網絡安全團隊的組成:關鍵角色和責任
為了實現 NIST 網絡安全框架,許多 SoC 分為最佳利用每位員工的經驗和經驗領域的團隊,如下所示:
#1: 安全分析師
網路安全分析師是安全團隊的實地成員,他們常常密切關注網路內安全威脅的氣味。
但是,考慮到網路資料的數量、需要保護的系統的範圍以及警報級別的可變性質,安全分析師的角色通常會進一步細分為三到四種關鍵類型。
階層 1:警示處理程序
這通常是經驗最少但同樣重要的任務角色。
Tier 1 安全分析師負責監控安全工具,以發現警示和設定錯誤。 當新警示出現時,他們會是第一個處理它們的人,因為他們會選擇優先順序和分類方式。
第 2 層:回應者
這個層級接收第一級分析師所識別的事件,並開始對其起源和更廣泛的影響進行深入分析。 由於任何環境獨有的警示種類繁多,因此日常細節可能會大幅改變。 這些深入的調查人員擅長進行複雜的分析,並且可以花更多時間交互參考出來的警報。
他們構成了企業事件回應能力的主體,並且由於他們在第一級職位上的經驗,他們通常非常熟悉企業網路的正常流程。
這種能夠快速且簡潔地了解潛在事件的複雜性,意味著第 2 階分析師也具有良好的應變地位:他們有助於構建控制、修復和復原的安全策略。
階級 3:現場專家或威脅獵人
他們的第 3 層分析師支持廣泛的事件調查:這些分析師是經驗豐富的分析師,並且已經專注於某些領域。
它們可以是:
他們通常被負責更主動的網絡安全元素,例如威脅狩獵。 進行滲透測試時,第 1 層和第 2 層都會扮演藍色團隊,而階級 3 通常會作為假攻擊者,讓組織的整個安全狀態都能從他們的進階經驗中受益。
無論級別為何,大多數分析師的工作班都是相同的開始:
現在的第一個任務是評估從上班中收集的信息,尤其是在 24/7 SOC 中,並從簡報開始有關正在進行的事件或需要進一步監控的事件。
第四階分析師:SOC 經理
SOC 經理負責分析師;由於他們基本上是傳統分析師職業生涯的最後一個演變,因此這個角色有時被稱為 4 級分析師。 他們指導 SOC 運營,並負責透過安全策略將分析師與更廣泛的開發營運和策略同步。
這就是他們構建和幫助執行網絡安全策略的方式。
SOC 經理的日常責任圍繞支持團隊並確保一切順利運行,包括:
- 提供培訓課程
- 招募新會員
- 委託團隊需要的外部服務和工具
#2: 安全工程師
雖然安全工程師並不總是 SOC 的不可或缺的成員,但由於他們在管理組織風險方面的角色,值得提及。 他們通常在軟件或硬件方面擁有廣泛的背景,並且通常負責設計安全信息系統。
這通常意味著他們一腳涉足 SOC,另一隻腳涉足開發營運團隊;他們還負責應用程式安全協議的文檔編制。
#3: 事故應變主任
事件回應總監負責整個事件回應流程,他們協調和指導應變工作的每個方面。
IR 總監對應小組內的所有角色承擔全部責任,並有權根據需要建立和指派其他角色以滿足事件的需求,例如指派多位分析師來處理特定資訊流。
這種動態的方法使他們能夠實時調整團隊的結構。
#4: 奇索
高於 SOC 經理一步是資訊安全主任 (CISO)。 無需管理個別分析師的干擾,他們幾乎只能專注於將組織遠離全行業威脅的策略決策。
向首席執行官報告,他們將安全需求與更廣泛的業務目標和預算進行平衡。
反映意見