网络威胁并非一成不变,新型威胁攻击层出不穷,破坏性也越来越大,具体包括社会工程攻击、恶意软件、分布式拒绝服务(DDoS)攻击、高级持续性威胁(APT)、木马、内容擦除攻击和数据销毁等。据思科公司预测,2022年DDoS或社会工程攻击总数将达到1450万次。
但面对上述行业形势,网络防御产品和技术的功能范围毕竟有限,网络安全发展不能离开人,只有情商和技能兼备的人才能了解攻击者的内部运作和动机。网络威胁分析师就是这样一种专业安全人才,能够为企业组织分析和解决各类网络威胁问题,他们通过研究揭示网络攻击的原因,可以更有效地帮助企业组织防范和应对攻击。本文讨论了网络威胁分析师岗位职责、薪资水平以及成为一名优秀的网络威胁分析师所需的一些工作技能。
网络威胁分析师的责任与价值
网络威胁分析师需要保护企业组织免受数字威胁,并积极制定旨在响应和遏制网络攻击的计划。网络威胁分析师负责保护企业组织的基础设施(如网络)和相关软硬件系统(如服务器或工作站),并尽可能的让企业组织远离企图造成破坏或窃取敏感信息的攻击者。
网络威胁分析师主攻网络和IT基础设施安全,他们需要全面地了解网络攻击、恶意软件和网络犯罪分子的性质,并全力防备和阻止这些攻击。此外,网络威胁分析师又被成为威胁情报分析师,他们要具备分析数字威胁的能力,要能够清楚地报告其发现的任何攻陷指标(IoC),并根据分析结果,采取行动以保护易受网络攻击的资产,这些工作的完成需要能够高度地细节关注能力、研究和技术技能以及创造力。
网络威胁分析师在保护企业敏感信息方面具有至关重要的作用。他们需要跨部门和流程工作,及时地发现和修复组织安全系统和计划中的缺陷,并针对这些缺陷采取有效的策略,这对助力企业制定网络防御体系、预防潜在攻击至关重要。
此外,网络威胁分析师还负责保护企业组织的硬件、软件和网络免遭盗窃、丢失或未授权访问。在小型企业中,网络威胁分析师的责任职责可能更加广泛,但对于大型企业来说,网络威胁分析师只是企业安全团队中的一分子。以下是对网络威胁分析师更具体的职责解析:
1. 防止数据泄露
数据泄露事件对企业组织来说可能是致命的,数据泄露可能会导致公众和消费者对企业组织的信任度降低,导致信用卡欺诈、身份盗窃或其他严重的经济损失事件发生。身份盗窃资源中心报告,90%以上的数据泄密与网络攻击有关。这些泄密事件造成的影响可能包括:数据库破坏、知识产权被盗、秘密信息泄露,企业组织需要通知和补偿受影响的人。
网络威胁分析师有责任认真检查企业中的安全漏洞并识别出恶意攻击者,进而提升企业组织的安全防护水平。此外,网络威胁分析师还负责在数字犯罪现场进行数字取证,以确定是否真的发生了泄密,同时找出顽固的安全漏洞或残留的恶意软件,并竭力恢复数据。
2. 发现安全漏洞
网络威胁分析师最重要的工作职责之一是发现漏洞,以便及时堵住漏洞,以免泄密事件的发生。网络威胁分析师要对发现的潜在漏洞进行评估,并在评估期间指出企业数据和资产面临的潜在风险,并详述这些漏洞为什么可能导致泄密。
这项任务的成功执行在于团队合作,该合作不仅局限于企业IT团队其他成员间的配合,还与其工作可能受到安全问题影响的其他非技术人员。网络安全分析师需要建立开放的企业沟通渠道,以便帮助非网络安全技术团队的同事了解更新后的网络安全程序如何使用以及如何远离外部攻击。
3. 实行渗透测试攻击
渗透测试攻击是网络威胁分析师的另一项重要职责。该行为并非旨在突破安全防线以窃取数据,而是为了在攻击者得逞之前发现并堵住安全后门。网络威胁分析师在通过使用软件或手动编程技能实施渗透测试过程中,可以进一步破解和利用系统,以便确定一旦攻击发生后应如何修复系统。
4. 制定和实施组织安全防护流程
网络威胁分析师需要为整个企业组织及其数字生态系统制定安全流程。由于安全与企业内部的所有人息息相关,因此企业中的每个人都必须了解并遵守该安全流程,网络威胁分析师必须设立相关的流程标准,并重点关注该流程中最薄弱的一环。
5. 安全工具的使用和运维
管理、安装和使用威胁发现软件是网络威胁分析师的另一重要职责。网络威胁安全分析师可能需要在企业组织的整个系统内安装软件以提高邮件或登录安全性,以防止恶意软件通过个人终端进入网络,并加强移动设备的安全性,以降低网络防御意外威胁渗入的可能性。
此外,网络威胁分析师需要确保企业中只有获得授权的员工才能访问解敏感数据系统。采用身份和访问管理系统(IAM)可以满足这一要求。但分析师在应用IAM方案时,应确保企业的IAM系统能够正确识别企业内网中的每个用户,保证这些用户拥有合适的网络访问权限。世界经济论坛最近的报告显示,95%的网络安全泄密是人为错误造成的,还有一些较为严重的勒索软件事件由于不懂技术的员工无意中下载恶意软件导致的。因此如果IAM程序实施使用得当,可以很大程度地降低这种风险。
除了上述的主要职责,网络威胁分析师还可能涉及以下一些其他工作职责:
- 制定安全策略,以保护数据系统免受潜在威胁;
- 分析安全泄密,评估损害程度;
- 紧跟当前的数字安全趋势,为组织建议加强安全的最佳实践;
- 修复检测到的漏洞,确保渗透风险非常低甚至为零;
- 快速有效地响应网络攻击,以便将破坏降至最小;
- 提倡网络安全培训,以确保组织的所有部门都保持很高的安全标准;
- 就网络安全问题与利益相关者进行联络,并提供将来的建议。
据美国劳工统计局(BLS)最新统计,美国网络威胁分析师目前的平均年薪为103590美元。薪资水平的高低取决于技能、经验、资质、地点和行业部门等因素,这意味着在这个领域经验越丰富,薪资水平也越高。此外,如果拥有良好的学历学位和专业技能,还可能享受更高的薪资待遇。
网络威胁分析师的必备技能要求
网络威胁分析师是一个非常专业的工作岗位,要想成为一名成功、优秀的网络威胁分析师,应该具备以下十种技能:
1. 入侵检测能力
监控网络活动是网络威胁分析师的重要职责之一。了解如何使用入侵检测软件如安全信息和事件管理(SIEM)产品、入侵检测系统(IDS)和入侵防御系统(IPS)等产品,发现可能存在的入侵,以帮助企业组织快速发现可疑活动或安全违规行为。
2. 安全事件响应能力
虽然预防是网络安全的主要目标,但在发生安全事件时快速响应将企业组织可能遭到的破坏和损失降至最低至关重要。有效处理事件需要了解企业组织的事件响应计划,还需要数字取证和恶意软件调查方面的技能。
3. 威胁情报分析能力
网络威胁情报是一组信息,通过这些信息企业组织能够了解过去、现在和将来所面临的威胁。通过威胁情报,企业组织可以预料、预防和识别企图控制企业重要资源的网络威胁。
威胁情报调查结果从多个来源收集有关新旧威胁的原始数据,然后分析和研究这些数据,生成威胁情报源和管理报告,这些报告含有计算机化安全控制解决方案可以使用的信息。如果网络安全分析师紧跟威胁领域的趋势,就能变得更有价值。网络威胁分析师需要具备收集和分析网络威胁情报的能力。
4. 了解监管法规要求
网络安全旨在保护企业组织免遭攻击、盗窃和损失且要满足法律合规要求。如果网络威胁分析师为一家在全球开展业务的公司效力,熟悉《通用数据保护条例》(GDPR)可能有所帮助。数据隐私正成为企业安全和合规不可或缺的一部分。网络威胁分析师应了解数据隐私的基本原则和相关法规,比如GDPR、《健康保险可携性及责任性法案》(HIPAA)以及《儿童在线隐私保护法案》(COPPA)。
5. 熟悉常用的操作系统
几乎所有操作系统都存在安全隐患,包括计算机及其他便携式设备,因此非常熟悉MacOS、Windows和Linux及其命令行界面,才有望成为一名成功的网络威胁分析师,此外,研究与iOS和安卓等移动操作系统相关的威胁和弱点也对网络威胁分析师大有助益。
6. 了解网络系统
许多网络攻击发生在联网设备的网络上,但允许企业协作的其他应用程序也可能导致安全漏洞,因此为了保证企业组织的安全性,分析师需要了解有线网络和无线网络以及制定针对性的保护方案。
7. 熟悉常见的安全框架
网络安全框架提供了一整套最佳策略、软件、工具和安全程序,旨在帮助企业组织保护数据和业务流程。安全管理则是公司用来保护自己免遭漏洞和入侵的措施。选择怎样的安全框架因公司和行业而异,因此熟悉一些最常见的网络安全框架可能会对网络威胁分析师有所帮助。
8. 端点管理
随着居家办公的常态化,企业组织对保护众多端点(比如计算机、电话和物联网设备)的安全专业人员需求不断增加。因此网络威胁分析师可以通过防火墙、防病毒软件、网络访问控制和虚拟专用网络(VPN)等工具来提升在此方面的能力。
9. 数据安全
数据为许多组织提供了宝贵的帮助。因此网络威胁分析师要想知道如何保护数据,就需要掌握数据加密、访问管理、传输控制和互联网协议(TCP 和 IP)以及CIA三要素(机密性、完整性和可访问性)等内容。
10. 编程能力
虽然技术的进步使网络威胁分析师无需编写代码就能够处理工作,但是对JavaScript、Python和C/C++等编程语言有一番基本的了解也可以为网络威胁分析师带来竞争优势。
需要说明的是,尽管网络威胁分析师是一种技术性工作,但光有技术还是不够的,除了以上十种专业能力,一些重要的职场技能对分析师的成长也很重要:
- 沟通:威胁分析师需要经常与他人沟通,并与负责安全的团队合作。安全事件发生时,需要与安全团队进行联络,并明确调查和检索流程。此外,分析师可能还要负责培训同事,让他们了解最佳安全实践。
- 关注细节:威胁分析师需要注重细节才能胜任这个角色,特别是关注组织网络中最细微的调整和修改,因为留意到细微的异常可能意味着组织避免严重的数据丢失。
- 批判性思维:无论响应威胁、修复漏洞还是制定新的安全规程,批判性思维技能都使网络威胁分析师能够根据数据做出决策。