一個最良好的APT防禦產品都需要人來使用。而用好這些產品有賴於有效的安全運營中心(Security Operations Center)團隊,SOC應該配備怎樣用的人員來做安全分析師呢?熱情?經驗?溝通能力?還是王牌證書和學歷?今天Palo Alto首席安全官Rick Howard教你5個SOC安全分析師必不可少的重要技能。
對領導者而言:
從零開始,或者對一個“性能”一直不怎麼好的的安全運營中心(Security Operations Center)進行建設,那是一個容易令人卻步的挑戰。如果網絡***者比你的SOC裏的分析員還厲害,那在這個企業裏就不會再有人能夠發現他們。你可以部署最大、最好的工具到你的安全工具庫裏,但是如果沒有合適的人去運用它們,去分析它們生成的數據,那麼再好的工具都是在浪費你的時間。
對員工的而言:
在過去的十年裏,我們的大學、專業的認證培訓計劃,一直都在爲訓練符合要求的網絡安全專家而努力。這幾乎已經讓網絡安全“磚家”認爲招聘一個從正規培訓機構或者拿到信息安全學位的網絡安全認證通過者可以被錄用坐在SOC裏面。這已經成了不可否認的事實了,而Palo Alto的CSO——Rick Howard的經驗來看,通過一個認證考試或者拿到一個學位,只能簡單的說明這個潛在的員工是個很好的考試者,或者有很強大的決心通過考試。但卻不能代替一個SOC分析師所需要的寶貴的工作經驗。當然並不能否認認證培訓計劃是網絡安全人員完成教育的重要組成部分。例如CISSP,例如SANS的各種培訓計劃。
“熱情”與“經驗”
合格的SOC安全分析師至關重要的是兩個屬性分別是“熱情”和“經驗”,SOC分析師需要深刻的理解計算機、網絡是怎麼在0和1的世界裏運作的。能夠編寫代碼,製作分析所需要的工具。他們必須喜歡這些基礎的東西,並且能夠向不同類型的“聽衆”(例如同樣是搞計算機的各種愛好者、IT管理層)講解他們所知道的這些基礎知識。Rick Howard甚至認爲如果他們家裏沒有一臺linux玩玩,那他們簡直是不夠資格的。簡單地可歸納爲三點,第一,他們必須對計算機學科具備基本的理解,第二,對這門技術具有熱情,第三,他們需要具備向所有願意聽的聽衆解析他們所知道的知識。
PS:小編看來,第一、第二都是老生常談不可或缺的內容了,反而是第三點往往容易被忽視。也許計算機“怪才”都是自己懂,而不善於表達吧。但是自己懂又能以通俗的方式說出來的確是對“基礎知識”理解的又一個更深的層次和要求。
在Rick Howard看來,SOC分析師應該已經在IT的戰場上打滾過,爲什麼說是打滾,因爲Rick Howard理想的SOC分析師要在IT 幫助臺做支持,在數據中心管理服務器,管理安全設備等等,說白了就是跟IT跟安全有關的打雜活都要幹過。因爲只有這樣,當***沿着kill chain一步步進入你的網絡時,SOC安全分析師才能夠對這些動作結合上下文能夠有所瞭解,纔能有這個敏感性,才能明白當那些以你的CEO爲目標的***者,繞過了你的安全控制措施時,其所代表對網絡的影響到底有多大。只有這些經歷,才能讓你的SOC安全分析師知道一定要去幹什麼,特別是當***主義***者意圖通過在你的官方網站留下程序錯誤來詆譭你的商業聲望的時候。憑着這些經驗SOC安全分析師的直覺就會知道犯罪犯罪想竊取你的客戶信用卡號碼時又些什麼***行爲是一定會去做的。如果沒有這些IT背景、經驗,安全分析師在SOC裏面將無法理解他們正在看到的事件告警是代表着什麼。
五大必備技能
說了那麼多,最後把Rick Howard認爲5個最重要的入門級SOC安全分析師所必備的技能總結爲:
- 對計算機科學有很好的理解:算法、數據結構、數據庫、操作系統、網絡和工具開發(這裏的工具開發可理解爲能夠幫助你工作的小工具)
- 對IT日常運作有很好的理解:help desk經驗、終端管理、服務器管理
- 很好的溝通能力:可以清楚的寫作,可以權威的向不同類型的聽衆講解,這些聽衆包括管理者和技術員
- 對***者的動機有很好的理解:犯罪分子、***主義分子、網絡好戰者、網絡間諜***分子、明白網絡主義宣傳者跟網絡***恐怖分子的區別
- 對安全運作的概念有很好的理解:邊界防禦、BYOD管理、數據丟失管理、內部威脅、Kill Chain分析、風險管理
對於一個更高級的分析師,需要包括以下技能:
- 對漏洞管理有很好的理解:有什麼漏洞,我們是如何發現的,我們應該如何修復他們
- 對惡意代碼有很好的理解:逆向工程的技能,對上述(基礎部分講的)***動機能從TTP(tactics, techniques and procedures)進行分析的經驗
- 對性能技術基礎有很好的理解,特別是大數據
- 掌握基礎網絡安全情報技術
- 掌握外語(第一梯隊:中文,俄語,阿拉伯語,韓語;第二梯隊:日語,德語,法語,葡萄牙語和西班牙)
PS:小編看到最後一條對外語的要求已經石化了。一個技術屌絲要向高級邁進還要學這麼多外語。
容易被忽視的“溝通”
最難的技能是找到潛在的SOC安全分析師,能夠有能力從原始的RAW信息提煉成情報進行溝通、書寫或者表達出來。Rick Howard自己也明白這個說法似乎不太直觀(相比上面的top 5),他列出一個SOC安全分析師所需要的一系列複雜的技術能力,而卻說最稀罕的是“寫句子”的能力。但這確是事實,因爲把一個安全事件向業務或者管理層領導說明清楚其影響是件很困難的事情。你可以是這個地球上最聰明的惡意代碼逆向工程師,但是如果你不能夠把這種geek語言轉變成一個可被認知可被理解的語言來進行溝通,那這些知識都是無用的。
最後給領導者的話?
Rick Howard認爲作爲補償的是,SOC安全分析師只要有以上的基礎再加一項或以上專長技能,那麼市場價將有10萬一年,聽好了,是10萬美元。Rick Howard認爲僱主可以少給點,但是僱傭回來的分析師可能沒有所需要的技能。
最後Rick Howard向SOC的管理者說,如果你是在組建一個嶄新的SOC團隊或者升級一箇舊的,千萬別忽略了你僱傭的分析師的技能,同時不要被那些拿着嶄新的認證或者信息安全學位證書的“網絡安全專家”所矇蔽,雖然他們走的路是對的,但是你更需要一些有實戰經驗的。
轉載出自:FreebuF.COM