在前面，我们聊了怎么写简历，简历会让你获得面试机会，而接下来的几篇文章，会让通过面试获得岗位机会。你读过我之前关于这方面的介绍，你就会知道：LeetCode 、 HackerRank、THM或者国内的SRC，并不是也不 相当于网络安全面试的平替。这意味着，实际上并没有一个网站专门为潜在的面试候选人提供资源。

就好像，大家都在说网络安全市场职位空缺几百万但到处都在裁人，裁的人是不合适还是不属于空缺内容？是一直不符合要求，或是没有匹配企业需求的发展。当然，这并不是说网络安全岗位面试变得更不容易或令人畏惧，只是说，相比较其他，目前可用的资源并不相同。

下面我们将讨论安全职位面试时可能会问到的问题（并非详尽无遗）。

我将为每个问题提供一个简短的可能答复，并为您留出空间来填写其余部分。

注意：这旨在作为安全面试的指南，但不能替代个人研究和准备。

解释漏洞、风险和威胁的区别。

    您在这里要做的是定义每个，然后为每个提供示例。深入探讨任何后续问题。

简而言之，这三个概念和原则可以概述如下。

漏洞：信息系统、系统安全程序、内部控制或实施中可能被威胁利用或触发的弱点。

风险：威胁的影响以及威胁发生的可能性对运营、公司资产或个人造成的不利影响程度。
（来源：NIST）

威胁：通过系统未经授权的访问、破坏、披露、修改信息，可能对运营、资产或个人产生不利影响的任何事件。

这也可以通过三只小猪的故事来概括。更多内容请参见此处。

解释一下 2FA。

双因素身份验证 (2FA) 是额外的安全层，用于确保尝试访问在线帐户的人是他们所声明的身份。

对于这样的问题，您需要能够解释多重身份验证以及哪些选项比其他选项更强大。

首先，用户将输入他们的用户名和密码。

然后，他们将被要求提供另一条信息。（他们知道的东西，他们拥有的东西，或者他们是什么）。

然后，您将给出 2FA 的示例以及为什么第二因素不相等。

CIA是什么？

“CIA ”中的三个字母分别代表机密性、完整性和可用性。

对于这个概念，您将概述 CIA 三元组的定义，解释每个定义，并给出每个定义的用例。

CIA 三合会是一种常用的框架，构成安全系统开发的基础。

保密性：保密性涉及确保数据保密或私密的努力。一个关键组成部分是确保防止未经适当授权的人员访问重要资产。

用例：静态加密。

完整性：完整性涉及确保您的数据值得信赖且不被篡改。仅当数据真实且准确时，才能保持数据的完整性。

用例：散列。

可用性：系统、网络和应用程序必须在应有的时间正常运行。有权访问信息的个人必须能够在需要时访问信息。

使用案例：S3 备份、DNS。

什么是AAA？

网络安全中的AAA代表身份验证、授权和计费。

您将概述 AAA 框架，并给出每个框架的用例。

身份验证：身份验证涉及用户提供有关其身份的信息。用户提供登录凭据以确认他们是他们所声称的人。

使用案例：2FA

授权：授权遵循身份验证。在授权期间，可以授予用户访问网络或系统的某些区域的权限。

用例：ACL

记账：记账通过跟踪会话长度、IP 地址以及访问的不同服务等信息来跟踪用户登录网络时的用户活动。

用例：SSO 日志

IAM

这个概念可以用进入场地或俱乐部的类比来概括。

例如，假设想要进入一个专属场所。你打扮得漂漂亮亮，打扮得漂漂亮亮的，你懂的。

您排队等待进入，并到达队列的前面。保安人员会要求您提供指定的邀请函，这将作为您的身份证件。这就是身份验证。为了证明你就是你所说的那个人。

从这里开始，保安人员要么让你进去，要么不让你进去。这就是授权。您被授予某些特权，例如进入场地。

最后，入口处有安全摄像头，里面也有一些。
这是会计。记录某些用户活动，例如进入/退出的时间戳。

网络安全中的这种框架和思维模型：身份验证、授权和审计对于思考大局至关重要，并从那里能够放大更细微的问题。

您将如何使用 MITRE ATT&CK？

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。该知识库被用作私营部门、政府以及网络安全产品和服务社区开发威胁模型和方法的基础。

就其价值而言，它是科技公司使用的事实上的标准。

这是适用于 Linux 主机的 MITRE ATT&CK

下面是 MITRE ATT&CK 颜色编码，用于显示警报覆盖进度的热图。

您可以看到 MITRE 为攻击场景提供的详细程度。

MITRE 的另一个很酷的事情是，他们为每个操作系统、移动操作系统、大多数云提供商都有矩阵，并且不断跟上网络安全的技术进步。

您需要熟悉 MITRE ATT&CK 以及如何在工作中使用它。

什么是 SIEM 及其用例？

安全信息和事件管理 (SIEM) 是一种安全解决方案，可提供环境中事件的实时日志记录。事件记录的实际目的是检测安全威胁。

SIEM 产品通常具有许多功能。SOC、DART 和 SecOps 人员感兴趣的是：过滤他们收集的数据以及为任何可疑事件创建警报的能力。

即使您没有 SIEM 工作经验，拥有开源平台ELK或 Splunk 免费版本的经验也会大有帮助。

您有什么项目可以参考吗？

如果您有任何项目要展示，请确保在面试前做好讨论准备。

您可以在此处展示您的公众号、知识星球、 Github、专利、软著等，还有正在撰写或曾经参与的论文、标准等作品集。这里的主要目标是让人们可以在某个地方参考你的工作和学习，类似于数学课上的“展示你的工作”。

在这里拥有一些东西对潜在雇主来说肯定会很好看，因为这表明你正在幕后投入工作。不用说，这只会有助于您的技能发展。

最后

    我知道国内白帽子很多出身于江湖，实战能力强，心高气傲，不屑于用正常的面试流程来获得工作机会，但是往上走，特别是个人名气和资源不足的时候，准备面试可能是一项很有意义和价值的任务，以上提出了几个小的概念，只是您在针对安全运营角色的网络安全面试中可能会被问到的一些问题。

在以后的文章中，我们将深入探讨采访中可以涵盖的场景，包括技术内容。这些将更适合中层角色。下一篇见。

原文始发于微信公众号（KK安全说）：网络安全面试三剑客1/3