刘涛评论|如果您真正喜欢从事网络安全工作,那么了解网络安全职业中的常见工作角色至关重要。本文涵盖了您在网络安全行业中可能遇到的各种工作角色的日常要点。1.Cyber??ThreatHunter该职位将新的威胁情报应用于现有证据,通过实时检测机制识别攻击者。威胁猎手需要具备多种技能,包括威胁情报、系统和网络取证以及调查开发流程。这个角色将事件响应从纯粹的反应性调查过程转变为主动的过程,根据不断发展的情报发现对手或他们的踪迹。为什么这个角色很重要威胁猎手会主动寻找攻击者的证据,证明传统检测方法无法识别。他们的发现通常包括长期存在的潜在对手。2.RedTeamer在这个角色中,您将面临从对手的角度看待问题和情况的挑战。重点是通过测试和衡量组织的检测和响应策略、流程和技术,使蓝队变得更好。该角色包括执行对手模拟,其中红队模拟对手的操作,遵循相同的战术、技术和程序(TTP),其特定目标类似于现实世界的威胁或对手。它还包括创建自定义植入程序和C2框架以逃避检测。为什么这个角色很重要这个角色很重要,可以帮助回答一个常见问题:“会导致公司倒闭的攻击会发生在我们身上吗?”为真正复杂的攻击做好准备。3.数字取证分析师该职位使用数字取证技术调查范围广泛的媒体。成为数字取证官需要多种技能,包括证据收集、计算机、智能手机、云和网络取证以及调查思维。数字取证分析师分析调查中涉及的受损系统或数字媒体,可用于确定真正发生的事情。数字媒体包含大量物证和犯罪现场可能无法发现的痕迹。为什么这个角色很重要这个角色是网络安全领域的侦探,他在事件/犯罪发生后搜索计算机、智能手机、云数据和网络以寻找证据。学习机会永远不会停止。技术总是在进步,您的业务也是如此。4.紫色团队成员在这个新的工作角色中,您将深入了解网络安全防御团队(“蓝队”)和攻击团队(“红队”)的工作方式。在您的日常活动中,您组织并自动模拟对手技术,强化可能有助于增加SOC检测覆盖范围的新日志源和用例的使用,并提出安全控制措施以提高反技术弹性。您还将协调传统防御角色和进攻角色之间的有效沟通。为什么这个角色很重要帮助蓝队和红队更好地了解彼此!蓝队通常专注于安全控制、日志源、用例等,而红队则谈论有效载荷、漏洞利用、植入等。确保红队和蓝队关注同一层有助于弥合差距并协同工作改善组织的整体网络安全态势!5.恶意软件分析师恶意软件分析师直面攻击者的能力,确保以最快、最有效的方式响应和遏制网络攻击。您可以深入了解恶意软件以了解威胁的性质——它是如何进入的、它利用了哪些漏洞以及它做了什么、试图做什么或可能实现什么。为什么这个角色很重要如果您的任务是详细说明一段恶意代码的功能,您就会知道您正面临一个极其重要的情况。正确处理、反汇编、调试和分析二进制文件需要特定的工具、技术、过程以及如何通过代码了解其真正作用的知识。逆向工程师拥有这些宝贵的技能,可以成为有利于调查人员的事件响应操作过程中的转折点。无论是帮助提取关键签名以更好地应用于检测,还是生成威胁感知情报以通知整个行业的同事,恶意软件分析师都是宝贵的调查资源。6.首席信息安全官/安全总监作为首席信息安全官,您将成为IT部门和董事会之间的平衡者,对业务和信息安全具有同等的理解。除了您的影响力和谈判能力外,您还将全面了解全球市场、政策和法律。凭借创造性思维技能,CISO将成为天生的问题解决者,并将找到进入网络犯罪分子思想的方法,以发现新威胁及其解决方案。为什么这个角色很重要对于CISO,需要商业敏锐度和技术知识的良好平衡才能从技术角度快速处理信息安全问题,并了解如何针对更广泛的业务目标实施安全规划,并能够建立持久的安全系统和基于风险的文化来保护组织。7.BlueTeam–UniversalDefender这项工作的名称因组织而异,通常以任务的广度和所需的知识为特征。一体化防御者和蓝队成员可能是小型组织的主要安全联系人,必须处理工程和架构、事件分类和响应、安全工具管理等。为什么这个角色很重要这个工作角色很重要,因为它经常出现在没有预算为每个功能配备专门安全团队的中小型组织中。全能防守者不一定是官方职位,因为它只是所有防守者都可能做的防守工作——而且它只是每个防守者的一小部分。8.安全架构师和工程师设计、实施和调整控制,以有效结合以网络为中心和以数据为中心的控制,以平衡防御、检测和响应。安全架构师和工程师可以全面了解企业防御并在每一层构建安全措施。他们可以通过各种安全策略和程序来平衡业务和技术要求,以实施可防御的安全架构。为什么这个角色很重要安全架构师和工程师是多才多艺的蓝队队员和网络防御者,他们拥有一系列技能来保护组织的关键数据,从端点到云,跨网络和应用程序。9.事件响应团队成员这个灵活且反应迅速的角色在入侵者入侵时识别、阻止和消除攻击者。为什么这个角色很重要虽然防止入侵始终是最终目标,但这是信息安全不可动摇的现实,我们必须假设足够专注的攻击者最终会成功。一旦发现漏洞,事件响应者必须采取行动找到攻击者,将其影响降到最低,并最终将他们从系统中移除。这个角色需要快速思考、扎实的技术和文档技能,以及应对攻击者的方法。此外,作为团队成员,事件响应者应该具备广泛的专业知识。最终,他们必须有效地将他们的发现传达给团队的其他成员,从深层次的技术到执行管理。10.网络安全分析师/工程师由于这是该领域薪酬最高的职位之一,掌握相关职责所需的技能也很受欢迎。您必须具有强大的威胁检测、威胁分析和威胁防御能力,这对保护组织数据的安全性和完整性起着至关重要的作用。为什么这个角色很重要这是一个积极主动的角色,制定了公司在黑客攻击成功时要实施的应急措施。随着网络攻击者继续使用新的工具和策略,网络安全分析师/工程师必须与现有工具和技术保持同步,以建立强大的防御能力。11.OSINT调查员/分析师这些足智多谋的专业人员收集客户的需求,然后使用开源和大部分互联网来收集与其调查相关的数据。在工作中,他们研究域和IP地址、业务、人事问题、金融交易和其他目标。他们的目的是收集、分析并向客户报告他们的客观发现,以便客户在采取行动之前能够深入了解某个主题或问题。为什么这个角色很重要Internet上可以访问大量数据。许多人面临的问题是他们不知道如何最好地发现和获取这些数据。OSINT调查人员拥有从世界各地发现和获取数据的技能和资源。他们支持那些在网络安全、情报、军事和商业等领域工作的人。他们是事物的发现者和秘密的知晓者。12.技术总监该职位与开发团队一起定义技术策略,评估风险,制定标准和流程,并参与建设和发展强大的团队。为什么这个角色很重要随着技术类型的多样化,需要更多的时间和知识来管理。由于全球网络安全人才短缺,云迁移规模空前,法律和法规合规性使得问题越来越多、越来越复杂,技术总监在组织的成功运营中发挥着关键作用。13.云安全分析师云安全分析师负责云安全和日常运营。该角色可以帮助设计、集成和测试安全管理工具,推荐配置改进,评估组织的整体云安全状况,并为组织决策提供技术专业知识。为什么这个角色很重要从传统的本地解决方案到前所未有的云迁移,再到云安全专家的短缺,这个角色帮助组织深入思考并安全地定位自己以适应当今商业世界所需的多云环境。14.入侵检测/SOC分析师安全运营中心(SOC)分析师与安全工程师和SOC经理一起执行预防、检测、监控和主动响应。SOC分析师与事件响应团队密切合作,以便在检测到安全问题时快速有效地解决这些问题。这些分析师关注细节和异常情况,并且可以发现大多数人错过的事情。为什么这个角色很重要SOC分析师帮助组织更快地识别攻击并在它们造成更多损害之前采取补救措施。它们还有助于满足需要安全监控、漏洞管理或事件响应功能的监管要求。15.安全意识官安全意识官与其安全团队合作,确定组织中常见的人为风险以及管理这些风险的行动。然后,他们负责制定和管理旨在展示工作中安全行为的持续计划,以便有效地培训工人并与他们沟通。高度成熟的计划不仅会影响员工行为,还会营造强大的安全文化。为什么这个角色很重要人类是当今事件和违规的主要驱动因素,但问题是大多数组织仍然通过纯技术的角度来看待安全。你的角色将帮助你的组织从人的角度解决这个问题并弥合差距。该领域可以说是当今网络安全领域最重要、发展最快的领域之一。16.VulnerabilityResearcher/VulnerabilityDigger此角色要求您在组织和消费者使用的各种应用程序和设备中发现零日漏洞(一种未知漏洞)。在攻击者发动攻击之前找到漏洞!为什么这个角色很重要漏洞研究人员/漏洞猎手不断发现流行产品和应用程序中的漏洞,包括物联网设备、业务应用程序和网络设备,甚至是胰岛素泵和起搏器等医疗设备。如果我们不具备在攻击者之前研究和发现这些类型漏洞的专业知识,后果可能很严重。17.应用渗透测试人员应用渗透测试人员通过评估各种易受攻击的基于Web的服务、客户端应用程序、服务器端进程等的攻击面来探测企业应用程序和防御的安全性和完整性。应用程序渗透测试人员模仿恶意攻击者,绕过安全障碍,以获取对敏感信息的访问权限,或通过旋转或横向移动等技术获取对公司内部系统的访问权限。为什么这个角色很重要Web应用程序是企业内外业务运营的关键环节。这些应用程序通常使用开源插件,这会使应用程序面临安全风险。18.ICS/OT安全评估顾问一只脚踏入激动人心的攻击领域,另一只脚踏入生命关键过程控制环境。发现系统漏洞,与资产所有者和运营商合作,降低被发现的可能性,防止黑客入侵。为什么这个角色是重要的造成巨大损失。19.DevSecOps工程师作为DevSecOps工程师,您开发自动化安全功能,利用一流的工具和流程将安全性注入DevOps管道。这包括在关键DevSecOps领域的领导地位,例如漏洞管理、监控和日志记录、安全操作、安全测试和应用程序安全。为什么这个角色很重要DevSecOps是对遗留安全模型可能在现代持续交付安全管道中造成的瓶颈的自然而必要的回应。其目标是弥合IT与安全之间的传统鸿沟,同时确保快速安全地交付应用程序和业务功能。20.媒体开发分析师该角色使用数字取证技术调查各种媒体。如果您对计算机犯罪感兴趣,并且想要恢复被黑客攻击、损坏或使用过的犯罪文件系统,那么这就是您的理想职业。在此职位上,您将协助调查从各种来源收集的计算机和媒体,以便提供可靠的取证证据。为什么这个角色很重要您通常是第一响应者,或者是第一个接触到犯罪活动证据的人。常见的例子包括恐怖主义、反情报、执法和内部威胁。你与媒体的合作,从收购到最终报告,是调查不可或缺的一部分。译者介绍刘涛,社区编辑,某大型国企系统启动检测与管控负责人。主要职责是对系统上线验收的漏扫、渗透测试、基线检查等进行严格审查。拥有多年网络安全管理经验。多年PHP和Web开发与防御经验,Linux使用与管理经验,丰富的代码审计、网络安全测试与威胁挖掘经验。精通KaliSQL审计、SQLMAP自动检测、XSS审计、Metasploit审计、CSRF审计、webshel??l审计、maltego审计等技术。原标题:网络安全工作角色与职业选择指南,作者:DhaneshDodia
