奇安信驻场面试题

《网安面试指南》https://mp.weixin.qq.com/s/RIVYDmxI9g_TgGrpbdDKtA?token=1860256701&lang=zh_CN

5000篇网安资料库https://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247486065&idx=2&sn=b30ade8200e842743339d428f414475e&chksm=c0e4732df793fa3bf39a6eab17cc0ed0fca5f0e4c979ce64bd112762def9ee7cf0112a7e76af&scene=21#wechat_redirect

1. 在TLS 1.3全面加密环境下，NDR如何不进行解密即可检测恶意流量？ 答案：

• 元数据分析：

  • JA3/JA3S指纹：识别恶意软件特有的TLS握手特征

  • 流量时序模式：检测心跳包间隔异常（如C2的固定60秒心跳）

  • 证书指纹：匹配自签名证书或过期证书黑名单

• 行为关联：

  • 加密流量突发增长（如勒索软件大量上传数据）

  • 与EDR告警关联（如检测到Mimikatz进程后出现加密外联）

2. 设计一个融合零信任和NDR的供应链攻击防护方案，包含三个关键阶段 答案：

• 阶段1（预防）：

  • 零信任设备认证：供应商设备必须符合硬件指纹+TPM证明

  • 最小权限：限制第三方仅能访问指定API端点

• 阶段2（检测）：

  • NDR基线分析：监控API调用的参数长度/频率异常

  • 双向流量镜像：捕获东西向流量中的可疑DNS隧道

• 阶段3（响应）：

  • 动态策略降级：检测到异常后自动切断会话并启动MFA复核

  • 攻击链可视化：结合NDR的NetFlow数据绘制横向移动路径

3. 在混合云环境中，如何实现防火墙策略的统一管理？给出技术架构要点 答案：

• 核心组件：

  • 集中式策略管理器（如Terraform+GitOps）

  • 云原生防火墙：AWS Network Manager/Azure Firewall Policy

  • 本地集成：通过Cisco FMC或Palo Alto Panorama同步策略

• 关键技术：

  • 标签化策略定义（如Environment:Prod）

  • 双向策略同步校验（防止云上/本地配置漂移）

  • 自动发现未受保护工作负载（CASB集成）

4. 如何利用网络协议栈特性绕过NDR的检测？举例说明三种方法 答案：

• IP分片攻击：将恶意payload分割到多个分片中，规避基于完整包检测的NDR

• TCP流重组逃逸：故意发送乱序报文触发NDR解析器错误

• 协议模拟：在HTTP/2中通过流优先级设置隐藏C2心跳（伪装成视频流）

5. 针对零信任的持续认证机制，攻击者可能采用哪些新型绕过技术？ 答案：

• 生物特征绕过：

  • 使用Deepfake生成实时视频通过人脸识别

  • 采集键盘声纹破解行为生物特征

• 上下文劫持：

  • GPS欺骗工具伪造可信地理位置

  • 劫持企业WiFi的BSSID伪装内网环境

• 令牌复用：

  • 通过浏览器漏洞窃取JWT令牌并重放

6. 分析AI在防火墙、WAF、NDR中的具体应用差异及各自的技术挑战 答案：

• 防火墙：

  • 应用：智能策略推荐（基于流量模式自动生成ACL）

  • 挑战：避免误阻断关键业务流量（需高精度应用识别）

• WAF：

  • 应用：BERT模型检测语义型注入（如混淆后的XSS）

  • 挑战：对抗对抗性样本攻击（如GAN生成的绕过样本）

• NDR：

  • 应用：图神经网络检测横向移动模式

  • 挑战：处理加密流量的有效特征提取

• 共性挑战：模型可解释性（满足合规审计需求）、实时性要求（<100ms延迟）