网络安全运营分析师/专家是企业组织在网络威胁环境中建立强大防御能力的关键因素,承担着监控安全警报、分析潜在威胁以及响应突发性安全事件等职责。一名成功的网络安全运营分析师需要同时具备专业安全能力和软性职场技能,并且不断地学习提升,才能面对千变万化的网络系统环境,帮助企业分析和解决各类网络威胁问题。
基础阶段:掌握必要的网络安全运营技能
要成为一名顶级网络安全运营专家,首先需要具备以下基本技能:
1、了解网络系统
今天的网络安全攻击都是发生在联网的计算设备和应用系统上,而网络安全工作的职责是维护网络系统稳定运行,确保数据安全,避免敏感信息泄露。因此,网络安全工作者离不开网络和系统管理方面的技能,必须了解常用的网络配置和系统管理方面知识,才能制定针对性的保护方案。
2、网络安全监控
监控网络活动是网络安全工作的重要职责之一。网络安全运营分析师需要了解如何使用众多网络分析工具,发现可能存在的入侵活动或安全违规行为。同时,在网络安全控制方面,安全分析师要保障所有接入点的安全,当检测出企图进入的恶意流量时,需要通过防火墙等设备,快速实施安全访问控制措施。
3、网络流量分析
网络安全运营分析师需要切实了解实际的网络流量数据。样本捕获文件可以从Wireshark样本捕获页面等在线资源获取,也可以捕获测试网络上的流量。分析师需要使用网络流量模拟攻击,并使用类似NIDS的snort创建检测规则。
4、日志分析和搜索能力
网络安全运营分析师要能够运用多种日志分析技术,必须具备广泛的知识,比如异常检测、关联分析和威胁搜索。此外,需要练习使用不同的日志管理工具和技术来解析和搜索日志。
5、端点安全保护
网络安全运营分析师应该在端点安全工具方面获得尽可能多的经验,并了解高级威胁检测机制,比如行为分析、机器学习和人工智能,以检测和响应威胁。当前,主流的EDR解决方案可以实时洞察端点设备,帮助安全运营分析师快速检测和响应网络安全事件事件。
6、加入活跃的网络和安全社区
除了掌握网络安全运营分析的基本能力,安全运营分析师还应该保持积极主动的心态,不断积累集体知识和资源以保持敏锐度。分析师要与网络和安全行业的专业人士交流,汲取经验,提出问题,趁机了解最新趋势和技术。很多在线社区或者专业网络安全协会都是与业内同仁交流的途径。
7、紧跟最新的行业咨询
网络安全运营分析师应该密切关注安全和网络相关的咨询网站,以了解最新的安全威胁和趋势。此外,也有许多免费的在线资源可以用来培养网络安全技能,帮助入门级分析师学习协议分析、网络取证和恶意软件分析等先进网络安全运营技术。
中级阶段:更深入地了解网络威胁
网络安全运营分析师在完成基础阶段的能力积累后,就需要晋升到中级能力要求阶段。在这个阶段,安全运营分析师通常已经具备了一定的实践经验,能够轻松处理监控、分析和事件响应的日常基础性事务,并开始承担范围更广的工作职责,此时,就需要更深入地了解网络安全威胁和企业各方面的安全攻击面情况。对于中级网络安全运营分析师而言,需要根据工作要求,深入钻研某些专门的领域,磨练在威胁检测和事件缓解等方面的专长,并开始在一些小团队中承担领导责任,并具有一定的事件处置决策权。
中级网络安全运营分析师需要解释复杂的安全警报,将来源不一的数据关联起来,更专业地解读威胁情报源,为企业网络安全运营工作做出贡献。这包括进行主动的威胁搜索和与跨职能团队合作,以加强组织的防御。在这个阶段,网络安全运营分析师应该具备以下能力:
1、情报分析能力
网络威胁情报是一组信息,通过这些信息,安全运营分析师能够了解过去、现在和将来所面临的威胁。即使企业已经建立了强大的安全防御措施,网络攻击仍有可能发生。而通过威胁情报分析,可以帮助安全运营分析师提前预防和识别潜在的网络威胁。只有具备收集和分析网络威胁情报的能力,才可以减轻企业的网络安全影响,并在安全事件发生时更快速的跟踪、调查。
2、云计算安全
如今,几乎所有企业都会在一定程度上使用云计算服务。这意味着企业必须要保护使用云的数据和业务应用系统。目前,云计算安全的主要威胁包括身份管理不善、云应用程序保护不力以及API的不安全连接等。随着企业安全风险从本地转向云端,它们需要具备云安全防护的专业团队和能力。安全运营分析师要掌握的云安全概念包括云服务模式、部署模式、安全控制措施、合规框架和事件响应等。
3、主动威胁搜寻
威胁搜索旨在识别和应对能规避传统安全措施的高级威胁。与被动的安全事件响应不同,威胁搜索要求安全运营分析师主动分析组织网络中的异常情况和安全隐患。中级安全运营分析师需要能够结合使用先进的工具、情报来源及自身的专业知识,发现细微的攻陷指标变化和任何可能表明恶意活动的异常情况。这个过程常常是迭代式的,需要深入了解组织的系统和潜在威胁情形。
4、大数据分析
在大数据广泛应用的时代,利用大数据分析技术是快速提升网络安全防护能力的一种有效途径。安全运营分析师在分析高级持续性威胁(APT)时,通过大数据分析是一项不可或缺的手段。大数据分析可以大大提升APT威胁的发现能力,因为通过查看大量数据可以有效发现安全异常情况,否则这个过程将花费极长的时间,而且不太可能识别出高级威胁。
高级阶段:成为企业网络安全运营的领导者
对于最高级别的网络安全运营分析师而言,需要由处理实际的技术任务向全面监管组织的网络安全运营态势转型。在这个阶段,安全运营分析师将肩负企业全局的安全运营责任,并要负责协调和优化企业整体的网络安全基础设施,确保网络安全运营战略与组织的总体业务发展目标相一致。
高级网络安全运营分析师通常也会被企业管理层视为组织中的网络安全运营专家(SME)。他们是公司事件响应计划和事件调查流程中的主要贡献者,需要领导高级安全措施和策略的落实工作。对于高级安全运营分析师而言,光有专业技术能力是不够的,更需要具备出色的管理能力、协调能力、沟通能力以及报告能力等软性职场能力:
1、有效沟通能力
网络安全运营工作需要经常与他人沟通。因此,高效向他人传达可被准确理解的信息将影响安全运营分析师的整体绩效。网络安全运营工作需要具备有效沟通的能力,尤其在处理复杂或突发性的安全事务上,无法有效沟通往往会导致理解和执行时的偏差。
2、协同合作能力
网络安全运营是个碎片化的技术领域,需要征求多方的意见。因此,高级网络安全运营分析师必须能够与他人密切合作,努力实现团队的共同目标。高级安全运营分析师通常都具有谦虚的工作态度,因为没有哪个团队愿意与骄傲自大或过于自信的成员长期共事,这会导致不满或团队间的冲突。
3、安全管理能力
网络安全运营工作“3分在技术、7分在管理”。高效的安全管理和运营能力,对于清楚地传达威胁,并确保企业所有部门都认知安全的重要性至关重要。只有通过高效的管理,安全运营团队的所有成员才能更紧密地相互合作,确保有效地完成工作。
4、报告展现能力
通过合适的事件报告,可以帮助公司管理层和安全运营团队准确了解正在执行的操作,并能够准确地衡量现状和需要实现的目标。在实际工作中,安全运营分析师往往需要依赖太多的安全技术平台,因此需要分析师的专业处理,才能获得准确的事件报告。
5、独立思考分析
网络安全运营工作在日常活动中经常碰到复杂问题,需要能够通过深入分析思考,才能更好地解决这些问题。善于分析是网络安全运营分析师不可或缺的一项优秀品质,良好的分析能力可以帮助安全运营分析师在阻止网络攻击时保持理性和警惕。
参考链接:
https://www.sentinelone.com/blog/the-cybersecurity-journey-pathways-to-becoming-a-top-tier-soc-analyst/。