目錄
隨著網路技術越來越發達,越來越多的網路安全職業出現,許多公司也出現不同職稱的角色,每個角色需要的技能都不太相同,畢竟技術越來越細節且複雜,不過讀者還是可以記住一些的工作職位,以及這些職缺的人員每天都做些什麼工作
紅隊
紅隊(Red Team)是指那些平常的工作專注於攻擊手法、漏洞分析產出分析報告的人員
網路滲透測試員
網路滲透測試員主要工作是探索與嘗試利用存在於目標網路內的漏洞,這份職業適合對於網路跟系統(Linux Distribution、Windows、macOS)有詳細了解以及樂於發現會破壞現有安全措施的人,同時要有良好的技術報告撰寫能力
網頁服務測試員
網頁服務測試員主要工作是測試網頁服務是否存在安全弱點,對於擁有網頁應用服務漏洞有很深刻理解,以及測試工程及挖掘漏洞能力的人員較為適合,需要了解網頁服務的黑箱跟白箱測試方法
雲端滲透測試員
該職務需要針對雲端基礎關鍵設施進行滲透測試,需要具備雲端基礎建設與滲透測試的理解,如果讀者對於探索關鍵基礎建設漏洞有興趣的話會很適合
漏洞開發員
漏洞開發員善於發現軟體內的漏洞並且開發相關的漏洞利用工具去實證,此職位需要具備逆向工程、讀懂底層的code以及繞過安全修復的能力,常見於Windows的Binary Exploitation(基本上就是Pwn的題目)要多練習
漏洞研究員
漏洞研究員的主要工作就是研究新型的軟體漏洞,找出漏洞利用的方法、分析該漏洞的影響程度、實作驗證概念(Proofs of Concept, PoCs)以及將他們的發現上報給該軟體公司或上級(職業道德是不拿自己發現的最新漏洞去暗網販售),對於想成為漏洞研究員的讀者來說必須精通逆向工程以及其他研究最新漏洞技巧的能力
藍隊
與紅隊相反藍隊(Blue Team)則是根據紅隊的攻擊制定出防禦方法的從業人員
安全管理人員
專職管理公司內部系統操作安全層級的系統管理人員,雖然中小企業可能是網管之類的,由網路安全專長的人員尤其是熟悉系統或網路管理設定來任職
網路防禦分析員
網路防禦分析員或有時稱作安全營運中心(Security Operations Center)分析員監控內部網路、分類網路行為以及發布資安通報等工作,此職位非常適合喜愛調查與搜索資訊找出異常行為的人,需要能夠分辨攻擊者使用滲透技術時會出現的網路行為
惡意軟體分析員
惡意軟體分析員顧名思義就是負責分析可疑或確實是惡意軟體的樣本,來找出該惡意軟體會如何在系統上運作,甚至盡可能地找出惡意軟體的目的,如果讀者熟悉網際網路以及逆向工程分析可疑的樣本才有機會任職
數位鑑識分析員
在資通安全法規當中提出有力的證據是非常重要的,而這些網路證據必須經由數位鑑識取得,就必須由數位鑑識分析員來採集,分析員調查資安事件時透過獲取資訊或分析入侵管道來還原事件的經過,想成為數位鑑識分析員必須精通系統與網路運作的知識,以及對於調查入侵事件有極大的興趣,最終將種種線索組合起來還原事件發生,就像網路偵探一樣
網路防禦事件應變
這裡雖然稱作事件應變(Cyber Defense Incident Responder)不過通常是指一個資安相關的人員或團隊,主要是回應資安事件發生時要怎麼應對,其職責包括識別資安事件的原因以及根據評估範圍給出容忍、排除或復原等建議
適合給擁有資深技術背景以及喜歡在高壓快節奏的環境中工作能夠快速找出根本原因的人,同時要適任這職位還必須有良好的跨領域溝通技能,能夠在技術背景與非技術背景之間遨遊
威脅獵捕人員
威脅獵捕(Threat Hunt)在防禦端來說是很重要的一個環節,利用最新的威脅情報主動找出組織內的網路或系統是否存在相同的威脅情報指標(Indicators of Compromise, IOCs)潛伏在公司裡,對於喜愛吸收最新的資安新聞以及搜尋自家服務或產品裡是否存在惡意行為的人非常適合這種職業
架構
另一種對於網路安全很重要需要考量的部分,就是在資安生命週期裡的架構做選擇,在系統或服務架構設計中就把安全機制實作進去對於資安才是最有效率的一種方法,我們來看看架構上有哪些職稱是對於資安有幫助的
企業安全架構師
許多大型企業內都擁有一組或多組企業安全架構職位,通常會任職於資安團隊或者架構團隊,這些團隊需要時時刻刻的思考自家商業行為以及建構相關安全服務的資安方案幫助組織,團隊裡每一個成員需要深入理解最新的前沿內部部署或雲端計算方案,享受開發抽象層的商業策略以及能夠跨部門討論技術細節的讀者很適合這種團隊
雲端架構師
雲端架構師屬於特別的架構師角色,主要負責設計以及監管目前組織內實作的雲端計算策略是否符合企業的目標以及需求,同時也需要了解雲端資安,舉例如何建構更安全的雲端元件以及安全性設定,適合給那些喜歡寫code以及建構基礎架構的人,通常有使用雲端服務或相關技術的經驗人士比較好上手
安全方案架構師
安全架構師(Security Architect, SA)設計抽象的架構方案給應用服務確保安全性,其方向應該契合企業安全架構,這樣的架構師雖然不做特定的資安或設計IT產品,但開發出來的架構應該要專注於更通用的安全模型,來保護產品需要的特殊安全需求,適合讓擁有廣泛資安方案知識的人來協助建構內嵌安全模型的應用服務(application-driven security models)
安全設計師
顧名思義就是替應用服務或IT基礎建設來設計、建造好維護的安全防護架構,跟安全保證團隊(Security Assurance Team)也有些類似,但他們不做設計類型的工作,而是審查以及委外設計工作給外部的供應商或內部開發團隊,例如雲端工程師就負責幫忙設計、建構以及維護雲端基礎建設架構
開發員
一般來說公司內的軟體工程師就是根據產品需求寫code,可能有些人是做核心作業系統的元件,有些人處理桌面版的功能、行動裝置版或網頁服務版的,在Vibe Coding盛行的這個年代,只有初階開發員以及資深開發員的差別,資深開發員總是追求優美以及有效率的程式邏輯,不過此文章還是屬於資安相關的代表此處的開發員要理解哪些寫法對於記憶體來說是有問題的,以及如何偵錯跟排除這類的寫法
DevSecOps
DevSecOps是由開發(Development)、安全(Security)以及運營(Operations)所組成的方法,很清楚的就描述了在軟體開發生命週期中引入了安全性的設計,比起開發完成後再加進安全管控機制還來得安全,DevSecOps工程師需要了解自動化安全測試以及其他與安全性相關的設計
對於原本就熟悉持續整合/持續部署(Continuous Integration/Continuous Development, CI/CD)工具的工程師來說,多學一些安全開發工具整合進來就可以勝任,不過由於還需要增加自動化安全測試流程進來,會讓開發團隊的開發流程更為緊湊
但卻保證安全性,比起推出產品被找到漏洞利用還來得好,原本熟悉DevOps的工程師需要去了解不同的攻擊面向要如何用自動化檢測工具找出問題,以及針對問題使用何種測試工具
網站可靠度工程師
網站可靠度工程師的任務是確保軟體系統的可用性及效率提升,除了原本具備軟體開發的經驗之外還需要使用自動化工具監控可信度相關的問題,設計發出警報以及回應相關問題的技能,想任職此職業需要認識容器化以及Kubernetes技術
系統鍛工(系統管理員)
系統管理員(System Hardener)主要就是設定系統安全性來降低資安風險,需要修改原本不安全的預設設定、移除用不到的應用程式以及確保防火牆的設定是正確且嚴謹的等等,如果讀者對於攻擊技術非常熟悉,平時喜歡把系統跟資料弄的更安全會很適合該職位
其他職位
除了傳統的紅隊跟藍隊其實還有其他種與網路安全相關的職缺
資安長
目前有許多公司都還缺少這種管理資安團隊的資安長(Chief Information Security Officer),畢竟需要多年的資安技術與管理經驗
安全測試員
由於許多軟體跟服務在設計時沒有注意到安全問題,所以是否觸發漏洞得自己一個一個去試,這便是安全測試員的責任,通常在開發團隊裡面會有專職的人員進行,針對文件上的需求進行產品的安全性範例測試,通常根據產品的功能設計自動化工具或人工檢測
如果是安全控管審查員(Security Control Assessor, SCA)就必須驗證安全性控管的設計以及確認是否合規,另一種特別的測試員則是通用標準安全評估員(Common Criteria Security Evaluator),其工作是要評估廠商的產品是否有滿足他們聲稱的安全性,以及確保的安全層級是否符合
安全保險執行長
安全保險執行長(Security Assurance Officer)這類的角色專注於驗證現有系統的控管機制與運作是否正確,另一種比較特別的是PCI品質安全審查員,其任職人員需要檢查組織獲得的付款卡工業協會認證是否合規,針對企業的PCI資料安全標準做品質把關
安全風險分析員
網路安全本質上就只是風險管理領域中的一個專業分支,在資安團隊中其實安全風險分析師的人數都佔有一定的數量,有時稱做資安風險與控管分析師或網路安全分析師還比較妥當,屬於資安顧問服務中的核心業務,主要的工作是了解網路安全威脅對於企業帶來的影響
識別分析員
同時也是身份識別與存取控管的安全分析員(IAM Security Analyst),主要協助組織初始化設定內部政策、法規以及工業標準,網路安全分析員有部分的業務也涵蓋IAM的工作
資安助理
基本上就處理關於資安相關雜七雜八的事情,從基本管理員的事情例如驗證身份資訊的辦理以及排錯、雙因子認證的申請、臨時卡片以及其他事項都是資安助理要處理的,產品廠商可能會指派處理安全性設定或者支援產品的管理,這類支援的角色通常資安團隊會認命最菜的那個
現今實在是有太多種不同職缺的存在處理不同的專業了,如果我們分類一下會像是
上圖就是根據營運為核心視角安排的單位,主要是監控以及事件回應等營運層面作為關鍵角色,同時涵蓋組織治理跟保險的職位,讀者可以根據自己的興趣、背景做出選擇,或者有興趣的職位也可以上網透過人力網站查看需要哪些技能去滿足
