Как проходит интервью Security Engineers
Техническое собеседование состоит из двух, иногда — трех секций. Делимся советами и материалами, которые помогут подготовиться
Для кого проводим секции
Security Engineers — инженеры с сильными техническими скиллами. Они отлично разбираются в доменной области информационной безопасности
Offensive
Работают в области оценки защищенности и проведения атак
Architects
Занимаются проектированием механизмов защиты и разработки стратегии
Security Business Partners
Помогают
DevSecOps
Занимаются развитием платформенных сервисов по безопасной разработке и автоматизацией контроля безопасности
Советы для подготовки
Включите камеру
Это поможет наладить контакт и лучше пройти собеседование
Проверьте интернет и технику
Вам предстоит читать код, поэтому собеседование лучше проходить не с телефона, а с ноутбука или компьютера
Используйте компьютер
Убедитесь, что интернет, динамики, микрофон и камера работают хорошо. Зарядите наушники и ноутбук, чтобы технические проблемы не отвлекали вас от решения задач
Старайтесь не подглядывать
Вам предстоит читать код, поэтому собеседование лучше проходить не с телефона, а с ноутбука или компьютера
Обратите внимание на тайминг
Ниже мы расскажем, сколько длится каждая секция. Если не получится уложиться в тайминг, мы можем пропустить некоторые вопросы — зачастую это не влияет на результат, но лучше успеть обсудить все
Сосредоточьтесь на технической части
Техническое собеседование проводят сотрудники, у которых нет прямого отношения к вакансии. Если у вас есть вопросы о команде и задачах, лучше задать их на следующем этапе, а мы с радостью ответим на вопросы о технологиях
Профильная секция по Core Security
Собеседование длится 60 минут
Проходит в формате
- Вас ждет набор технических вопросов. На каждый дается минута
- Цель секции — понять, в каких областях ИТ и ИБ вы разбираетесь лучше всего
- Если не знаете ответ — не страшно, вопросы можно пропускать. Мы будем смотреть на общий результат
Материалы для подготовки
Книги
- Компьютерные сети. Эндрю Таненбаум
- Windows Internals. Pavel Yosifovich, Alex Ionescu, Mark Russinovich, David Solomon
- How Linux Works. Brian Ward
- Threat Modeling: Designing for Security. Adam Shostack
- Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats. Alex Matrosov
- Windows Security Internals: A Deep Dive into Windows Authentication, Authorization, and Auditing. James Forshaw
Лабораторные
Профильная секция по Offensive
Длится 60 минут. Только для тех, кто проходит интервью по Offensive
Что будет на секции
Вас ждут 2—4 практические задачи на поиск векторов атаки. Задачи могут быть трех типов. По каждой из них можем дополнительно спросить, как вы исправили бы найденные уязвимости
Тип № 1
Провести ревью кода с точки зрения безопасности
Тип № 2
Обсудить логику триажа и оценить критичность тестового отчета BugBounty
Тип № 3
Обсудить векторы атак на описанную фичу приложения. В задаче можем дать описание ручек и
Материалы для подготовки
Профильная секция по Defensive
Длится 60 минут. Только для тех, кто проходит интервью по Defensive
Что будет на секции
Вас ждут 2—4 практические задачи на поиск векторов атаки. Задачи могут быть трех типов
Тип № 1
Провести ревью кода с точки зрения безопасности, найти уязвимости, описать способы их эксплуатации и типовые атаки
Тип № 2
Рассказать, как можно предотвращать атаки на системы и сервисы и устранить уязвимости. Спроектировать безопасную архитектуру сервисов
Тип № 3
Рассказать, как вы взаимодействовали бы с командами разработки и
Материалы для подготовки
- Книга The Tangled Web: A Guide to Securing Modern Web Applications. Michal Zalewski
- SAMM model
- Web Security Academy
Профильная секция по архитектуре
Длится 60 минут. Только для тех, кто проходит интервью по архитектуре
Что будет на секции
Вас ждут 2—4 практические задачи на дизайн продукта или фичи. Правильных ответов нет: мы смотрим на ход мыслей, кругозор и способность находить решения в нестандартных ситуациях
Пример задачи
Допустим, у нас есть умная колонка, которая может покупать билеты, заказывать такси и читать электронные письма. Мы попросим подготовить модель угроз, приоритизировать риски и предложить решения возможных проблем
Материалы для подготовки
- Building Secure and Reliable Systems Agile Application Security: Enabling Security in a Continuous Delivery Pipeline. Laura Bell
- SAMM model
- Web Security Academy
Финальное интервью с руководителем
Собеседование длится 60 минут
Интервью будет проходить с руководителем департамента
Подготовиться помогут советы на нашем сайте
Что будет на собеседовании
- Обсудим ваш опыт и практические кейсы, которые максимально близки к реальным задачам в
Т-Банке - Зададим вопросы на проверку хард- и
софт-скиллов
Подписывайтесь на Т-Банк
Код Желтый
Ютуб-канал
T-Crew
Блог на Хабре