有哪些工作,在哪些组织中承担什么日常职责?

哪些领域对辍学的人们有好处,而哪些领域对有经验的人们来说是好的第二职业来自各个学科?

评论

无线网络安全。这两个最脆弱的领域也是最有利可图的。 CEH(经认证的道德黑客)与无线安全证书一起是一件好事。这是最先进的技术。

只有一点点评论,但犯罪学是我发现的最有用的信息安全角色之一。我的一个朋友做过犯罪学,我做过互联网应用程序,他几乎不懂代码,但是作为威胁预测团队的一员在一家5大银行工作。我没事,但也许双修专业会很好!

@ user8456 CEH实际上是一个非常非常糟糕的证书。在大多数信息安全专业人员中,这被认为是个玩笑。 OSCP,CISSP等要好得多。

#1 楼

自最初提出此问题以来,业界一直在努力寻找答案。

NIST的国家网络安全教育国家计划(NICE)网络安全劳动力框架概述了最终的清单,并描述了52个信息安全工作角色。

Authorizing Official/Designating Representative
Security Control Assessor
Software Developer
Secure Software Assessor
Enterprise Architect 
Security Architect 
Research & Development Specialist 
Systems Requirements Planner 
System Testing and Evaluation Specialist 
Information Systems Security Developer 
Systems Developer 
Database Administrator
Data Analyst 
Knowledge Manager
Technical Support Specialist
Network Operations Specialist
System Administrator
Systems Security Analyst
Cyber Legal Advisor 
Privacy Officer/Privacy Compliance Manager
Cyber Instructional Curriculum Developer 
Cyber Instructor 
Information Systems Security Manager
Communications Security (COMSEC) Manager
Cyber Workforce Developer and Manager 
Cyber Policy and Strategy Planner
Executive Cyber Leadership 
Program Manager 
IT Project Manager
Product Support Manager
IT Investment/Portfolio Manager
IT Program Auditor
Cyber Defense Analyst
Cyber Defense Infrastructure Support Specialist
Cyber Defense Incident Responder 
Vulnerability Assessment Analyst
Threat/Warning Analyst
Exploitation Analyst
All-Source Analyst
Mission Assessment Specialist
Target Developer
Target Network Analyst
Multi-Disciplined Language Analyst
All Source-Collection Manager
All Source-Collection Requirements Manager
Cyber Intel Planner
Cyber Ops Planner
Partner Integration Planner
Cyber Operator
Cyber Crime Investigator
Law Enforcement /CounterIntelligence Forensics Analyst
Cyber Defense Forensics Analyst


尽管上述某些内容在每个组织(例如“软件开发人员”)中可能不是纯粹的“安全性”,但每个组织都有可能专门化不同组织的全部或部分安全性。

评论


那是一个巨大的清单,但是我不确定它在实践中到底有多有用。有趣的是,知道这些角色中有多少重叠,并且哪些实际上是独立的角色,需要从事不同研究工作的不同职业。

–芦苇
20年5月18日在12:25

@reed实际上,所有这些都在框架中概述

– schroeder♦
20-05-18在14:06

#2 楼

就像“安全性”一样,它实际上涵盖了几种主要类型的角色以及几个覆盖范围。这些实际上是完全不同的...

共同角色:


企业IT安全部门
这些人通常主要负责政策执行,审计,用户意识,监视,可能是某些企业范围的计划(例如SIEM,IdM等),以及偶发的事件响应。还可能会提供有关购买第三方产品(无论是COTS还是FOSS)以及任何外包RFP的安全性PoV。教育和培训,一些安全测试(或处理外部测试,请参见下文)-这包括渗透测试和审查代码,可能还定义了安全功能。一些组织将让安全团队也管理风险,参与威胁建模等。
外部顾问/审核员/安全测试员
通常以某种形式涵盖以上所有内容,通常包括强调渗透测试,代码审查和审核合规性(例如PCI)。另外,作为安全专家,其他类型的组织的专家,例如提供所有相关的建议……因此通常希望(尽管不一定是这种情况;-))是最新的。比任何人都更重要。
研究人员
其中可以包括学术界的研究,例如密码学家,还包括一些较大的安全厂商中的研究部门,研究和搜索新的漏洞利用/病毒/攻击/缺陷/缓解措施模型等。实际上,供应商研究通常被视为产品开发,而学术研究-嗯,我不能这么说,因为我不知道...

同样,在上述所有方面中,专家的知识领域也不尽相同,一个领域的专家不一定在其他任何领域都可以说出什么聪明的话:
路由器,防火墙,网络分段和体系结构等。
O / S安全性,当然可以根据O / S风格进一步细分(即Windows安全专家和Linux安全专家可能对彼此的知识不太了解) 。
应用程序安全性-即如何安全编程(可能需要根据语言,技术等细分),但也包括应用程序层攻击,例如Web攻击等。
风险管理专家-更侧重于业务方面,而较少关注技术
合规官-有些地方专门负责这些事务,他们是所有相关法规的专家,例如请注意,这是类似于边缘律师的工作!)
身份架构师-对于具有复杂IdM实现等功能的大型,对安全性要求较高的组织...
审计和取证专家主要与SIEM / SIM / SOC,以及事后调查。

最重要的是,有一些专门构建安全系统(在堆栈的每个级别),还有一些专门花费时间破坏它们-并非总是共享专业知识。 br />
我可能会跳过更多的细分市场,但是您已经开始了解图片了。正如您所看到的,安全人员或gal一天会做什么每天的基础与他们所工作的公司以及所使用的系统一样广泛而多样。大多数情况下,这样做确实需要多戴帽子,并且主要从事短期任务……但通常保持不变(通常)的是要求将重点放在风险(和威胁)上,无论这主要是定义防火墙规则的技术工作,或与业务和律师类型就组织当前的安全状况进行沟通。

至于如何进入该领域?理想情况下,您具有其他领域的一些经验(最好是专业知识),然后可以专门研究安全性。
您曾经是网络工程师?太好了,从关注网络安全开始,然后再去。
您当前是系统管理员吗?太好了,您可能已经在安全性方面做了一些工作,开始在该领域学习更多。
您从小就一直在编程,并且想要转向安全性?太棒了,您应该已经学习输入验证,加密,缓解威胁,安全的数据库访问等...了解更多信息,弄清楚您所缺少的内容,然后给我打电话;-)。
依此类推...另一方面,如果您没有背景并且想开始从事安全性工作,那将变得更加艰难-因为正如我所解释的,大多数情况下,安全人员都是专家,无论它是什么。您可以尝试加入一个渗透测试团队,然后从那里成长。...重要的部分是专注于风险管理(对于技术而言,是威胁建模)。

我也强烈建议阅读许多安全书籍和博客(我喜欢Bruce Schneier的东西),还尝试在应用程序方面尝试OWASP。

评论


您可以链接到有关建筑商和断路器的OWASP计划-非常适合您的其中一段。

–Rory Alsop♦
2011年5月12日23:21

michael-coates.blogspot.com/2011/02/vision-for-owasp.html这是吗?

–chx
2011年5月13日在2:24

@chx谢谢,但是。它基本上只是说有这样的倡议,但那里没有真正的解释。

–AVID♦
2011年5月14日19:30

我喜欢@john的答案,因为它提到了CISO,这似乎是具有巨大薪水潜力的新兴角色。最后我看了一下,薪水在300到80万美元之间。当然,如果您像Ashley Madison一样被黑客入侵,您将成为第一位被解雇的人。

–里克·查塔姆
2015年9月11日19:30在

@RickChatham CISO基本上是我提到的第一种角色的执行级别,但足够公平,足以引起人们的关注……

–AVID♦
2015年9月12日23:07

#3 楼

为了将来参考和完整性,我还想补充一点,英国网络安全挑战赛网站上有一个很好的清单,列出了8种不同类别的安全角色,并由信息安全专业人员协会(IISP)定义了有关每个角色和示例角色的说明。 )(我想是经过研究)。

http://cybersecuritychallenge.org.uk/careers/typical-roles/

我在这里引用以下内容:


事件和威胁管理者,
法证专家。

一种或另一种方式,您的工作就是正确的
。您可以管理组织的
网络的安全性,并将攻击者拒之门外。您
可能在一家测试
其他网络以评估其
安全性并建议如何使其不易受到攻击的公司中工作。没有人能够避免所有事件,因此您
也可能是事件经理,能够
在危机中迅速做出反应并
管理影响。
企业可能很难做出选择。您将需要与其他
经理一起工作,这些经理可能对
发生了什么,或者需要做什么
使系统恢复正常工作,但会知道
关于如果某些功能被停止对业务的影响。您
可能需要进行法医分析–
来了解攻击者是如何进入的,以及
他做了什么。计划应对不同事件的应对措施
,平衡所有不同需求
,对于应对危机非常重要
,而且您很可能会成为
业务连续性计划团队的重要成员。在该领域中有一些非常技术性的工作
,用于检查新的恶意软件,制定对策等。另外,
当然,由于移动设备越来越多,现在还不是全部在网络上
以前只能在计算机上保存更多数据并执行
功能。

此类别中的示例角色:事件和威胁管理与响应。事件管理器,威胁管理器,取证–计算机–移动和网络–分析师,CSIRT,攻击调查员,恶意软件分析师,渗透测试仪,灾难恢复,业务连续性。

风险分析师和经理。
为此,您需要了解
不同的威胁将如何影响
业务,并建议需要掩盖和承担哪些风险

董事会将听取您的建议
,您将需要能够
用非技术性语言解释风险,以显示对业务的影响
清楚地。一些风险管理者
是非技术性的,并且是通过业务产生的
,其他风险管理者是来自业务的技术方面的。
有些人参与了审计
/>,并确保
符合性问题得到理解和处理。一项对我们调查的答复
表示,这些人“向我们的客户说起关于风险和
合规性,解释法律,法规中的任何变化并确定
弱点并帮助客户
”。

此类别中的示例角色:风险管理,验证和合规。风险分析师,风险评估师,业务信息安全官,审核员,审计师。

政策制定者和策略制定者。

这些人设计了
安全策略,将定义
公司如何处理许多不同的
安全风险。正确制定政策
是组织
履行其法律义务的必须。让人们执行政策意味着
向人们展示政策为何重要
并提高人们对潜力的认识
不遵循建议的后果。
在私营部门,您有CISOs(首席信息安全官)
领导这项工作,通常由一个
团队支持。在政府中,有ITSOs
(IT安全官员)和DSOs
(部门安全官员)。后者负责物理,人事和信息安全问题,而IT安全官员通常向他们报告。

此示例角色类别:策略,政策,治理。战略,策略经理,ITSO,DSO,CISO。

运营和安全管理。

您可能负责保护组织的数据

>网络,笔记本电脑或移动设备。
由于我们都选择了不同的工作方式,并且新的
技术的发展每天都在创造新的
可能性,所以您每天都必须
>保持最新。您可以管理
加密和其他保护性措施,例如有关防火墙的规则,
安全日志和事件报告。

此类别中的示例角色:操作和安全管理。网络安全官,系统安全官,信息安全官,加密货币托管人,信息管理员。

工程,体系结构和设计。

如果您可以获取系统的设计,
这样,您就可以使
攻击者难以进入。但是情况
每天都在变化,如果要保持
,您将需要快速运行。您可能
处理硬件或软件,
设计和开发或安全的
应用程序。您可能是才华横溢的
安全软件编写者–过去,我们太多的编码人员
是被率先推向市场的压力所致,而又没有足够的能力/>安全意识。您可以设计或出售安全工具。销售与
营销是
业务的重要组成部分。

此类别的样例角色:工程,建筑与设计。架构师,设计师,开发,安全编码,软件设计和开发,应用程序开发。安全工具,实施。

教育,培训和意识。

培训是当今我们大多数人对业务的持续需求。随着新技术的上线,员工需要
了解如何有效使用它们
,以使企业
得以生存和安全地获得成功,因此可以管理新的风险。专家也需要保持最新状态,以便他们
了解新的攻击媒介,新的安全管理方法,新的评估和传达风险的方法。一些
销售工作与此工作紧密相关,因为它们会教育客户有关他们在业务中需要什么的信息。
有许多培训公司进行交易进行了
各个级别的培训,并尽最大努力
使其材料保持最新。我们调查中的
其中一位受访者
将其工作描述为:“提高
对网络安全相关的认识
在内部和向其他组织提供服务。为了
在内部制作,认证和提供网络
安全培训课程
,并作为其他服务提供给其他组织”。

该类别的示例角色:教育,培训和意识。安全计划经理。

研究。

研究涉及很多领域,其中一些
技术含量高,而另一些则
以策略为导向。有些人创建了复杂的模型,以帮助我们
迅速变化的情况
,而在没有技术帮助的情况下我们无法理解。其他人正在思考
关于未来的技术
,以及它们如何帮助我们进行管理
安全性更好。
调查的受访者将工作描述为“要调查新技术来管理风险并学习使用新技术来管理风险。
安全性研究的大多数人都集中在
前者,加密,防火墙等而又
后者,保护Internet 2.0的重要性更重要”。 “正在寻找下一个
“大事””; “研究
在现实世界中进行攻击的方式。跟踪各种类型的
恶意软件及其变化方式
,从而有可能防止对客户的重大攻击。根据
实际情况发明新的产品,并与开发人员合作
生产这些产品。”

此类别中的示例角色:研究。安全研究员。

专业从事互联网犯罪和数据保护的建议和起诉的律师。

数据安全的建议和起诉
和互联网犯罪。起诉这些罪行的肇事者并不容易,公司需要帮助以了解其责任
并收集证据。
由于数据丢失近年来
法律有一些重大变化。例如,
组织不足以照管人们在其系统上的数据的组织可能被处以最高50万英镑的罚款,因此许多人希望拥有
已审核安全策略,以确保它们符合要求。

此类别的示例角色:律师,负责数据保护和互联网犯罪的建议和起诉。


评论


你是对的。我给他们发送了一封邮件,直到他们回答为止,我删除了文本并留下了链接。

–约翰
2011年5月12日在22:54

我会99%肯定可以在此处弹出信息(注意-我是IISP苏格兰分会的主席,这就是我得到的指导:-)

–Rory Alsop♦
2011年5月12日23:19

@Rory Alsop IISP章节的主席是SE的主持人,我感到很荣幸:-)我今天终于获得了发布内容的许可,所以我更新了答案。

–约翰
2011年5月16日下午16:41

#4 楼

SANS研究所提供有关该主题的宣传册,价格为5.00美元:信息安全20个最酷的工作。该网页列出了标题以及一些示例说明。

评论


有可用的PDF吗?

– T. Webster
2012年11月24日5:54

可以,但是PDF是$ 6

–David Houde
2013年9月20日在7:55

“犯罪调查员发现坏人入狱。”对于成功的执法工作如何真正将国际网络犯罪分子绳之以法,这真是可笑的荒谬的大错。或大笑。两者之一。听起来我可以保留我的$ 6。

–大多数情况下
15年12月24日在6:42