Инженер в NAUMEN
· 29.12.2024 · ред.
Вопрос
Что важнее: скилл в прохождении собеседований или реальный скилл? Знание "зуммерского" или реальные знания и адаптация?
напишите коммент
33 коммента
· 31.12.2024
Приходилось "копать" по прошлому кандидатов из поколения миллениалов и зуммеров. По никнеймам, телефонам и все такое. 95% ничем себя не проявили в области ИБ. В прошлом игруны. Учились кое как. Профили с игровых форумов, смена однотипных должностей, своего github нет, наработок нет. Приспичило, полезли в ИБ. Либо отучились в вузе на ИБ, потом кардерство, потом их поймали, с уголовки как то соскочили и ушли в "белые хакеры". Помыкались по вендорам, прошли курсы тяп-ляп и решили что могут руководить. В хакерской тусовке их не знают и не слышали про них. Остальное как по шаблону. Начитались habr, где то их пристроили, ситуация с ИБ потребовала практических знаний, с работы их пнули и они пошли искать счастья через болтовню на собесах, перебирая госконторы. И так по кругу.
ответить
коммент удалён
· 31.12.2024
Ну в некоторых конторах как раз и требуется не светиться в "узких" кругах, но знать, как от них защититься. Но, безусловно, если знаешь реальный пентест, то будешь знать, как предотвратить
ответить
ответ удалён
· 31.12.2024
"Не светиться", я такое уже видел. Разбирая материалы с компьютера бывшего руководителя ИБ гос организации. Уволенного за то что пошифровали организацию. Весь комп завален копиями статей с habr. PDF документами "как стать хакером за месяц, как освоить metasploit за неделю, как работать с nmap” и так далее. Ссылки на новости по ИБ, рассылки ФСТЭК и НЦКИ. И никаких реальных планов мероприятий по защите сети. Никаких результатов по внутренней работе с сетью, аудиту уязвимостей, парольному аудиту, верификации по результатам пентеста от PT. Ничего вообще. Зато накачана куча общедоступного материала с форумов, куча беджиков с выставок. И пошифрованные сервера организации. Если решили "не светиться", пусть приглашают эксперта который будет "светиться" везде где надо, чтоб вовремя поймать начало атаки. Проще говоря надо "вариться" во всем этом, не отсвечивая кто вы.
ответить
ответ удалён
· 31.12.2024
Подходы к ИБ могут быть разными, в зависимости от целей организации. Я к тому, что необязательно (хотя, желательно) быть пентестером, чтобы защититься. Достаточно хорошо представлять собственную инфру, знать её узкие места, чем и что перекрыто, иметь в арсенале средства резервного копирования и восстановления работоспособности, а также понимать, что абсолютно защищенной системой хранения информации является головной мозг человека без языка, ушей, рук и глаз, но и то это пока)
ответить
ответ удалён
· 31.12.2024
Не призываю быть пентестером. Должно быть понимание специфики профессии. Что делать, когда делать. Простой пример с собеса. Спрашиваю господ из СДЭК - "скажите, перед тем как вас сломали, вы требовали у хакера сертификат об образовании, на право взлома вашей организации ?". В том то и дело, что все сдвинулось в область практики, навыков. Господа из 404 не дадут соврать. Они регулярно пентестят наши заводы, учебные заведения и госсектор. А набирают в тот же госсектор всех этих попугаев с сертификатами.
ответить
ответ удалён
ответ удалён
· 31.12.2024
Простой пример, любая госконтора. Собес проходит претендент на рук управления. Скачет шутом гороховым, шутки-прибаутки, сертификаты и рекомендации. Начинаю спрашивать реальный скилл, все поплыл: тут не помню, тут не делал, тут за меня будут делать - найму на hh. И что с этим 35 летним дебилом делать ?, работать вместе и учить с 0 ?. Нет спасибо.
ответить
коммент удалён
· 31.12.2024
Солидарен, что такое очень даже может быть, но как показывает практика, Ваш простой пример, увы, далёк от реальности. За все время пребывания в "простом примере" мною управляли непосредственно квалифицированные руководители только полтора раза. Ну и иногда таки стоит взять на себя такой риск, но если кроме шуток-прибауток полезной инфы ноль, а здравых рассуждений и того меньше, то, безусловно, никакими сертификатами дыру в управлении не закроешь
ответить
ответ удалён
· 31.12.2024
Ок, давайте посмотрим насколько мой пример далек от реальности. Раз в неделю, меня приглашают разбирать инциденты с шифровальщиками. На встречу приходит нач управления ИБ. Который не то что не понимает о чем речь. Он максимум что делал, документы ФСТЭК распечатывал. Вот весь его опыт работы в ИБ. Он ходит на PHD, семинары PT, увешан беджиками с выставок как новогодняя елка. Почитывает статьи с habr чтоб поддержать беседу. Но реально спасти свою организацию не смог. Потому что никогда не занимался практической ИБ. Бумажной да. Но не более. И вот пришло новое поколение, любителей поговорить и поруководить. Иначе бы не было такого вала инцидентов ИБ.
ответить
ответ удалён
· 31.12.2024
Дак вот я про то же) но, увы, их очень много, и необязательно на руководящих должностях, любителей поговорить, обвешанных сертификатами
ответить
ответ удалён
коммент удалён
· 30.12.2024
Т.е — ты не сможешь в адаптацию без знания зумерского лингуаге
ответить
ответ удалён
· 31.12.2024
Кновледге из повер, бат самтаймз аж слух режет, хау коверкают лангуаге-оригинал)
ответить
ответ удалён
ответ удалён
ответ удалён
· 30.12.2024
Я бы этот вопрос «что важнее скилл проходить собеседование или реальный скилл» задавал бы hr в конце собеседования глядя ей прямо в глаза 👀
ответить
коммент удалён
· 30.12.2024
Реальный скилл важнее даже выглядит когда о нем идёт речь, не то что звучит. Надо написать нейросеть, которая будет как плагин в браузере простая в подключении, измерять меру продуктивности и помогать в развитии комментируя шаги в рабочих процессах, чтобы болтать не пришлось на собеседованиях, а сразу показывать скиллы. Только систему уникальности шифрования ключей доступа на уровне банков или ещё сложнее писать придется. Желающих устроиться в сбер больше чем желающих его ограбить... Ловите идею для стартапа))
ответить
коммент удалён
коммент удалён
· 30.12.2024
Да даже если собес идет больше чем планировалось и кажется, что все идет успешно - это не гарантия. У меня были ощущение, что все хорошо и придется выбирать. По факту один отказ и по второму осбесу вообще без ответа.
ответить
ответ удалён
· 31.12.2024
Потому что вы оказались сильным кандидатом. А значит вы угроза бездельникам на руководящих должностях. На вашем фоне они будут выглядеть дураками. Вот поэтому вам отказали.
ответить
ответ удалён
коммент удалён
ответ удалён
· 29.12.2024
Предположу, что тут иметь значение будут деньги. Потому что если есть 💰 💰 💰, то уже ни первое, ни второе не имеет значения. И даже наверно так: если нет нужды в деньгах, то нужен ли вообще выбор между первым и вторым?
ответить
коммент удалён
· 29.12.2024
Скилл в прохождении собесов и удача - особенно в снг странах, потому что собеседователи в снг странах сами задают вопросы и нет структурированного собеса обычно . У меня было так что собес длился 2 часа без разбивки на секции . Это скрининг hr + техничка, причем техничка абсолютно по всем стекам и нюансам. Особенно смешно когда спрашивают как под капотом работает базовая функция языка или как идет интерпретация… Да и есть фирмы которые натаскивают на собесы , а в практике 90 процентов того что спрашивали не применяется
ответить
коммент удалён
· 29.12.2024
Вот это то и добивает) И складывается ощущение, что совершенно неважно, какой у тебя был опыт, какие реальные знания и скиллы имеются, гораздо важнее, как успешно ты себя продаёшь и преподносишь :/
ответить
ответ удалён
ответ удалён
· 31.12.2024
Еще немного напишу чтоб совсем не засорять тему. Практический пример приема на работу эксперта WebSec с функционалом пентестера нацеленного на AD security. Спрашиваю, сейчас вас берем на работу, что нужно вам для работы, что дать ?. Ноут, комп стационарный, какое ПО ?. Тот кто в деле с вероятностью 80% ответит: "ноут с Kali, на стационарный комп ничего, он офисный для документов. WiFi антенну, Burp Suite Pro, VmWare". Это все что нужно. И человека можно брать не глядя. Ставить ему задачи и сроки. Все остальное он найдет, доставит, настроит и раскопает если надо.
ответить
коммент удалён
· 31.12.2024
Я для работы тоже хотел просто kali поставить) Ну и стационар тоже, кстати, необязательно, можно развернуть ещё одну виртуалку для бумажек) ну я бы для проформы ещё спросил про nmap, wireshark и tcpdump с strace, curl и telnet)
ответить
ответ удалён
· 31.12.2024
Не надо углубляться в сетевой стек, он с этим будет работать мало. Эксперт будет копать AD, проверять стойкость паролей, писать скрипты на bash, и встречать рассвет с Burp. Strace это уход в реверс, не нужно это.
ответить
ответ удалён
· 31.12.2024
В 90% случаев скорее да, но не одной AD ИБ строится
ответить
ответ удалён
· 31.12.2024
По своему опыту могу сказать, не всегда IT готов принять безболезненно результаты работы ИБ. Все должно быть постепенно, системно. Усиливать защиту постепенно.
ответить
ответ удалён
· 31.12.2024
Я бы согласился с вами. Но господа из 404 и Ransom с вами не согласны.
ответить
ответ удалён
· 31.12.2024
Ну вполне вероятно, что эти товарищи не будут публично говорить обо всём, что может и как нагнуть инфру.
ответить
ответ удалён