e sempre dispostos a aprender mais.
“As pessoas têm a impressão de que você precisa de um programador especialista ou de alguém imerso em TI”, diz Brooks. “No entanto, esse não é necessariamente o foco da cibersegurança, que é realmente multifacetada. Envolve conseguir pessoas que possam aprender, porque as ameaças continuam mudando e se transformando. ”
Portanto, Brooks recomenda que na entrevista com analistas de segurança, se pergunte aos candidatos o que eles sabem sobre inteligência artificial e como ela é usada na dark web e para automatizar a detecção de ameaças. “Eu procuraria pelo menos uma compreensão elementar do que significa uma postura cibernética, para fortalecer as defesas e entender quais são as ameaças. Afinal, na era de hoje, a IA desempenha um papel muito importante e você precisa entendê-la porque você mesmo a usará.”
Como você teria lidado com o ataque do Oleoduto Colonial?
A cibersegurança é tanto uma arte quanto uma ciência. É por isso que os melhores contratados são pensadores criativos que não estão presos ao status quo. Então, uma ótima maneira de avaliar seu nível de inovação é perguntar o que o candidato teria feito de diferente ao se deparar com a mesma situação de um ataque bem divulgado, mesmo que seja com o benefício de 20:20 em retrospecto. “Isso me dá uma ideia de como suas ideias são perturbadoras, no bom sentido”, diz Glavach.
Você também pode delegar a responsabilidade de contratar analistas de segurança a uma empresa especializada. A Infonova, por exemplo, conta com um time qualificado e atualizado. No entanto, também pode fazer novas entrevistas com analistas de segurança dentro de um perfil especificado por você.
Sobre a Infonova
A Infonova já atendeu mais de 135 clientes dos mais diversos segmentos, desde corporate, governo, PME até indústria do entretenimento e saúde. Você pode conferir a lista completa de clientes satisfeitos da Infonova aqui.
A Infonova usa uma metodologia consolidada. Portanto, essa empresa de TI conta com depoimentos da maioria de seus clientes garantindo a qualidade do atendimento.
Em relação à confiança, a Infonova comprova sua transparência e seriedade logo no início do nosso contrato. Afinal, é quando realiza uma visita inicial de manutenção intensiva em todos os computadores da sua empresa e também servidores.
Inclusive, se você pedir, a Infonova oferece um mapeamento de todo seu ambiente de TI. Afinal, seu interesse é conhecer toda sua infraestrutura e, de cara, resolver todas as suas dores.
Resumindo, a Infonova faz um diagnóstico para identificar como está a sua TI. Então, avalia o que está bom, resolvemos o que está ruim e cria um projeto para o que é possível melhorar. Tudo isso sem custo. Ou seja, a Infonova conta com as melhores condições custo-benefício do mercado. Especialmente em relação a automação da infraestrutura em nuvem e outras inovações.
Perfil Infonova
A expertise da Infonova permite fornecer atendimento técnico local com escalas flexíveis definidas pelo cliente. Estas incluem:
- Atendimento por demanda;
- Disponibilização de equipes com 1 técnico local e retaguarda especializada;
- Equipes completas com até 200 profissionais qualificados para assumir parte ou toda a operação de TI.
Colaboradores
O trabalho executado pela equipe da Infonova é primoroso. Afinal, essa empresa de TI se preocupa com seus funcionários. Ou seja, a Infonova oferece participação nos lucros aos seus colaboradores a fim de mantê-los sempre motivados. Além disso, a contratação dos analistas é CLT Full, o que reduz o turnover e aumenta a confiança.
Soluções
Como a empresa de TI completa que é, a Infonova tem soluções voltadas para PMEs, Governo e Corporate. Todas compreendem modelos flexíveis com início rápido e transição sem dor.
Confira a seguir:
Para saber mais sobre os serviços da Infonova, entre em contato pelo (11) 2246-2875 ou clique aqui.
Se quer saber mais sobre o que nossos clientes têm a dizer sobre nossos serviços, baixe gratuitamente nossos cases exclusivos.
