Posibles preguntas en una entrevista para un puesto de seguridad informática / DFIR

Aquí y creo que de forma global, la ciberseguridad informática está en auge y eso se nota especialmente en el mercado laboral: afortunadamente las empresas cada vez demandan más puestos y, como consecuencia, hay un gran movimiento de personas incorporándose y cambiando en el mercado profesional.

Seguro que también os pasa a vosotros, cuándo un compañero algún día se tiene que irse antes por motivos personales enseguida saltan las "coñitas" del tipo "bueno, qué vaya bien en la entrevista" lol!

Para todos, para los que estén pensando en cambiarse o para los que se vayan a introducir en este mundillo, la prueba principal para incorporarse en una empresa sigue siendo la "entrevista". Y, aunque el formato y las preguntas suelen cambiar bastante incluso dentro de una misma empresa según la posición y el evaluador, siempre viene bien una batería de preguntas previas para prepararse.

Shankar Yadav con la ayuda de @Miss_Malware ha recopilado una lista bastante interesante dividida en categoría que seguro a más de uno hará reflexionar y/o prepararse mejor:

GENERAL
  • ¿Qué es DNS?
  • ¿Diferencias entre TCP y UDP?
  • ¿Cómo maneja HTTP el estado?
  • ¿TLS usa cifrado simétrico o asimétrico?
  • ¿Qué es "Riesgo"? ¿Qué es "Gestión de riesgos"?
  • ¿Qué parte del trío "confidentiality, integrity, and availability" de la CIA es la más importante?
  • Como Pentester, para ti ¿qué es más importante, ser un hax0r o hacer un buen trabajo?
  • ¿Cómo le explicarías a un usuario por qué no les damos administrador local en su máquina?
  • Responde verdadero o falso y explica tu respuesta: "La autenticación de dos factores protege contra el secuestro de la sesión".
  • Si fueras una amenaza, ¿cómo comprometerías a una organización en los tres dominios (físico, digital y humano)?
  • Nombra 3 protocolos de Internet que usan TCP, nombre 3 que usan UDP, Nombra 2 que no usan ninguno y en qué puerto se ejecutan.
  • Si estoy con mi portátil en la oficina y acabo de enchufar el cable de red. ¿Cuántos paquetes debe lanzar mi NIC para completar un traceroute a twitter.com?
  • ¿Cuál es la diferencia entre la codificación, el cifrado y el hash?
  • ¿Puedes describir que son las tablas rainbow?
  • Si tuvieras que cifrar y comprimir datos durante la transmisión, ¿qué harías primero y por qué?
  • En criptografía de clave pública, tienes una clave pública y privada, y a menudo realizas tanto funciones de cifrado como de firma. ¿Qué clave se usa para cada función?
  • ¿Cuáles son las ventajas que ofrecen los programas de bug bounty sobre las auditorías normales?
  • ¿Quién es más peligroso para una organización, las personas internas o las externas?
  • ¿A quién admiras en el campo de la seguridad de la información? ¿Por qué?
  • Acabas de entrar en el ascensor con el CEO y te pregunta, ¿qué tan seguros estamos? ¿Qué dices?
  • Tienes un presupuesto y recursos ilimitados. Dibuja la red corporativa más segura para la organización. Debe tener componentes específicos que incluyan pero no se limiten a: Internet, una subred de usuario, al menos un servidor de Active Directory, un servidor web (con base de datos de back-end) en Internet, un servidor de Recursos Humanos, WiFi para sus usuarios, una VPN, etc.

GESTIÓN DE VULNERABILIDADES Y PENETRATION TESTING
  • ¿Qué es Cross-Site Request Forgery?
  • ¿En qué categoría cae XXE?
  • ¿Cómo puede una inyección SQL derivar en ejecución remota de código?
  • ¿Cuál es el aspecto de seguridad más importante con los microservicios y las APIs?
  • Tengo una subred /24 de hosts en Internet que me gustaría que auditaras. Dime, en detalle, todos los pasos que deberás seguir para la evaluación.
  • En una auditoría acabas de comprometer un portátil Mac OS X dentro de una subred de usuario corporativo. Tu objetivo es obtener los hashes de Active Directory desde los servidores de AD. ¿Cómo se logra eso?
  • ¿Qué tipo de ataque se considera ARP Spoofing y cómo podría aprovecharlo en un test de intrusión?
  • Durante un pentest, encuentras una instancia de Outlook Web Access que pertenece al cliente. Describe cómo lo atacarías.
  • Estás realizando un pentest "onsite". No debes realizar ningún escaneo activo. ¿Cómo reunirías credenciales?
  • ¿Cómo apuntarías a una base de datos que sabes que se encuentra detrás de un servidor de salto con una dirección IP desconocida?
  • Describe el último programa o script que desarrollaste. ¿Qué problema resolvió?
  • ¿A qué tipo de ataques eres vulnerable cuando usas cifrado débil?
  • ¿Qué departamento de una organización es más probable que sea atacado primero?
  • ¿qué es lo que normalmente te encontrarás "a huevo" como pentester?
  • Describe tres de las formas más comunes en las que un atacante externo podría intentar obtener acceso a una red.
  • ¿En qué puerto se ejecuta ping?
  • ¿Cómo evadirías un IDS de red?
  • Dinos algunas cabeceras HTTP y por qué son tan importantes para un analista de seguridad.
  • Supongamos que tienes acceso físico a una máquina en un dominio corporativo que estas probando. Estás conectado pero no tienes credenciales para el dominio o la máquina local. También tienes tu portátil. ¿Cómo comenzarías a probar?
  • ¿Cuál es el propósito de "same origin policy" en relación con el modelo de objeto del documento?
  • Estás lanzando payload https reverse de meterpreter ontra un host que es vulnerable a tu ataque, pero una vez que escribes "explotar" no sucede nada después de lanzar el ataque, ¿cómo lo solucionarías? (O ¿qué cambiarías para obtener tu sesión de meterpreter?

ANÁLISIS FORENSE Y RESPUESTA ANTE INCIDENTES
  • ¿Cuál es la razón principal para no subir malware a VT?
  • ¿Qué evidencia de DFIR reúnes primero, y por qué?
  • ¿Por qué es esencial monitorizar DNS?
  • Supongamos que un usuario te envía un supuesto correo electrónico de phishing. ¿Cómo respondes y lo tratas?
  • Excluyendo "atomic" IoCs, brinda 3 ejemplos de cómo detectaría actividad maliciosa en la red.
  • ¿Qué porcentaje de malware "in the wild" crees que el AV puede detectar?
  • Explica por qué se necesita considerar el alcance en la etapa de "identificación" de IR.
  • ¿Cuál es el problema principal con el historial de bash como un artefacto forense, y el nombre de una manera de recrear parcialmente estos datos durante una investigación
  • ¿Cómo identificarás un archivo malicioso sin ejecutarlo?
  • ¿Cómo desempaquetas un malware? Además, ¿de cuántas maneras?
  • ¿Cómo intenta el malware evadir el análisis? ¿Cuáles son las formas?
  • Dado un binario, ¿cómo dirías que ha sido empaquetado y cómo averiguarías qué packer se usó?
  • Nombra al menos 3 escáneres de vulnerabilidades de diff y patrones para identificarlos
  • ¿Cómo validarías un falso positivo?
  • ¿Cómo se validaría un falso negativo?
  • ¿Cómo diseñarías y ejecutarías un plan de respuesta ante incidentes?
  • ¿Qué información incluirías en un informe de SOC?
  • Describe cómo funciona el handshake TCP
  • ¿Cuál es la diferencia entre un IDS y un IPS? Da ejemplos de cada uno.
  • Nombra cuatro tipos de registros DNS y lo que significan.
  • Recibes un informe de que el sitio web LAMP de tu empresa puede estar siendo DDoSeado. ¿Cómo lo investigas?
  • Digamos, le pedimos que implemente un nuevo SIEM, ¿cuál será tu enfoque?
  • Explicar la diferencia entre autenticación local y de red y guíame a través del proceso de autenticación.
  • ¿Cuáles serán tus principales fuentes de datos para detectar la actividad de una botnet?
  • ¿Cuál es una desventaja de la detección de malware basada en firmas?
  • Se ha informado de un incidente en el que se identificaba un host de empresa que se comunicaba con un host externo malicioso conocido. Los que respondieron al incidente ya bloquearon la comunicación y solicitaron el disco para la investigación forense. Eres el analista forense de turno... cuando llega el disco. ¿cómo vas a comenzar la investigación?
ANÁLISIS DE MALWARE, DESARROLLO DE EXPLOITS Y CRIPTOGRAFÍA
  • ¿Cómo evitarías ASLR?
  • ¿Cómo evitarías SafeSEH?
  • Explica el comportamiento y tu metodología de análisis de cualquier nueva APT
  • ¿Qué es DEP? ¿Cómo puede ser bypasseado?
  • Explica un archivo PE.
  • ¿Cómo funciona el keylogging?
  • ¿Qué es la inyección de código?
  • ¿Cuáles son las API utilizadas por el malware para conectarse al servidor?
  • ¿Cómo se puede descomprimir un malware y de cuántas maneras?
  • ¿De qué manera el malware intenta evadir el análisis?
  • Explica las técnicas Anti-Debugging empleadas por una macro maliciosa.
  • ¿Cuáles son los diferentes tipos de breakpoints, cuál es su uso y cuándo utilizar esos breakpoints?
  • Describe qué es el desbordamiento de búfer y cómo lo probarías.
  • Describe qué es SEH y cómo lo explotas?
  • Describe cómo los módulos y plugins de depuración pueden acelerar el desarrollo inicial de exploits
  • ¿Cómo funcionan las interrupciones en un depurador? ¿Cuáles son los códigos de operación para eso?
  • ¿Cómo funcionan las vulnerabilidades UAF?
  • Diferencia entre cifrado simétrico y asimétrico
  • En la criptografía de clave pública, ¿qué clave se utiliza para qué función (piensa en pública/privada y cifrado/firma)?
  • ¿Cuál de estos algoritmos es mejor que otros y por qué - AES-128, AES-196 y AES-256?
  • ¿Cuál es la diferencia entre el modo CBC y el modo de cifrado EBC?
  • ¿Qué es un ejecutable portable de Windows?
  • ¿Para qué se utiliza el registro ESP en la arquitectura Intel x86-32?
  • Durante la ejecución de una pieza de malware en un entorno de laboratorio virtual aislado, se observó que la muestra realizaba una solicitud HTTP GET para un archivo de texto. Debido a que el laboratorio está aislado de Internet, la muestra no recibió el archivo de texto. ¿Qué harías para avanzar en la investigación?

Fuente: https://www.deepshankaryadav.net/cyber-security-and-dfir-interview-questions/

Más preguntas en: https://github.com/WebBreacher/offensiveinterview

1 comentarios :

  1. buenas noches, me podrían compartir por favor las respuestas de las preguntas mencionadas anteriormente?

    ResponderEliminar