译者 | 刘涛
审校 | 孙淑娟
网络安全是一个很棒的职业,它对专业技能的要求很高。如果你真正喜欢做网络安全,了解网络安全职业中常见的工作角色是必要的。
本文涵盖了网络安全行业中可遇到的各种工作角色的日常基本工作内容。
1.网络威胁猎手
该职位将新威胁情报应用于现有证据,以识别通过实时检测机制的攻击者。威胁猎手需要具备多种技能,包括威胁情报、系统和网络取证以及调查开发过程。
这一角色将事件响应从纯粹的被动调查过程转变为主动调查过程,根据不断变化的情报发现对手或他们的踪迹。
为什么这个角色很重要
威胁猎手主动寻找传统检测方法无法识别的攻击者的证据。他们的发现通常包括长期存在的潜在对手。
2.红队队员
在这个角色中,您将面临挑战,从对手的角度看待问题和情况。重点是通过测试和衡量组织的检测和响应策略、流程和技术来使蓝队变得更好。
该角色包括执行对手模拟,即红队模拟对手的操作,遵循相同的战术、技术和流程 (TTP),其特定目标类似于现实威胁或对手。它也包括创建自定义植入程序和 C2 框架以逃避检测。
为什么这个角色很重要
这个角色很重要,可以帮助回答一个常见的问题:“导致公司崩溃的攻击会发生在我们身上吗?”红队队员将通过测试防御者,而不只是防御来全面了解组织如何准备以应对真正复杂的攻击。
3.数字取证分析师
该职位在大量的媒体中运用数字取证技术来做调查。成为一名数字取证员需要多种技能,包括证据收集、计算机、智能手机、云和网络取证,以及调查思维。
数字取证分析师对调查中涉及的泄露的系统或数字媒体进行分析,可用于确定真正发生的事情。数字媒体包含了大量的痕迹,这些痕迹可能是物理证据和犯罪现场无法发现的。
为什么这个角色很重要
这个角色的定位是一名网络安全领域的侦探,在事件/犯罪发生后搜索计算机、智能手机、云数据和网络以寻找证据。学习的机会永远不会停止。技术总是在进步,你的事业也是如此。
4.紫队队员
在这个新工作职位中,您对网络安全防御团队(“蓝队”)和攻击团队(“红队”)的工作运行方式都会有深刻的了解。在您的日常活动中,您会组织并自动模拟对手技术,强化使用可能有助于增加 SOC 检测范围的新日志源和用例,并提出安全控制措施来提高反技术的弹性。
您还将在传统的防守和进攻角色之间协调双方进行有效沟通。
为什么这个角色很重要
帮助蓝队和红队更好地了解彼此!蓝队经常关注的是安全控制、日志源、用例等方面,而红队谈论的却是有效载荷、漏洞利用、植入等内容。
确保红队和蓝队关注相同的层面有助于弥合差距,通过合作来提高组织整体网络安全状况!
5.恶意软件分析师
恶意软件分析师直面攻击者的能力,确保以最快、最有效的方式响应和遏制网络攻击。您可以深入了解恶意软件以了解威胁的本质——它是如何进入的,它利用了哪些漏洞,以及它做了什么、尝试做什么或有可能实现什么。
为什么这个角色很重要
如果您的任务是详细描述一段恶意代码的功能,那么您就会知道你正面临着一个极其重要的情况。正确地处理、反汇编、调试和分析二进制文件需要特定的工具、技术、流程,以及如何通过代码获悉其真正功能的知识。
逆向工程师拥有这些宝贵的技能,可以在事件响应操作过程中成为有利于调查人员的转折点。无论是帮助提取关键签名以更好地应用于检测,还是生成威胁感知情报以通知整个行业的同事,恶意软件分析师都是有价值的调查资源。
6.首席信息安全官/安全总监
作为首席信息安全官,您将成为 IT 部门和董事会之间的平衡者,对业务和信息安全有同等的理解。
除了影响力和谈判的能力外,您也会对全球市场,政策和法律有一个全面的了解。凭借创造性思维能力,首席信息安全官将成为天生的问题解决者,并会想方设法进入网络犯罪分子的头脑中去,发现新的威胁及其解决方案。
为什么这个角色很重要
对于首席信息安全官来说,需要在业务敏锐度和技术知识之间取得很好的平衡,以便从技术角度快速处理信息安全问题,懂得如何将安全规划实施到更广泛的业务目标中,并能够建立一个持久的安全系统和基于风险的文化来保护组织。
7.蓝队——全能防御者
这项工作的头衔可能因组织而异,通常以所需任务和知识的广度为特征。全能防御者和蓝队成员可能是小型组织的主要安全联系人,必须处理工程和架构、事件分类和响应、安全工具管理等相关事宜。
为什么这个角色很重要
这个工作角色非常重要,因为它经常出现在中小型组织中,这些组织没有预算为每个职能配备专业安全团队。全能防御者不一定是官方职位,因为这只是所有防御者们可能都要做的防御性工作——对每个人来说,这只是一小部分。
8.安全架构师和工程师
设计、实施和调整将有效地结合对于网络中心和数据中心的控制,以平衡防御、检测和响应。安全架构师和工程师能够全面审视企业防御并在每一层构建安全措施。他们可以平衡业务和技术要求以及各种安全策略和程序,以实施可防御的安全架构。
为什么这个角色很重要
安全架构师和工程师是多才多艺的蓝队成员和网络防御者,他们拥有一系列技能来保护组织的关键数据,从终端到云端,跨网络和各种应用程序。
9.事件响应小组成员
当攻击者入侵时,这种灵活和快速反应的角色可以识别、阻挡和消灭攻击者。
为什么这个角色很重要
虽然防止入侵始终是最终目标,但信息安全一个不可动摇的现实是,我们必须假设,一个足够专注的攻击者最终会成功。
一旦确定发现漏洞,事件响应人员就必须采取行动,定位出攻击者,最大限度地减少他们造成的破坏影响,并最终将他们从系统中剔除。
这个角色需要敏捷的思维,扎实的技术和文档技能,以及应对攻击者的方法论。此外,作为团队成员,事件响应人员应具有广泛的专业知识。最终,他们必须有效地将他们的发现传达给从深度技术到执行管理的团队其他成员。
10.网络安全分析师/工程师
由于这是该领域收入最高的职位之一,因此掌握相关职责所需的技能也有很高的要求。您必须在威胁检测、威胁分析和威胁防护方面具有很强的能力,这在保护组织数据的安全性和完整性方面是一个至关重要的角色。
为什么这个角色很重要
这是一个积极主动的角色,制定公司在黑客攻击成功情况下要实施的应急措施。由于网络攻击者不断使用新的工具和策略,网络安全分析师/工程师必须实时了解现有的工具和技术从而建立强大的防御体系。
11.OSINT 调查员/分析师
这些足智多谋的专业人士收集客户的需求,然后利用开放资源和互联网上大部分资源,收集与他们调查相关的数据。
他们在工作中研究域和IP地址、业务、人员问题、金融交易和其他目标。他们的目的是收集、分析并向客户报告他们的客观发现,以便客户在采取行动之前能够对某个主题或问题获得深入了解。
为什么这个角色很重要
互联网上有大量可访问的数据。许多人面临的问题是,他们不知道如何最好地发现和获取这些数据。OSINT调查人员拥有从世界各地发现和获取数据的技能和资源。
他们为从事网络安全、情报、军事和商业等其他领域的人们提供支持。他们是事物的发现者和秘密的知晓者。
12.技术总监
该职位与开发团队一起定义技术战略,评估风险,制定标准和流程,并参与建设和发展强有力的队伍。
为什么这个角色很重要
随着技术种类的多样性,需要更多的时间和知识进行管理。全球网络安全人才短缺,云迁移的规模空前地扩增,以及法律和监管合规性使问题越来越多,且越来越复杂,技术总监在一个组织的成功运营中发挥着关键作用。
13.云安全分析师
云安全分析师负责云安全和日常运营。这个角色可以帮助设计、集成和测试安全管理工具,建议配置改进,评估组织整体的云安全态势,并为组织决策提供技术专业知识。
为什么这个角色很重要
从传统的内部解决方案到史无前例的云迁移,再到云安全专家的短缺,该职位有助于组织在当今商业世界所需要的多云环境下进行深度思考和安全定位。
14.入侵检测/SOC分析师
安全运营中心 (SOC) 分析师与安全工程师和 SOC 经理共同执行预防、检测、监控和主动响应。
SOC 分析师与事件响应团队密切合作,在检测到安全问题时,能快速有效地加以解决处理。这些分析师关注细节和异常情况,能发现大多数人忽略的东西。
为什么这个角色很重要
SOC 分析师帮助组织更快地识别攻击,并在它们造成更大损害之前采取补救措施。它们还有助于满足需要安全监控、漏洞管理或事件响应功能的监管要求。
15.安全意识官
安全意识官与他们的安全团队合作,确定组织中常见的人为风险以及管理这些风险的行为。
然后,他们负责开发并管理一个持续的项目,目的在于展示工作中的安全行为,以便有效地培训员工并与之进行充分沟通。高度成熟的项目不仅会影响员工的行为,同时能够创造强大的安全文化。
为什么这个角色很重要
如今,人已成为事件和违规的主要驱动因素,但问题在于,大多数组织仍然从纯粹的技术眼光来看待安全问题。您所扮演的角色将帮助您的组织从人的角度解决这个问题,并弥合差距。可以说,该领域是当今网络安全中最重要和发展最快的领域之一。
16.漏洞研究员/漏洞挖掘员
这个角色要求您在组织和消费者使用的各种应用程序和设备中找到0day漏洞(一种未知漏洞)。在攻击者进攻之前,发现漏洞!
为什么这个角色很重要
漏洞研究员/漏洞挖掘员不断发现流行产品和应用程序中的漏洞,包括物联网设备、商业应用和网络设备,甚至胰岛素泵和心脏起搏器等医疗设备。
如果我们在攻击者面前没有研究和发现这些类型漏洞的专业知识,后果可能会很严重。
17.应用程序渗透测试员
应用程序渗透测试人员通过评估全范围内易受攻击的基于 Web 的服务、客户端应用程序、服务器端进程等的攻击面来探测公司应用程序和防御的安全性和完整性。
模仿恶意攻击者,应用程序渗透测试员工作中绕过安全障碍,以便通过透视(pivot)或横向移动(lateral movement)等技术访问敏感信息或进入公司的内部系统。
为什么这个角色很重要
Web 应用程序是企业内外部业务运营的关键环节。这些应用程序通常使用开源插件,这可能会使应用程序面临安全风险。
18.ICS/OT 安全评估顾问
一只脚踏入激动人心的攻击领域,另一只脚踏入对生活至关重要的关键流程控制环境中。发现系统漏洞并与资产拥有者和运营者合作,降低被发现的可能性,阻止黑客的入侵。
为什么这个角色很重要
影响 OT(主要在 ICS 系统中)的安全事件,无论有意或无意,均可视为高影响低频率 (HILF); 它们并不经常发生,但一旦出现,就会给企业带来巨大的损失。
19.DevSecOps 工程师
作为 DevSecOps 工程师,您开发自动化安全功能,利用同行最佳工具和流程将安全性注入 DevOps 管道。这包括在关键 DevSecOps 领域的领导地位,例如漏洞管理、监控和日志记录、安全操作、安全测试和应用程序安全。
为什么这个角色很重要
DevSecOps是一种自然的、必要的回应,因为旧的安全模型会给现代持续交付的安全管道带来瓶颈的影响。其目标是在保证应用程序和业务功能快速安全交付的同时,弥补 IT与安全之间的传统鸿沟。
20.媒体开发分析师
该角色运用数字取证技术,对大量媒体进行调查。如果您对计算机犯罪感兴趣,并且你想恢复已经被黑客入侵、破坏或使用过的犯罪文件系统,那么这将是您的理想职业。在此职位上,您将协助调查搜集自不同来源的电脑及媒体,以便在取证方面提供可靠的证据。
为什么这个角色很重要
您通常是第一个反应者,或是第一个接触到犯罪行为证据的人。常见的案例包括恐怖主义,反情报,法规执行和内部威胁。您从收购到最终报告全程利用媒体开展工作,是调查不可或缺的一部分。
译者介绍
刘涛,51CTO社区编辑,某大型央企系统上线检测管控负责人,主要职责为严格审核系统上线验收所做的漏扫、渗透测试以及基线检查等多项检测工作,拥有多年网络安全管理经验,多年PHP及Web开发和防御经验,Linux使用及管理经验,拥有丰富的代码审计、网络安全测试和威胁挖掘经验。精通Kali下SQL审计、SQLMAP自动化探测、XSS审计、Metasploit审计、CSRF审计、webshell审计、maltego审计等技术。
原文标题:A Guide to Understanding the Job Roles & Selecting Your Career in Cybersecurity,作者:Dhanesh Dodia