【51CTO.com快譯】安全認(rèn)證不會(huì)給你一份工作，你需要向面試官證明你真的知道怎樣保護(hù)企業(yè)的安全。

世界經(jīng)濟(jì)處在嚴(yán)重衰退中，據(jù)51CTO之前報(bào)道，不少IT企業(yè)已經(jīng)或正在進(jìn)行大規(guī)模裁員，你可能很難相信會(huì)有好的IT安全工作還在等著你，但實(shí)際情況是，確實(shí)有不少好的IT安全崗位在那里等著，或者更精確地說，很難找到合格的安全人員。

我最近接受了一個(gè)任務(wù)，幫助一名客戶聘請(qǐng)一位網(wǎng)絡(luò)安全分析師，能夠管理大量的IIS和Apache Web Server。在篩選掉數(shù)百名缺乏經(jīng)驗(yàn)的候選人后，我選擇了六位候選人，他們具有合格的工作經(jīng)驗(yàn)、教育背景和證書（這正是我所關(guān)心的先后順序），邀請(qǐng)他們來參加面試。

然而在對(duì)這所有六個(gè)親自挑選的候選人的面試中，我卻驚訝地發(fā)現(xiàn)他們?cè)诤艽蟪潭壬喜涣私饩W(wǎng)絡(luò)安全。他們不能告訴我XSS（跨站點(diǎn)腳本）攻擊與跨域攻擊的區(qū)別。大多數(shù)人不知道如何對(duì)Web服務(wù)器操作系統(tǒng)的基礎(chǔ)進(jìn)行強(qiáng)化，大多數(shù)人無法描述SQL注入攻擊。只有一個(gè)人知道如何通過安全帳戶和應(yīng)用池來隔離不同的網(wǎng)站。說點(diǎn)積極的吧，至少有兩個(gè)人知道橫幅廣告會(huì)被惡意軟件利用。

【51CTO.com編者注：有興趣的讀者可以參看以下文章：《什么是跨站腳本（XSS）攻擊》、《圖文詳解網(wǎng)站SQL注入攻擊解決全過程》】

當(dāng)我告訴候選人們他們將負(fù)責(zé)讓ASP/ASP.Net和PHP的攻擊和漏洞保持更新，竟然所有人都對(duì)PHP會(huì)有漏洞表示了驚訝。在第三個(gè)人這樣表示后，我還只是驚訝而已。但聽到最后一位候選人也這樣說，我就只有沮喪了。他們生活在哪里？難道他們對(duì)Facebook和Twitter不關(guān)心嗎？

最終我選擇了那位真正想更多的了解一下PHP漏洞的人。我承認(rèn)自己倍受打擊，這與我?guī)啄昵白龅哪切┟嬖囃耆煌?。時(shí)代發(fā)生了變化，但候選人的質(zhì)量不應(yīng)該變化。

一個(gè)相同的例子

有一天在我回想起這件事的時(shí)候，一位在一家財(cái)富百?gòu)?qiáng)企業(yè)擔(dān)任CSO的朋友給我打電話來發(fā)泄他的不滿，我們正巧碰上了完全相同的問題。這位CSO是任何一位老板都想要的。他是一位卓爾不群的聰明人，喜歡計(jì)算機(jī)安全，懂得保護(hù)他的團(tuán)隊(duì)，也能讓手下嘗試所有時(shí)尚的東西。他的安全團(tuán)隊(duì)中需要一個(gè)人，這是份理想的工作，也有不菲的薪水。

我的朋友給一個(gè)值得信賴的計(jì)算機(jī)安全獵頭打電話，告訴他們理想人選的資格，并期待著在面試時(shí)能夠找到一位百里挑一的精英。他的結(jié)果呢？和我完全一樣。他幾乎對(duì)所有的候選人完全失望，他認(rèn)為百分之九十的人都不合格，而且疑惑這些獲得安全認(rèn)證的人為什么不能回答基本的問題。

例如：“告訴我你對(duì)Conficker的了解?！贝蠖鄶?shù)的回答是他們對(duì)“Conflicker”（注意多了一個(gè)“l(fā)”）并不知道太多，但它感染了大量計(jì)算機(jī)而且威脅有些言過其實(shí)。另一個(gè)問題：“告訴我你會(huì)做哪五件事情來強(qiáng)化Windows?！彼詾樗麜?huì)不得不打斷大部分候選人因?yàn)樗麄兛赡軙?huì)說的太多太細(xì)。（可以理解，比如只在密碼策略方面我就可以列出五件事）。而結(jié)果卻相反，竟然沒有一個(gè)人能提滿五條，最多只能說出兩三件。有一位候選人要求再說一遍問題，當(dāng)然，他最后沒有得到這份工作。

聘請(qǐng)的是知識(shí)，而不是證書

這些事讓我更堅(jiān)定的認(rèn)為，安全認(rèn)證并不能保證一個(gè)候選人的整體素質(zhì)。按理說目前最受歡迎的頭號(hào)證書（也是最被高估的，你知道我說的哪一個(gè)）的持有人應(yīng)該具有全方位的安全知識(shí)。但我懷疑他們是怎么通過考試的？

我要說的是，從我的經(jīng)驗(yàn)來看，SANS認(rèn)證往往會(huì)給你帶來知識(shí)豐富的候選人。他們是少數(shù)做法正確的組織之一，擁有SANS證書的人應(yīng)該首先考慮。

如果你申請(qǐng)安全工作，請(qǐng)先做足了解，然后再現(xiàn)身。要了解這家企業(yè)運(yùn)行的操作系統(tǒng)和應(yīng)用程序（當(dāng)然未經(jīng)允許的話還是不要記錄他們的電腦），以及首選的安全工具。準(zhǔn)備一下任何與安全有關(guān)的問題，提前進(jìn)行練習(xí)。研究相關(guān)平臺(tái)的安全問題和惡意軟件。最后，如果被問到一個(gè)你不知道答案的問題時(shí)，不要驚慌失措，可以從幾個(gè)大方面談一下安全問題，但也不要說的太含糊，讓面試官知道你是在回避。

另外，不要說前雇主的壞話。同樣也不要批評(píng)任何產(chǎn)品或平臺(tái)，侮辱面試官最喜歡的技術(shù)不會(huì)為你賺到額外積分。

另一項(xiàng)要注意的：不要吹噓你的黑帽子，還有你做過的非法攻擊，除非你發(fā)現(xiàn)雇主想要找的是一名黑客（絕大部分情況下不會(huì)）。

最終我們兩個(gè)聘請(qǐng)的都是一群候選人中相對(duì)最廣博的那位。你可以分辨出他們，他們閱讀廣泛，喜愛網(wǎng)絡(luò)和安全的書籍（有興趣的讀者可登錄51CTO讀書頻道閱讀安全圖書）。更主要的原因是，成功的候選人對(duì)崗位表現(xiàn)出了熱心。這是他們得以通過的最大原因。他們不僅是找工作，他們是在尋找一種職業(yè)，心中有具體的目標(biāo)和想法。

我最后的忠告是：如果你經(jīng)過多次面試還是難以贏得一份工作，也許應(yīng)該就面試技巧去請(qǐng)教一下專業(yè)人士，或者做些模擬的面試，當(dāng)然要找一個(gè)誠(chéng)實(shí)的朋友，他必須要跟你說實(shí)話。

【編輯推薦】

1. 專題：求職必殺技 決戰(zhàn)面試官
2. 專題：技術(shù)人求職簡(jiǎn)歷完備手冊(cè)
3. 專題：北漂技術(shù)人90天求職紀(jì)實(shí)

【51CTO.com譯稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：Don't blow your next IT security job interview   作者：Roger Grimes