Доброго времени суток читателям! Нескольким пользователям форума стал интересен процесс прохождения собеседований, потому я расскажу в отдельной теме свою историю поиска работы и свой опыт прохождения собеседований. Пожалуй, начнем.
Немного предыстории. На момент написания статьи являюсь студентом 3-го курса по направлению, никак не связанном с информационной безопасностью.
Год назад я решил пойти путем изучения разных аспектов сферы ИБ через курсы вендора (не стану рекламировать, мне за это не платили
). Для ориентира, приведу пример. Вендором вашего сертификата могут быть компании Google, Microsoft, Huawei, Microtik, IBM, Cisco или организации, которые напрямую занимаются подготовкой специалистов, такие как EC-Council, GIAC etc. Выбор вендора упирается в ваше направление последующей сертификации (или просто прохождения курсов ради знаний, в чем я особо не вижу смысла без подтверждения скиллов) и финансовым положением.Далее пришло время попробовать устроиться на работу. После курсов я зарегистрировался на LinkedIn: здесь можно обзавестись и новыми связями, и найти новую работу. Заполнение профиля - это отдельная история, которая выходит за рамки этой статьи. В LinkedIn я и получил свое первое приглашение на собеседование (в личку мне написала рекрутер, мы договорились о времени и созвонились конфой с ней и тимлидом). Перед созвоном в голосовой связи меня набрала по телефону рекрутер, уточнила пару организационных моментов и спросила, что такое "пинг" и для чего применяется. Вакансия была что-то около InfoSec engineer, Blue Team, проще говоря.
Опустив все формальности, скажу, ожидаемо, прямо в конце собеседования я получил отказ, который аргументировался тем, что искали человека, на которого свалят бумажную волокиту, а я все же в большей степени технарь. Для должности технаря моих знаний было недостаточно. Вопросы были из рода основ (как я считаю), ничего сложного:
- Шифрование (симметрия, асимметрия, преимущества, недостатки, отличия, примеры, где применяется то или иное шифрование);
- Системы разграничения доступа (MAC, DAC, ABAC, RBAC etc) - здесь по сути ничего сложного, несколько аббревиатур из примера могут подходить к одной и той же системе разграничения доступа. Всего их 4 или 5. Одна комбинированная из предыдущих.
- OSI/ISO модель сетевого взаимодействия открытых систем. Не помню, был ли вопрос по ней конкретно на этом собесе, но на каждом последующем он был. Спрашивают обычно все 7 уровней, могут спросить два подуровня Data Link'a (2 уровень OSI) и погонять по протоколам, которые работают на разных уровнях.
- Без вопроса по ожидаемой ЗП не обходилось тоже ни одно собеседование. В этот раз его переформулировали в нечто: "Какие ваши ожидания по ЗП с момента устройства, через месяц, через год и через 5 лет?".
- Отличие TCP от UDP.
Среди русскоговорящих работодателей выделять особо нечего. Потому дальше хочу рассказать, как проходили собеседования в зарубежные компании. Первое сразу дроп, по скольку технарь сразу задал вопрос о моем бэкграунде в пентесте и реверс инжиниринге (я не занимался ни тем, ни другим и не планировал). Первая беседа с англоговорящим работодателем далась сложновато, но мы друг друга поняли, т.к. для него английский тоже не был родным.
Вспоминается интервью во французскую компанию, где девушка рекрутер неплохо так погоняла на технические вопросы. Из интересных вопросов:
- Сетевое оборудование (объяснить что за железка и для чего она нужна);
- Сетевые протоколы (самое излюбленное - связка HTTP + SSL, отличия протокола и его защищенной версии и для чего применять. Но также могут спрашивать по DNS и DHCP).
Когда я рассказывал историю про лабу со взломом сервиса удаленного доступа (ssh или telnet, давно было
) через эксплуатацию его уязвимости на собесе в Red Team спрашивали про уязвимость, которую эксплуатировал, инструменты, версию сервиса и подобные вещи, в которых я не силен, честно говоря.Резюмируя, скажу, что вопросы на Blue Team должности в большинстве своем пересекаются с Red Team вакансиями, если говорить о начальном уровне. Работодателю важно понимать, что потенциальный сотрудник знает хотя бы основы и они смогут говорить на "одном языке" с уже имеющейся командой. Вообще, всегда стоит смотреть на требования к идеальному кандидату. Большинство вопросов берется оттуда. Часто есть графа "Nice to have" или "Will be a plus". Да, описание таких вакансий в 85% на английском, потому хотя бы база должна быть.
В мае-июне я хочу попробовать пройти собеседование в компанию, куда в последнее время есть огромное желание устроиться, но там все упирается в переезд. Если будет что-то интересное, дополню эту статью или напишу в этой же теме.
Это моя первая статья, если будут где-то ошибки или неточности, пишите в обсуждении, поправлю.
Последнее редактирование модератором:
