唐'打击下一次IT安全工作面试

安全认证不会帮您找到工作。您需要证明自己确实知道如何确保公司安全

在当今的严重衰退中,以不断裁员为重心,也许很难相信良好的安全工作很难填补,但确实如此。或者,也许更准确地说,很难找到适合这些工作的安全人员。

最近,我为一名拥有大量IIS和Apache Web服务器的客户端雇用了一名Web安全分析师。在筛选出数百名缺乏经验的新天地棋牌之后,我选择了具有相关经验,学历和资历的六个人。 (我按顺序关心资格。)

[通过订阅InfoWorld的免费版本来了解IT安全新闻 安全中心通讯 。 |在寻找工作时需要更多建议吗?继续阅读 简历技巧。 ]

在与所有六位精心挑选的新天地棋牌进行面谈时,我惊讶地发现他们对Web安全一无所知。他们无法告诉我 XSS(跨站点脚本)攻击 以及跨域攻击。大多数人不知道如何加强基本的Web服务器操作系统,并且大多数人无法描述 SQL注入攻击。只有一个人知道如何使用安全帐户和应用程序池将不同的网站与其他网站隔离。令人欣慰的是,至少有两个人听说过 横幅广告 用于分发恶意软件。

当我通知应聘者意识到他们将负责跟上最新的ASP / ASP.Net和PHP攻击和漏洞时,所有人都对PHP或PHP应用程序存在任何漏洞表示惊讶。在第三位新天地棋牌说了这句话之后,我的下巴掉了下来。听到最后一位新天地棋牌的来信,我很沮丧。这些人住在哪里?他们在Facebook和Twitter以外阅读吗?

我最终聘用了唯一似乎真正对学习有关PHP漏洞感兴趣的新天地棋牌。我对这次采访模仿我几年前的采访感到沮丧。时代变了,但新天地棋牌的素质没有变。

更多相同
在我思考这些不幸的转折时,一位财富100强公司的首席运营官(CSO)值得信赖的朋友打电话来发泄完全相同的问题。这种CSO是我们任何人都想工作的老板类型。他是一个高于平均水平的聪明人,热爱计算机安全,保护自己的团队不受政治影响,并让其员工参与所有酷炫的玩具。加入该团队后,您将被其他智能安全专家所包围。这是一份梦salary以求的薪水。

因此,我的朋友成立了一家值得信赖的计算机安全猎头公司,为他们提供了所需新天地棋牌的资格,然后等待采访该农作物的预选奶油。他的发现?与我的完全一样。他对整个新天地棋牌群体的糟糕表现感到迷惑。他认为其中90%完全不合格。他非常厌倦了无法通过安全认证的人员回答基本问题,而且我们也不在谈论火箭科学问题。

示例:“告诉我您所知道的 Conficker”大多数人回答说,他们对“ Conflicker”了解不多(请注意添加了“ l”),只是它感染了很多计算机并且被夸大了。另一个例子:“告诉我您要做的五件事“他希望他必须裁掉大多数新天地棋牌,以为他们有详尽的背诵技巧。哎呀,我可以列举五件事与之相关 密码政策 单独。相反,他们都没有提出五个项目。大多数只提出了两三件事。有人要求重复这个问题。是的,他没有得到这份工作。

雇用知识而不是证书
这些轶事使我更加相信安全认证不能保证新天地棋牌的整体素质。持有最受欢迎和被高估的第一名证书的人(您知道我在说的是哪一个)从足够到几乎毫无头绪。他们如何通过考试?

我会说,根据我的经验, SANS 认证课程往往会选出知识渊博的新天地棋牌。该组织是为数不多的正确做法之一。任何具有SANS证书的求职者都应给予特别考虑。

[找出哪个 IT认证很热门 在这个很酷的工作市场上。 ]

如果您正在申请一份安全工作,请在出台之前充分了解该工作。找出公司运行的操作系统和应用程序(不,未经允许请勿进行笔试和枚举),以及首选哪种安全工具。为任何与安全性有关的问题做好准备。提前练习。研究与所涉及平台有关的安全问题和恶意软件。最后,当被问到一个您应该知道的问题时,不要被鹿头灯所吸引。而是准备好答案。提出一些很好的一般性回答,可以很好地解决任何一般性安全性问题,但不要使它们过于含糊,以至于面试官知道您在回避。

另外,不要拘泥你的前雇主。批评任何产品或平台,直到您知道您的面试官对此有何看法都一样。侮辱面试官最喜欢的技术不会为您赢得任何加分。

另一个提示:不要在吹嘘自己的黑帽,非法利用行为之前,要先确定自己的雇主是否愿意雇用恶意黑客。 (不是大多数。)最后,如果招聘经理告诉您公司将在雇用过程中进行例行的法律背景检查,请不要问它是州还是联邦政府。如果这样做,可能两者都会。

归根结底,我们俩都聘用的新天地棋牌是这一领域中知识最丰富的。您可以说,无论是喜欢的网站还是安全书籍,它们都读得很好。大多数情况下,成功的新天地棋牌都对该科目充满热情。通过了。他们不只是在找工作;他们正在寻找具有特定目标和贡献的职业。

我的最后一条建议:如果您在反复面试后很难找到工作,也许是时候寻求专业面试建议或与一个诚实的朋友进行虚假面试了,他要诚实地告诉您真相。

版权© 2009 IDG通讯,Inc.