50 سوال برتر مصاحبه امنیت سایبری
مقالات فنی
By ngadmin1 |
50 سوال برتر مصاحبه امنیت سایبری

این مطالب برای چه کسانی مفید است؟

مرور این سوالات علاوه بر اینکه برای مصاحبه های کاری کارشناسان امنیت سایبری مفید است، می‌تواند با ایجاد چارچوب امنیت سایبری برای دانشجویان، ، کارشناسان و سایر علاقه مندان در حوزه فناوری اطلاعات مفید باشد.

برترین سوالات مصاحبه امنیت سایبری

  1. رمزنگاری چیست؟
  2. تفاوت رمزگذاری متقارن و نامتقارن چیست؟
  3. تفاوت IDS و IPS چیست؟
  4. سه گانه CIA را توضیح دهید.
  5. رمزگذاری چه تفاوتی با هش دارد؟
  6. فایروال چیست و چرا استفاده می شود؟
  7. تفاوت بین VA (ارزیابی آسیب پذیری) و PT (تست نفوذ) چیست؟
  8. دست دادن سه طرفه (three-way handshake) چیست؟
  9. کدهای پاسخی که می توان از وب اپلیکیشن دریافت کرد چیست؟
  10. traceroute چیست؟ چرا استفاده می شود؟

 

سوالات مصاحبه امنیت سایبری به دو بخش تقسیم می شود:

بخش الف- سوالات مصاحبه نظری امنیت سایبری و

بخش ب – سوالات مصاحبه امنیت سایبری مبتنی بر سناریو.

 

بخش الف- سوالات مصاحبه امنیت سایبری نظری

  1. رمزنگاری چیست؟

رمزنگاری تمرین و مطالعه تکنیک هایی برای ایمن سازی اطلاعات و ارتباطات است که عمدتاً برای محافظت از داده ها در برابر اشخاص ثالثی است که داده ها برای آنها در نظر گرفته نشده است.

  1. تفاوت رمزگذاری متقارن (Symmetric) و نامتقارن (Asymmetric) چیست؟
مبنای مقایسه رمزگذاری متقارن رمزگذاری نامتقارن
کلید رمزگذاری کلید یکسان برای رمزگذاری و رمزگشایی کلیدهای مختلف برای رمزگذاری و رمزگشایی
کارایی رمزگذاری سریع است اما آسیب پذیرتر است رمزگذاری به دلیل محاسبات بالا کند است
الگوریتم DES، 3DES، AES و RC4 Diffie-Hellman  (دیفی-هلمن)، RSA
هدف برای انتقال داده های انبوه استفاده می شود اغلب برای تبادل امن کلیدهای مخفی استفاده می شود

 

  1. تفاوت IDS و IPS چیست؟

IDS یک سیستم تشخیص نفوذ است و فقط نفوذها را شناسایی می کند و مدیر باید مراقب جلوگیری از نفوذ باشد. در حالی که در سیستم IPS یعنی سیستم پیشگیری از نفوذ، سیستم نفوذ را تشخیص می دهد و همچنین اقداماتی را برای جلوگیری از نفوذ انجام می دهد.

 

  1. سه گانه CIA را توضیح دهید.

CIA مخفف Confidentiality, Integrity, and Availability (محرمانگی، یکپارچگی، دسترسی پذیری) است. CIA مدلی است که برای هدایت سیاست های امنیت اطلاعات طراحی شده است. یکی از محبوب ترین مدل هایی است که توسط سازمان ها استفاده می شود.

محرمانه بودن

اطلاعات باید فقط برای پرسنل مجاز قابل دسترسی و خواندن باشد. نباید توسط افراد غیرمجاز در دسترس باشد. در صورتی که شخصی برای دسترسی به داده ها از هک استفاده کند، اطلاعات باید به شدت رمزگذاری شوند، به طوری که حتی در صورت دسترسی به داده ها، خوانا یا قابل درک نباشد.

یکپارچگی

اطمینان از اینکه داده ها توسط یک نهاد غیرمجاز دچار تغییر نشده اند. یکپارچگی تضمین می کند که داده ها توسط پرسنل غیرمجاز خراب یا ویرایش نشده اند. اگر یک فرد/سیستم مجاز در حال تلاش برای اصلاح داده ها باشد و اصلاح موفقیت آمیز نبود، داده ها باید برگردانده شوند و نباید خراب شوند.

دسترسی پذیری

داده ها باید هر زمان که کاربر به آن نیاز داشته باشد در دسترس کاربر قرار گیرد. نگهداری از سخت افزار، ارتقاء منظم، پشتیبان گیری و بازیابی اطلاعات، تنگناهای (Bottlenecks) شبکه باید نظارت گردد.

 

  1. رمزگذاری چه تفاوتی با هش دارد؟

هر دو رمزگذاری و هش برای تبدیل داده های قابل خواندن به فرمت غیرقابل خواندن استفاده می شوند. تفاوت این است که داده های رمزگذاری شده را می توان با فرآیند رمزگشایی به داده های اصلی تبدیل کرد، اما داده های هش شده را نمی توان به داده های اصلی تبدیل کرد.  (Hash یک طرفه است)

 

  1. فایروال چیست و چرا استفاده می شود؟

فایروال یک سیستم امنیتی شبکه است که بر روی مرزهای سیستم/شبکه ​​تنظیم شده است که ترافیک شبکه را نظارت و کنترل می کند. فایروال ها عمدتاً برای محافظت از سیستم/شبکه ​​در برابر ویروس ها، کرم ها، بدافزارها و غیره استفاده می شوند. فایروال ها همچنین می توانند برای جلوگیری از دسترسی از راه دور و فیلتر محتوا باشند.

 

  1. تفاوت بین VA (ارزیابی آسیب پذیری) و PT (تست نفوذ) چیست؟

ارزیابی آسیب‌پذیری فرآیند یافتن نقص در یک سیستم یا شبکه یا نر م افزار هدف است. در اینجا، سازمان می داند که سیستم/شبکه ​​آنها دارای ایرادات یا نقاط ضعفی است و می خواهد این ایرادات را پیدا کند و عیوب را برای رفع آنها در اولویت قرار دهد.

تست نفوذ فرآیند یافتن آسیب‌پذیری‌ها روی هدف است. در این مورد، سازمان باید تمام اقدامات امنیتی را که می‌توانست به آن فکر کند تنظیم می‌کرد و می‌خواست آزمایش کند که آیا راه دیگری برای هک کردن سیستم/شبکه ​​آنها وجود دارد یا خیر.

  1. دست دادن سه طرفه چیست؟

دست دادن سه طرفه روشی است که در شبکه TCP/IP برای ایجاد ارتباط بین میزبان و کلاینت استفاده می شود. به آن دست دادن سه طرفه (three-way handshake) می گویند زیرا یک روش سه مرحله ای است که در آن کلاینت و سرور بسته ها را مبادله می کنند. سه مرحله به شرح زیر است:

  1. کلاینت یک بسته SYN (Synchronize) را به سرور ارسال می کند و بررسی می کند که سرور فعال است یا پورت های باز دارد.
  2. سرور بسته SYN-ACK را در صورتی که پورت های باز داشته باشد برای مشتری ارسال می کند
  3. کلاینت این را تأیید می کند و یک بسته ACK (Acknowledgment) را به سرور ارسال می کند.

 

  1. کدهای پاسخی که می توان از وب اپلیکیشن دریافت کرد چیست؟

1xx – پاسخ های اطلاعاتی 2xx – موفقیت                3xx – تغییر مسیر           4xx – خطای سمت کلاینت                         5xx – خطای سمت سرور

 

  1. traceroute چیست؟ چرا استفاده می شود؟

Traceroute ابزاری است که مسیر یک بسته را نشان می دهد. تمام نقاط (عمدتا روترها) که بسته از آنها عبور می کند را فهرست می کند. این بیشتر زمانی استفاده می شود که بسته به مقصد خود نمی رسد. Traceroute برای بررسی محل توقف یا قطع اتصال برای شناسایی نقطه خرابی استفاده می شود.

 

  1. تفاوت HIDS و NIDS چیست؟

HIDS (Host IDS) و NIDS (Network IDS) هر دو سیستم تشخیص نفوذ هستند و برای یک هدف کار می کنند، یعنی شناسایی نفوذها. تنها تفاوت این است که HIDS بر روی یک میزبان/دستگاه خاص تنظیم شده است. ترافیک یک دستگاه خاص و فعالیت های سیستم مشکوک را کنترل می کند. از طرف دیگر، NIDS بر روی یک شبکه راه اندازی شده است. ترافیک تمام دستگاه های شبکه را کنترل می کند.

 

  1. مراحل راه اندازی فایروال چیست؟
  2. نام کاربری/رمز عبور: رمز عبور پیش فرض را برای دستگاه فایروال تغییر دهید
  3. مدیریت از راه دور: ویژگی مدیریت از راه دور (remote administration) را غیرفعال کنید
  4. انتقال پورت (Port forwarding): ارسال پورت مناسب را برای برنامه های خاص پیکربندی کنید تا به درستی کار کنند، مانند سرور وب یا سرور FTP
  5. سرور DHCP: نصب فایروال در شبکه با سرور DHCP موجود باعث ایجاد تداخل می شود مگر اینکه DHCP فایروال غیرفعال باشد.
  6. لاگ نگاری (Logging): برای عیب‌یابی مشکلات فایروال یا حملات احتمالی، مطمئن شوید که گزارش‌گیری فعال است و نحوه مشاهده گزارش‌ها را درک کنید.
  7. سیاست ها: شما باید سیاست های امنیتی قوی داشته باشید و مطمئن شوید که فایروال برای اجرای آن سیاست ها پیکربندی شده است.

 

  1. رمزگذاری SSL را توضیح دهید

SSL (Secure Sockets Layer) یک فناوری امنیتی با استاندارد صنعتی است که اتصالات رمزگذاری شده بین وب سرور و مرورگر ایجاد می کند. این برای حفظ حریم خصوصی داده ها و محافظت از اطلاعات در تراکنش های آنلاین استفاده می شود. مراحل ایجاد یک اتصال SSL به شرح زیر است:

  1. یک مرورگر سعی می کند به وب سرور ایمن شده با SSL متصل شود
  2. مرورگر یک کپی از گواهی SSL خود را برای مرورگر ارسال می کند
  3. مرورگر بررسی می کند که آیا گواهی SSL قابل اعتماد است یا خیر. اگر قابل اعتماد باشد، مرورگر پیامی را به سرور وب ارسال می کند و درخواست ایجاد یک اتصال رمزگذاری شده را می دهد
  4. وب سرور یک تأییدیه برای شروع یک اتصال رمزگذاری شده SSL ارسال می کند
  5. ارتباط رمزگذاری شده SSL بین مرورگر و وب سرور انجام می شود

 

  1. چه مراحلی را برای ایمن سازی سرور انجام خواهید داد؟

سرورهای امن از پروتکل لایه سوکت های امن (SSL) برای رمزگذاری و رمزگشایی داده ها برای محافظت از داده ها در برابر شنود (interception) غیرمجاز استفاده می کنند.

در اینجا چهار راه ساده برای ایمن سازی سرور وجود دارد:

مرحله 1: مطمئن شوید که یک رمز عبور امن برای کاربران root و administrator خود دارید.

مرحله 2: کاری که باید انجام دهید این است که کاربران جدیدی در سیستم خود ایجاد کنید. این کاربران برای مدیریت سیستم مورد استفاده قرار می گیرند.

مرحله 3: دسترسی از راه دور را برای اکانت های پیش فرض root/administrator حذف کنید.

مرحله 4: مرحله بعدی این است که قوانین فایروال خود را برای دسترسی از راه دور پیکربندی کنید.

 

  1. نشت داده ها (Data Leakage) را توضیح دهید

نشت داده عبارت است از انتقال عمدی یا غیرعمدی داده ها از داخل سازمان به یک مقصد غیرمجاز خارجی. افشای اطلاعات محرمانه به یک نهاد غیرمجاز. نشت داده ها را می توان بر اساس نحوه وقوع به 3 دسته تقسیم کرد:

  1. نقض تصادفی: یک نهاد ناخواسته داده ها را به دلیل یک خطا یا اشتباه به یک فرد غیرمجاز ارسال می کند.
  2. نقض عمدی: نهاد مجاز داده ها را عمدا به یک نهاد غیرمجاز ارسال می کند.
  3. هک سیستم: از تکنیک های هک برای ایجاد نشت داده ها استفاده می شود.

با استفاده از ابزارها، نرم افزارها و استراتژی هایی که به عنوان ابزارهای DLP (Data Leakage Prevention) شناخته می شوند، می توان از نشت داده ها جلوگیری کرد.

 

  1. برخی از حملات سایبری رایج کدامند؟

در زیر برخی از حملات سایبری رایج که می توانند بر سیستم شما تأثیر منفی بگذارند، آورده شده است.

  1. بدافزار
  2. فیشینگ
  3. حملات رمز عبور
  4. DDoS
  5. شنود مرد میانی (Man in the Middle)
  6. دانلودهای آلوده (Drive-By Downloads)
  7. تبلیغ افزارهای آلوده (Malvertising)
  8. نرم افزارهای جعلی (Rogue)
  9. حمله Brute Force چیست؟ چگونه می توانید از آن جلوگیری کنید؟

Brute Force راهی برای یافتن اعتبار مناسب با آزمایش مکرر همه جایگشت ها و ترکیبی از اعتبارنامه های ممکن است. در بیشتر موارد، حملات brute force در جایی که ابزار/نرم افزار به طور خودکار سعی می کند با لیستی از اعتبارنامه ها وارد سیستم شود، به صورت اتوماتیک اجرا می شوند. راه های مختلفی برای جلوگیری از حملات Brute Force وجود دارد. بعضی از آنها عبارتند از:

  • طول رمز عبور: می توانید حداقل طول رمز عبور را تعیین کنید. هر چه رمز عبور طولانی تر باشد، پیدا کردن آن سخت تر است.
  • پیچیدگی رمز عبور: گنجاندن قالب های مختلف کاراکترها در رمز عبور، حملات brute force را سخت تر می کند. استفاده از رمزهای عبور حروفی-عددی همراه با کاراکترهای خاص و حروف بزرگ و کوچک باعث افزایش پیچیدگی رمز عبور می شود و شکستن آن را دشوار می کند.
  • محدود کردن تلاش برای ورود: می‌توانید برای تعداد ناموفق ورود به سیستم، محدودیت مثلا 3 بار را تنظیم کنید. بنابراین، هنگامی که 3 شکست متوالی در ورود وجود دارد، کاربر از ورود به سیستم برای مدتی محدود می شود، یا یک ایمیل یا OTP ارسال کنید تا دفعه بعد از آن برای ورود استفاده کند. از آنجایی که brute force یک فرآیند خودکار است، محدود کردن تلاش برای ورود به سیستم، فرآیند brute force را از بین می‌برد.
  1. اسکن پورت (Port Scanning) چیست؟

اسکن پورت تکنیکی است که برای شناسایی پورت های باز و سرویس های موجود در سرورهای وب استفاده می شود. هکرها از اسکن پورت برای یافتن اطلاعاتی استفاده می کنند که می تواند برای سوء استفاده از آسیب پذیری ها مفید باشد. مدیران از Port Scanning برای تأیید خط مشی های امنیتی شبکه استفاده می کنند. برخی از تکنیک های رایج اسکن پورت عبارتند از:

  1. Ping Scan
  2. TCP نیمه باز (Half-Open)
  3. TCP Connect
  4. UDP
  5. اسکن مخفیانه (Stealth Scanning)

 

  1. لایه های مختلف مدل OSI کدامند؟

یک مدل OSI یک مدل مرجع برای نحوه ارتباط برنامه ها از طریق یک شبکه است. هدف از یک مرجع OSI راهنمایی تولیدکنندگان و توسعه دهندگان است تا بتوانند محصولاتی توسعه دهند تا ارتباط دیجیتالی و برنامه های نرم افزاری بتوانند با هم کار کنند.

لایه های OSI در زیر آمده است:

 

لایه فیزیکی (Physical): مسئول انتقال داده های دیجیتال از فرستنده به گیرنده از طریق رسانه های ارتباطی.

لایه پیوند داده (Data Link Layer): انتقال داده ها به و از پیوند فیزیکی را کنترل می کند. همچنین مسئول رمزگذاری و رمزگشایی بیت های داده است.

لایه شبکه (Network): مسئول حمل و نقل و ارسال بسته ها و ارائه مسیرهای مسیریابی (routing) برای ارتباطات شبکه است.

لایه حمل و نقل (Transport): مسئولیت ارتباطات سرتاسر شبکه را بر عهده دارد. داده ها را از لایه بالا تقسیم می کند و به لایه شبکه می دهد و سپس اطمینان می دهد که تمام داده ها با موفقیت به انتهای گیرنده رسیده اند.

لایه جلسه (Session): ارتباط بین فرستنده و گیرنده را کنترل می کند. مسئول شروع، پایان و مدیریت جلسه و ایجاد، حفظ و همگام سازی تعامل بین فرستنده و گیرنده است.

لایه ارائه (Presentation): با ارائه داده ها در قالب و ساختار داده مناسب به جای ارسال دیتاگرام یا بسته های خام سروکار دارد.

لایه برنامه (Application): یک رابط بین برنامه و شبکه فراهم می کند. بر ارتباطات پروسس به پروسس تمرکز می کند و یک رابط ارتباطی را فراهم می کند.

 

  1. VPN چیست؟

VPN مخفف Virtual Private Network است. برای ایجاد یک اتصال امن و رمزگذاری شده استفاده می شود. هنگامی که از VPN استفاده می کنید، داده های کلاینت به نقطه ای در VPN ارسال می شود که در آنجا رمزگذاری می شود و سپس از طریق اینترنت به نقطه دیگری ارسال می شود. در این مرحله داده ها رمزگشایی شده و به سرور ارسال می شوند. هنگامی که سرور پاسخی را ارسال می کند، پاسخ به نقطه ای از VPN ارسال می شود که در آنجا رمزگذاری شده است و این داده های رمزگذاری شده به نقطه دیگری از VPN ارسال می شود که در آنجا رمزگشایی می شود. و در نهایت داده های رمزگشایی شده برای کلاینت ارسال می شود. تمام هدف استفاده از VPN، اطمینان از انتقال رمزگذاری شده داده‌هاست.

 

  1. از ریسک، آسیب پذیری و تهدید در یک شبکه چه می دانید؟

تهدید (Threat): هرچیزی با پتانسیل آسیب رساندن به یک سیستم یا سازمان

آسیب پذیری (Vulnerability): ضعف در یک سیستم که می تواند توسط یک هکر بالقوه مورد سوء استفاده قرار گیرد.

ریسک (Risk): احتمال از دست دادن یا تخریب، هنگامی که تهدیدی از یک آسیب پذیری سوء استفاده می کند.

 

  1. چگونه می توان از سرقت هویت جلوگیری کرد؟

در اینجا کارهایی که می توانید برای جلوگیری از سرقت هویت (identity theft) انجام دهید آورده شده است:

o از رمز عبور قوی و منحصر به فرد استفاده کنید

o از اشتراک گذاری اطلاعات محرمانه به صورت آنلاین به خصوص در شبکه های اجتماعی خودداری کنید

o از وب سایت های شناخته شده و قابل اعتماد خرید کنید

o از آخرین نسخه مرورگرها استفاده کنید

o ابزارهای پیشرفته ضد بدافزار و جاسوس افزار را نصب کنید

o از راه حل های امنیتی تخصصی در برابر داده های مالی استفاده کنید

o همیشه سیستم و نرم افزار خود را به روز کنید

o از شماره های هویتی (مانند کد ملی، شماره شناسنامه، کد پرسنلی و…) خود محافظت کنید

 

  1. هکرهای کلاه سیاه، کلاه سفید و کلاه خاکستری چیست؟

هکرهای کلاه سیاه به داشتن دانش گسترده در مورد نفوذ به شبکه های کامپیوتری معروف هستند. آنها می توانند بدافزاری بنویسند که بتواند برای دسترسی به سیستم ها استفاده شود. این نوع هکرها از مهارت های خود برای سرقت اطلاعات یا سوءاستفاده از سیستم هک شده برای اهداف مخرب سوء استفاده می کنند.

هکرهای کلاه سفید از قدرت خود برای کارهای خوب استفاده می کنند و به همین دلیل به آنها هکرهای اخلاقی نیز می گویند. اینها بیشتر توسط شرکت ها به عنوان یک متخصص امنیتی استخدام می شوند که تلاش می کند آسیب پذیری ها و حفره های امنیتی سیستم ها را پیدا و برطرف کند. آنها از مهارت های خود برای کمک به بهبود امنیت استفاده می کنند.

هکرهای کلاه خاکستری ترکیبی از هکر کلاه سفید و کلاه سیاه هستند. آنها بدون اجازه مالک به دنبال آسیب پذیری های سیستم می گردند. اگر آسیب پذیری پیدا کنند، آن را به مالک گزارش می دهند. برخلاف هکرهای کلاه سیاه، آنها از آسیب پذیری های یافت شده سوء استفاده نمی کنند.

 

  1. هر چند وقت یکبار باید Patch Management را اجرا کنیم؟

به محض انتشار وصله باید بر روی سیستم ها اعمال شود. در ویندوز پس از انتشار پچ، باید حداکثر تا یک ماه روی همه ماشین‌ها اعمال شود. در مورد دیوایس های شبکه هم همینطور است، به محض انتشار آن باید وصله شود. از مدیریت پچ مناسب باید استفاده شود.

 

  1. چگونه پیکربندی بایوس محافظت شده با پسورد را ریست می کنید؟

از آنجایی که BIOS یک سیستم پیش از راه‌اندازی (pre-boot) است، مکانیسم ذخیره‌سازی خاص خود را برای settings و تنظیمات پیشرفته دارد. یک راه ساده برای تنظیم مجدد این است که باتری CMOS را بیرون بیاورید تا حافظه ذخیره کننده تنظیمات، منبع تغذیه خود را از دست بدهد و در نتیجه تنظیمات خود را از دست بدهد.

 

  1. حمله MITM و نحوه جلوگیری از آن را توضیح دهید؟

حمله MITM (Man-in-the-Middle) نوعی حمله است که در آن هکر خود را بین ارتباطات دو طرف قرار می دهد و اطلاعات را می دزدد. فرض کنید دو طرف A و B با هم ارتباط دارند. سپس هکر به این ارتباط می پیوندد. او خود را به طرف A با عنوان B و به طرف B به عنوان A معرفی می کند (جعل هویت). داده های هر دو طرف برای هکر ارسال می شود و هکر پس از سرقت داده های مورد نیاز، داده ها را به طرف مقصد هدایت می کند. در حالی که دو طرف فکر می کنند که با یکدیگر ارتباط برقرار می کنند، در واقع با هکر ارتباط برقرار می کنند.

با استفاده از روش های زیر می توانید از حمله MITM جلوگیری کنید:

  • استفاده از VPN
  • استفاده از رمزگذاری قوی WEP/WPA
  • استفاده از سیستم های تشخیص نفوذ
  • استفاده از سیاست HTTPS اجباری
  • احراز هویت (Authentication) مبتنی بر جفت کلید عمومی

 

  1. حمله DDOS و نحوه جلوگیری از آن را توضیح دهید؟

یک سوال مهم دیگر مصاحبه امنیت سایبری. حمله DDOS (Distributed Denial of Service) یک حمله سایبری است که باعث می شود سرورها از ارائه خدمات به مشتریان واقعی خود باز بمانند. حملات DDOS را می توان به دو نوع طبقه بندی کرد:

  1. حملات Flooding: در این نوع حملات، هکر حجم عظیمی از ترافیک را به سرور ارسال می کند که سرور قادر به مدیریت آن نیست. و از این رو، سرور کار نمی کند. این نوع حمله معمولاً با استفاده از برنامه های خودکار که به طور مداوم بسته ها را به سرور ارسال می کنند، انجام می شود.
  2. حملات Crash: در این نوع، هکرها از یک باگ در سرور سوء استفاده می کنند که در نتیجه سیستم از کار می افتد و قادر به ارائه خدمات به مشتریان نیستند.

با استفاده از روش های زیر می توانید از حملات DDOS جلوگیری کرد:

  • استفاده از سرویس‌های Anti-DDOS
  • پیکربندی فایروال ها و روترها
  • استفاده از سخت افزار Front-End
  • استفاده از Load Balancing
  • استفاده کنترل Spike در ترافیک

 

  1. حمله XSS و نحوه جلوگیری از آن را توضیح دهید؟

XSS (Cross-Site Scripting) یک نوع حمله سایبری است که هکرها را قادر می سازد تا اسکریپت های مخرب سمت کلاینت را به صفحات وب تزریق کنند. XSS را می توان برای ربودن جلسات و سرقت کوکی ها، تغییر DOM، اجرای کد از راه دور، crash کردن سرور و غیره استفاده کرد.

با استفاده از روش های زیر می توانید از حملات XSS جلوگیری کنید:

  • اعتبار سنجی ورودی های کاربر
  • ضد عفونی کردن ورودی های کاربر
  • کدگذاری کاراکترهای خاص
  • استفاده از خدمات/ابزارهای Anti-XSS
  • استفاده از فیلتر HTML XSS

 

  1. ARP چیست و چگونه کار می کند؟

Address Resolution Protocol (ARP) پروتکلی برای نگاشت یک آدرس پروتکل اینترنت (آدرس IP) به یک آدرس ماشین فیزیکی است که در شبکه محلی شناسایی می شود.

هنگامی که یک بسته ورودی به مقصد یک ماشین میزبان در یک شبکه محلی خاص، به یک gateway می رسد، گیتوی از برنامه ARP می خواهد یک host فیزیکی یا آدرس MAC را پیدا کند که با آدرس IP مطابقت دارد.

برنامه ARP در کش ARP جستجو می کند و اگر آدرس را پیدا کرد، آن را ارائه می دهد تا بسته به طول بسته و فرمت مناسب تبدیل شود و به دستگاه ارسال شود.

اگر هیچ ورودی برای آدرس IP یافت نشد، ARP یک بسته درخواست را در قالبی خاص برای همه ماشین‌های شبکه LAN پخش می‌کند تا ببیند آیا یک دستگاه می‌داند که آدرس IP مرتبط با آن را دارد یا خیر.

 

  1. مسدود کردن پورت در LAN چیست؟

محدود کردن دسترسی کاربران به مجموعه ای از سرویس ها در شبکه محلی را مسدود کردن پورت (port blocking) می گویند.

یا به عبارت دیگر، متوقف کردن منابع برای عدم دسترسی به گره مقصد از طریق پورت‌ها. از آنجا که برنامه روی پورت‌ها کار می‌کند، بنابراین از مسدود کردن پورت ها برای محدود کردن دسترسی و پوشاندن حفره های امنیتی در زیرساخت شبکه استفاده می شود.

 

  1. چه پروتکل هایی تحت لایه اینترنت TCP/IP قرار می گیرند؟
TCP/IP نمونه های پروتکل TCP/IP
 / Applicationکاربرد NFS، NIS+، DNS، telnet، ftp، rlogin، rsh، rcp، RIP، RDISC، SNMP و غیره.
 / Transportحمل و نقل TCP، UDP
 / Internetاینترنت IP، ARP، ICMP
 / Data Linkلینک داده PPP، IEEE 802.2
 / Physical Networkشبکه فیزیکی اترنت (IEEE 802.3)، حلقه توکن (Token ring)، RS-232، غیره

 

  1. بات نت چیست؟

بات نت تعدادی دستگاه متصل به اینترنت است که هر دستگاه دارای یک یا چند ربات است که روی آن اجرا می شود. اط ربات های موجود در دستگاه ها و اسکریپت های مخرب برای هک کردن قربانی استفاده می شوند. از بات‌نت‌ها می‌توان برای سرقت داده‌ها، ارسال هرزنامه و اجرای یک حمله DDOS استفاده کرد.

 

  1. هش های افزوده (Salted Hashes) چیست؟

Salt یک داده تصادفی است. هنگامی که یک سیستم پسورد به درستی محافظت شده، یک رمز عبور جدید دریافت می کند، یک مقدار هش از آن پسورد ایجاد می کند، یک مقدار salt تصادفی به آن می‌افزاید، و سپس مقدار ترکیب شده جدید را در پایگاه داده ذخیره می کند. اینکار به دفاع در برابر حملات دیکشنری و حملات هش شناخته شده کمک می کند.

مثال: اگر شخصی از پسورد یکسانی در دو سیستم مختلف استفاده کند و هر دو از یک الگوریتم هش یکسان استفاده کنند، مقدار هش یکسان برای هر دو تولید می شود، اما اگر حتی یکی از سیستم‌ها از salt با هش استفاده کند، مقدار آن متفاوت خواهد بود.

 

  1. SSL و TLS را توضیح دهید.

SSL برای تأیید هویت (identity) فرستنده است اما چیزی بیشتر از آن را جستجو نمی کند. SSL می تواند به شما کمک کند فردی را که با او صحبت می کنید ردیابی کنید، اما ممکن است گاهی فریب داده شود.

TLS نیز مانند SSL یک ابزار شناسایی است، اما ویژگی های امنیتی بهتری را ارائه می دهد. حفاظت اضافی برای داده‌ها فراهم می کند و از این رو SSL و TLS اغلب با هم برای محافظت بهتر استفاده می‌شوند.

 

  1. حفاظت از داده ها در حمل و نقل (in-transit) در مقابل حفاظت از داده ها در حالت استراحت (at-rest) چیست؟
حفاظت از داده در حمل و نقل حفاظت از داده در حالت استراحت
زمانی که داده ها از سروری به کلاینت دیگر می‌روند زمانی که داده ها فقط در پایگاه داده یا هارد دیسک وجود دارد
اقدامات موثر حفاظت از داده برای داده‌های حین انتقال بسیار مهم است زیرا داده‌ها هنگام حرکت از امنیت کمتری برخوردار هستند گاهی اوقات داده‌های در حالت استراحت کمتر از داده‌های در حال انتقال آسیب‌پذیر هستند

 

  1. 2FA چیست و چگونه می توان آن را برای وب سایت های عمومی پیاده سازی کرد؟

یک لایه امنیتی اضافی که به عنوان “احراز هویت چند عاملی” شناخته می شود.

برای دسترسی، نه تنها به پسورد و نام کاربری نیاز دارد، بلکه به چیزی نیاز دارد که فقط و فقط آن کاربر با خود داشته باشد، یعنی اطلاعاتی که فقط آنها باید بدانند یا فوراً در اختیارشان قرار گیرد – مانند یک توکن فیزیکی.

برنامه‌های Authenticator در حال جایگزینی روشهای دریافت کد تأیید از طریق متن، تماس صوتی یا ایمیل می‌شوند.

 

  1. امنیت سایبری شناختی چیست؟

امنیت سایبری شناختی (Cognitive Cybersecurity)، کاربرد فناوری‌های هوش مصنوعی است که از روی فرآیندهای فکری انسان الگوبرداری شده است تا تهدیدات را شناسایی کند و از سیستم‌های فیزیکی و دیجیتالی محافظت کند.

سیستم های امنیتی خودآموز (Self-learning) از داده کاوی (data mining)، تشخیص الگو (pattern recognition) و پردازش زبان طبیعی برای شبیه سازی مغز انسان استفاده می کنند، البته در یک مدل کامپیوتری پرقدرت.

 

  1. تفاوت VPN و VLAN چیست؟
VLAN VPN
ایستگاه های کاری که در یک مکان نیستند را در یک دامنه پخش (Broadcast Domain) گروه بندی می کند مربوط به دسترسی از راه دور به شبکه یک شرکت است
به معنی جداسازی منطقی شبکه ها بدون جداسازی فیزیکی آنها با سوئیچ های مختلف برای اتصال دو نقطه در یک تونل امن و رمزگذاری شده استفاده می شود
هیچ تکنیک رمزگذاری را شامل نمی شود، اما فقط برای تقسیم کردن شبکه منطقی به بخش های مختلف به منظور مدیریت و امنیت استفاده می‌شود. داده ها را در حین انتقال از چشمان کنجکاو نجات می دهد و هیچ کس در شبکه نمی تواند بسته ها را بگیرد و داده ها را بخواند.

 

  1. فیشینگ و نحوه جلوگیری از آن را توضیح دهید؟

فیشینگ یک حمله سایبری است که در آن یک هکر به صورت یک فرد یا سازمان معتمد ظاهر می شود و سعی می کند اطلاعات مالی یا شخصی حساس را از طریق ایمیل جعلی یا پیام فوری به سرقت ببرد.

با استفاده از روش های زیر می توانید از حملات فیشینگ جلوگیری کنید:

  • اطلاعات حساس را در صفحات وب که به آنها اعتماد ندارید وارد نکنید
  • امنیت سایت را بررسی کنید
  • از فایروال ها استفاده کنید
  • از نرم افزار آنتی ویروسی دارای امنیت اینترنتی استفاده کنید
  • از نوار ابزار ضد فیشینگ استفاده کنید

 

  1. SQL Injection و نحوه جلوگیری از آن را توضیح دهید؟

SQL Injection (SQLi) یک حمله تزریق کد است که در آن مهاجم داده‌های ارسال شده به سرور را دستکاری می‌کند تا دستورات SQL مخرب را برای کنترل سرور دیتابیس یک برنامه وب اجرا کند، در نتیجه به داده‌های غیرمجاز دسترسی پیدا کرده، و می تواند ویرایش و حذف کند. این حمله عمدتا برای کنترل سرورهای پایگاه داده استفاده می شود.

با استفاده از روش های زیر می توانید از حملات SQL Injection جلوگیری کنید:

  • از دستورات آماده استفاده کنید
  • از رویه های ذخیره شده (Stored Procedures) استفاده کنید
  • ورودی کاربر را اعتبارسنجی کنید.
  • استفاده از فایروال های لایه کاربرد (WAF)

 

 

 

بخش ب سوالات مصاحبه امنیت سایبری مبتنی بر سناریو

  1. شرایط به این صورت است: ایمیل زیر را از تیم پشتیبانی دریافت می کنید:

کاربر گرامی ایمیل XYZ،

برای ایجاد فضا برای کاربران بیشتر، همه حساب‌های ایمیل غیرفعال را حذف می‌کنیم. لطفا برای جلوگیری از حذف شدن حساب کاربری خود، اطلاعات زیر را ارسال کنید:

  • نام (نام و نام خانوادگی):
  • لاگین ایمیل:
  • کلمه عبور:
  • تاریخ تولد:
  • ایمیل جایگزین

اگر تا پایان هفته اطلاعات فوق را از شما دریافت نکنیم، حساب ایمیل شما بسته خواهد شد.

 

به عنوان یک کاربر چه کار می کنید؟ پاسخ خود را توجیه کنید.

این ایمیل یک مثال کلاسیک از «فیشینگ» است – سعی می‌کند شما را فریب دهد تا «گزیده» شود. توجیه، روش عمومی آدرس دهی گیرنده است که در ایمیل های اسپم انبوه استفاده می شود.

بالاتر از آن، یک شرکت یا سازمان هرگز اطلاعات شخصی را از طریق ایمیل نمی خواهد.

هکرها اطلاعات شما را می خواهند. به ایمیل، پیام‌های فوری (IM)، پیام‌های متنی، تماس‌های تلفنی و غیره که از شما رمز عبور یا سایر اطلاعات خصوصی درخواست می‌کنند، پاسخ ندهید.

شما هرگز نباید رمز عبور خود را برای کسی فاش کنید، حتی اگر آنها بگویند از طریق یک دانشگاه، شرکت معتبر، بانک، سازمانهای دولتی، پلیس و… تماس می گیرند.

 

  1. یکی از دوستان شما یک کارت الکترونیکی به ایمیل شما ارسال می کند. برای دریافت کارت باید روی فایل پیوست کلیک کنید.

چه کار میکنی؟ پاسخ را شرح دهید.

در اینجا چهار خطر وجود دارد:

  • برخی از پیوست ها حاوی ویروس ها یا سایر برنامه های مخرب هستند، بنابراین به طور کلی، باز کردن پیوست های ناشناخته یا ناخواسته خطرناک است.
  • همچنین، در برخی موارد، تنها کلیک کردن بر روی یک لینک مخرب می‌تواند سیستم را آلوده کند، بنابراین تا زمانی که از امن بودن یک لینک مطمئن نیستید، روی آن کلیک نکنید.
  • آدرس‌های ایمیل را می‌توان جعل کرد، بنابراین فقط به این دلیل که ایمیل می‌گوید از طرف شخصی است که می‌شناسید، نمی‌توانید بدون بررسی با آن شخص از این موضوع مطمئن باشید.
  • در نهایت، برخی از وب‌سایت‌ها و لینکها مشروع به نظر می‌رسند، اما آنها واقعاً مخرب هستند که برای سرقت اطلاعات شما طراحی شده‌اند.

 

  1. یکی از کارکنان سازمان XYZ مشترک بسیاری از مجلات رایگان است. حالا برای فعال کردن اشتراک یکی از مجلات، ماه تولدش را می‌خواهد، دومی سال تولدش را می‌خواهد، دیگری نام دخترش را می‌خواهد.

از این وضعیت چه استنباط می کنید؟ توجیه.

هر سه خبرنامه احتمالاً دارای یک شرکت مادر هستند یا از طریق یک سرویس توزیع می شوند. شرکت یا سرویس مادر می‌تواند اطلاعات به ظاهر بی‌ضرر را با هم ترکیب کند و از آن برای سرقت هویت استفاده کند یا بفروشد.

حتی ممکن است خبرنامه چهارمی وجود داشته باشد که روز تولد را به عنوان یکی از سوالات فعال سازی می خواهد.

اغلب سوالات در مورد اطلاعات شخصی اختیاری هستند. علاوه بر مشکوک بودن در مورد موقعیت هایی مانند آنچه در اینجا توضیح داده شده است، هرگز اطلاعات شخصی را در مواقعی که از نظر قانونی ضروری نیست، یا به افراد یا شرکت هایی که شخصاً نمی شناسید، ارائه نکنید.

 

  1. در آزمایشگاه‌های کامپیوتر، صورت‌حساب خدمات چاپ اغلب با لاگین کاربر مرتبط است. گاهی اوقات مردم برای شکایت از صورت‌حساب‌های چاپ های خود که هرگز انجام نداده‌اند تماس می‌گیرند تا متوجه شوند که صورت‌حساب‌ها واقعاً درست باشد.

از این وضعیت چه استنباط می کنید؟ توجیه.

گاهی اوقات متوجه می‌شوند که حساب کاربری خود را به دوستی که رمز عبور خود را فراموش کرده، قرض داده‌اند و آن دوست چاپ را انجام داده است. بنابراین اتهامات است. همچنین ممکن است شخصی پشت سر آنها وارد شده و از حساب آنها استفاده کند.

این یک مشکل در کامپیوترهای مشترک یا عمومی است. اگر هنگام خروج از رایانه به درستی از سیستم خارج نشوید، شخص دیگری می تواند پشت سر شما بیاید و کارهایی را که انجام می دادید بازیابی کند، از حساب های شما استفاده کند و غیره. همیشه از همه حساب ها خارج شوید، برنامه ها را ببندید و پنجره های مرورگر را قبل از خارج شدن از آزمایشگاه کامپیوتری ببندید.

 

  1. این مورد در آزمایشگاه کامپیوتر ما اتفاق افتاده است. یکی از دوستان از حساب یاهو خود در آزمایشگاه کامپیوتر در محوطه سازمان استفاده کرد. او قبل از خروج از آزمایشگاه اطمینان حاصل کرد که حسابش باز نمی ماند. شخصی به دنبال او آمد و از همان مرورگر برای دسترسی مجدد به حساب او استفاده کرد. و شروع به ارسال ایمیل از آن کرد.

به نظر شما چه اتفاقی ممکن است در اینجا بیفتد؟

احتمالاً اولین نفر از حساب خود خارج نشده است، بنابراین فرد جدید فقط می تواند به تاریخچه رفته و به حساب او دسترسی داشته باشد.

احتمال دیگر این است که او از سیستم خارج شد، اما کش وب خود را پاک نکرد. (این کار از طریق منوی مرورگر انجام می شود تا صفحاتی را که مرورگر برای استفاده در آینده ذخیره کرده است پاک کند.)

استفاده از خدمات مرورگر امن آنتی ویروسها مانند Safe Banking یا Sandbox Browsing در زمان استفاده از سیستمهای عمومی توصیه می شود.

 

  1. دو دفتر مختلف در محوطه سازمان در حال کار برای رفع خطا در حساب بانکی یک کارمند به دلیل اشتباه پرداخت مستقیم هستند.

دفتر شماره 1 اطلاعات حساب و واریز صحیح را به دفتر شماره 2 ایمیل می کند، که به سرعت مشکل را برطرف می کند.

کارمند و بانک تأیید می کنند که همه چیز در واقع درست شده است.

اینجا چه اشکالی دارد؟

اطلاعات حساب و سپرده، داده های حساسی هستند که می توانند برای سرقت هویت استفاده شوند. ارسال این نوع اطلاعات یا هر نوع اطلاعات حساس دیگر از طریق ایمیل بسیار خطرناک است زیرا ایمیل معمولا خصوصی یا امن نیست. هکر می تواند در جایی از مسیر به آن دسترسی داشته باشد.

به عنوان جایگزین، این دو دفتر می توانستند با یکدیگر تماس بگیرند یا با رعایت پروتکلهای امنیت IT، اطلاعات را به روشی امن تر ارسال کنند.

 

  1. ماوس روی صفحه کامپیوتر شما شروع به حرکت در اطراف خود می کند و روی چیزهای روی دسکتاپ شما کلیک می کند. چه کار میکنید؟

الف) با همکاران خود تماس می گیرید تا برررسی کنند

ب) کامپیوتر خود را از شبکه جدا می کنید

ج) ماوس خود را از سوکت می کشید

د) به مدیر شبکه می گویید

ه) کامپیوتر را خاموش می کنید

و) آنتی ویروس را اجرا می کنید

ز) تمام موارد فوق

تمام گزینه های اعمال شده را انتخاب کنید.

پاسخ درست ب و د است.

این قطعا مشکوک است. فوراً مشکل را به ادمین شبکه و مرکز پشتیبانی IT گزارش دهید.

همچنین، از آنجایی که به نظر می رسد ممکن است شخصی کامپیوتر را از راه دور کنترل کند، بهتر است که کامپیوتر را از شبکه جدا کنید (و اگر ارتباط بی سیم دارید وایرلس را خاموش کنید) تا زمانی که کمک برسد. در صورت امکان، کامپیوتر را خاموش نکنید.

 

  1. در زیر لیستی از رمزهای عبور استخراج شده از یک پایگاه داده است.

الف. @#$)*&^%

ب. akHGksmLN

ج. UcSc4Evr!

د. Password1

کدام یک از رمزهای عبور زیر الزامات رمز عبور خوب را برآورده می کند؟

پاسخ UcSc4Evr! است

این تنها انتخابی است که تمام الزامات UCSC زیر را برآورده می کند:

حداقل 8 کاراکتر طول داشته باشد

شامل حداقل 3 تا از 4 نوع کاراکترهای مقابل باشد:  حروف کوچک، حروف بزرگ، اعداد، کاراکترهای خاص

یک کلمه قبل یا بعد از یک عدد نباشد.

 

  1. ایمیلی از بانک دریافت می کنید که به شما می گوید مشکلی در حساب شما وجود دارد. این ایمیل دستورالعمل ها و لینکی را ارائه می دهد تا بتوانید وارد حساب کاربری خود شوید و مشکل را برطرف کنید.

چه کاری باید انجام دهید؟

ایمیل را حذف کنید. بهتر است برنامه تحت وب ایمیل (مانند جیمیل، ایمیل یاهو و غیره) استفاده کنید و آن ایمیل را به عنوان هرزنامه یا فیشینگ گزارش دهید، سپس آن را حذف کنید.

هر ایمیل یا تماس تلفنی ناخواسته ای که از شما بخواهد اطلاعات حساب خود را وارد کنید، رمز عبور، اطلاعات حساب مالی، شماره بیمه تامین اجتماعی، یا سایر اطلاعات شخصی یا خصوصی خود را فاش کنید مشکوک است – حتی اگر به نظر برسد که از طرف شرکتی باشد که با آن آشنا هستید. همیشه با استفاده از روشی که می دانید قانونی است با فرستنده تماس بگیرید تا تأیید کنید که پیام از طرف اوست.

 

  1. مدتی قبل، افراد IT شکایات زیادی دریافت کردند که یکی از رایانه های سازمان در حال ارسال هرزنامه Viagra است. آن‌ها آن را بررسی کردند و گزارش‌ها درست بود: یک هکر برنامه‌ای را روی رایانه نصب کرده بود که باعث می‌شد به طور خودکار هزاران ایمیل هرزنامه را بدون اطلاع صاحب رایانه ارسال کند.

فکر می کنید چگونه هکر وارد رایانه شده تا این کار را انجام دهد؟

این در واقع نتیجه یک رمز عبور هک شده بود. استفاده از رمزهای عبوری که به راحتی قابل حدس زدن نیستند، و محافظت از رمزهای عبور با عدم به اشتراک گذاشتن آنها یا ننوشتن آنها می تواند به جلوگیری از این امر کمک کند. گذرواژه ها باید حداقل 8 کاراکتر داشته باشند و از ترکیبی از حروف بزرگ و کوچک، اعداد و نمادها استفاده کنند.

حتی اگر در این مورد یک رمز عبور هک شده بود، موارد دیگری که احتمالاً می تواند منجر به این شود عبارتند از:

  • عدم اعمال وصله های امنیتی / به روز رسانی
  • استفاده نکردن از نرم افزار آنتی ویروس یا استفاده از نرم افزار آنتی ویروس قدیمی

امیدوارم این سوالات مصاحبه امنیت سایبری به شما کمک کند تا در مصاحبه خود عملکرد خوبی داشته باشید.

اگر می‌خواهید بیشتر بیاموزید و حرفه‌ای شوید، دوره امنیت سایبری را بررسی کنید که همراه با آموزش زنده توسط مربی و تجربه پروژه واقعی باشد. این آموزش به شما کمک می کند مدیریت لینوکس  و ویندوز را عمیقاً درک کنید و به شما کمک می کند تا بر این موضوع تسلط پیدا کنید.

همچنین می توانید نگاهی به دوره CompTIA Security+ بیاندازید که بر مهارت های اصلی امنیت سایبری تمرکز دارد که برای مدیران امنیتی و شبکه ضروری است.

 

با سپاس

شرکت ماداکو – نمایندگی رسمی شرکتهای کوییک هیل (سکورایت)، کی سون، وبروم

ارائه، نصب، راه اندازی محصولات و خدمات امنیتی مختلف مانند EPP، ZTNA، UTM، DLP، XDR، EDR، مانیتورینگ زیرساخت شبکه، SIEM و…

برای دریافت اطلاعات بیشتر، دریافت نسخه ی آزمایشی رایگان محصولات امنیت سازمانی با ما در ارتباط باشید:

پیام‌رسان: 09331339786                          |                  ایمیل info@qhi.ir

کانال تلگرام: https://t.me/madacoSecurity           |           تلفن: 01142031164

https://madaco.ir