網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師/專家是企業(yè)組織在網(wǎng)絡(luò)威脅環(huán)境中建立強(qiáng)大防御能力的關(guān)鍵因素，承擔(dān)著監(jiān)控安全警報(bào)、分析潛在威脅以及響應(yīng)突發(fā)性安全事件等職責(zé)。一名成功的網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師需要同時(shí)具備專業(yè)安全能力和軟性職場(chǎng)技能，并且不斷地學(xué)習(xí)提升，才能面對(duì)千變?nèi)f化的網(wǎng)絡(luò)系統(tǒng)環(huán)境，幫助企業(yè)分析和解決各類網(wǎng)絡(luò)威脅問(wèn)題。

基礎(chǔ)階段：掌握必要的網(wǎng)絡(luò)安全運(yùn)營(yíng)技能

要成為一名頂級(jí)網(wǎng)絡(luò)安全運(yùn)營(yíng)專家，首先需要具備以下基本技能：

1、了解網(wǎng)絡(luò)系統(tǒng)

今天的網(wǎng)絡(luò)安全攻擊都是發(fā)生在聯(lián)網(wǎng)的計(jì)算設(shè)備和應(yīng)用系統(tǒng)上，而網(wǎng)絡(luò)安全工作的職責(zé)是維護(hù)網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行，確保數(shù)據(jù)安全，避免敏感信息泄露。因此，網(wǎng)絡(luò)安全工作者離不開(kāi)網(wǎng)絡(luò)和系統(tǒng)管理方面的技能，必須了解常用的網(wǎng)絡(luò)配置和系統(tǒng)管理方面知識(shí)，才能制定針對(duì)性的保護(hù)方案。

2、網(wǎng)絡(luò)安全監(jiān)控

監(jiān)控網(wǎng)絡(luò)活動(dòng)是網(wǎng)絡(luò)安全工作的重要職責(zé)之一。網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師需要了解如何使用眾多網(wǎng)絡(luò)分析工具，發(fā)現(xiàn)可能存在的入侵活動(dòng)或安全違規(guī)行為。同時(shí)，在網(wǎng)絡(luò)安全控制方面，安全分析師要保障所有接入點(diǎn)的安全，當(dāng)檢測(cè)出企圖進(jìn)入的惡意流量時(shí)，需要通過(guò)防火墻等設(shè)備，快速實(shí)施安全訪問(wèn)控制措施。

3、網(wǎng)絡(luò)流量分析

網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師需要切實(shí)了解實(shí)際的網(wǎng)絡(luò)流量數(shù)據(jù)。樣本捕獲文件可以從Wireshark樣本捕獲頁(yè)面等在線資源獲取，也可以捕獲測(cè)試網(wǎng)絡(luò)上的流量。分析師需要使用網(wǎng)絡(luò)流量模擬攻擊，并使用類似NIDS的snort創(chuàng)建檢測(cè)規(guī)則。

4、日志分析和搜索能力

網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師要能夠運(yùn)用多種日志分析技術(shù)，必須具備廣泛的知識(shí)，比如異常檢測(cè)、關(guān)聯(lián)分析和威脅搜索。此外，需要練習(xí)使用不同的日志管理工具和技術(shù)來(lái)解析和搜索日志。

5、端點(diǎn)安全保護(hù)

網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師應(yīng)該在端點(diǎn)安全工具方面獲得盡可能多的經(jīng)驗(yàn)，并了解高級(jí)威脅檢測(cè)機(jī)制，比如行為分析、機(jī)器學(xué)習(xí)和人工智能，以檢測(cè)和響應(yīng)威脅。當(dāng)前，主流的EDR解決方案可以實(shí)時(shí)洞察端點(diǎn)設(shè)備，幫助安全運(yùn)營(yíng)分析師快速檢測(cè)和響應(yīng)網(wǎng)絡(luò)安全事件事件。

6、加入活躍的網(wǎng)絡(luò)和安全社區(qū)

除了掌握網(wǎng)絡(luò)安全運(yùn)營(yíng)分析的基本能力，安全運(yùn)營(yíng)分析師還應(yīng)該保持積極主動(dòng)的心態(tài)，不斷積累集體知識(shí)和資源以保持敏銳度。分析師要與網(wǎng)絡(luò)和安全行業(yè)的專業(yè)人士交流，汲取經(jīng)驗(yàn)，提出問(wèn)題，趁機(jī)了解最新趨勢(shì)和技術(shù)。很多在線社區(qū)或者專業(yè)網(wǎng)絡(luò)安全協(xié)會(huì)都是與業(yè)內(nèi)同仁交流的途徑。

7、緊跟最新的行業(yè)咨詢

網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師應(yīng)該密切關(guān)注安全和網(wǎng)絡(luò)相關(guān)的咨詢網(wǎng)站，以了解最新的安全威脅和趨勢(shì)。此外，也有許多免費(fèi)的在線資源可以用來(lái)培養(yǎng)網(wǎng)絡(luò)安全技能，幫助入門級(jí)分析師學(xué)習(xí)協(xié)議分析、網(wǎng)絡(luò)取證和惡意軟件分析等先進(jìn)網(wǎng)絡(luò)安全運(yùn)營(yíng)技術(shù)。

中級(jí)階段：更深入地了解網(wǎng)絡(luò)威脅

網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師在完成基礎(chǔ)階段的能力積累后，就需要晉升到中級(jí)能力要求階段。在這個(gè)階段，安全運(yùn)營(yíng)分析師通常已經(jīng)具備了一定的實(shí)踐經(jīng)驗(yàn)，能夠輕松處理監(jiān)控、分析和事件響應(yīng)的日?；A(chǔ)性事務(wù)，并開(kāi)始承擔(dān)范圍更廣的工作職責(zé)，此時(shí)，就需要更深入地了解網(wǎng)絡(luò)安全威脅和企業(yè)各方面的安全攻擊面情況。對(duì)于中級(jí)網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師而言，需要根據(jù)工作要求，深入鉆研某些專門的領(lǐng)域，磨練在威脅檢測(cè)和事件緩解等方面的專長(zhǎng)，并開(kāi)始在一些小團(tuán)隊(duì)中承擔(dān)領(lǐng)導(dǎo)責(zé)任，并具有一定的事件處置決策權(quán)。

中級(jí)網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師需要解釋復(fù)雜的安全警報(bào)，將來(lái)源不一的數(shù)據(jù)關(guān)聯(lián)起來(lái)，更專業(yè)地解讀威脅情報(bào)源，為企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)工作做出貢獻(xiàn)。這包括進(jìn)行主動(dòng)的威脅搜索和與跨職能團(tuán)隊(duì)合作，以加強(qiáng)組織的防御。在這個(gè)階段，網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師應(yīng)該具備以下能力：

1、情報(bào)分析能力

網(wǎng)絡(luò)威脅情報(bào)是一組信息，通過(guò)這些信息，安全運(yùn)營(yíng)分析師能夠了解過(guò)去、現(xiàn)在和將來(lái)所面臨的威脅。即使企業(yè)已經(jīng)建立了強(qiáng)大的安全防御措施，網(wǎng)絡(luò)攻擊仍有可能發(fā)生。而通過(guò)威脅情報(bào)分析，可以幫助安全運(yùn)營(yíng)分析師提前預(yù)防和識(shí)別潛在的網(wǎng)絡(luò)威脅。只有具備收集和分析網(wǎng)絡(luò)威脅情報(bào)的能力，才可以減輕企業(yè)的網(wǎng)絡(luò)安全影響，并在安全事件發(fā)生時(shí)更快速的跟蹤、調(diào)查。

2、云計(jì)算安全

如今，幾乎所有企業(yè)都會(huì)在一定程度上使用云計(jì)算服務(wù)。這意味著企業(yè)必須要保護(hù)使用云的數(shù)據(jù)和業(yè)務(wù)應(yīng)用系統(tǒng)。目前，云計(jì)算安全的主要威脅包括身份管理不善、云應(yīng)用程序保護(hù)不力以及API的不安全連接等。隨著企業(yè)安全風(fēng)險(xiǎn)從本地轉(zhuǎn)向云端，它們需要具備云安全防護(hù)的專業(yè)團(tuán)隊(duì)和能力。安全運(yùn)營(yíng)分析師要掌握的云安全概念包括云服務(wù)模式、部署模式、安全控制措施、合規(guī)框架和事件響應(yīng)等。

3、主動(dòng)威脅搜尋

威脅搜索旨在識(shí)別和應(yīng)對(duì)能規(guī)避傳統(tǒng)安全措施的高級(jí)威脅。與被動(dòng)的安全事件響應(yīng)不同，威脅搜索要求安全運(yùn)營(yíng)分析師主動(dòng)分析組織網(wǎng)絡(luò)中的異常情況和安全隱患。中級(jí)安全運(yùn)營(yíng)分析師需要能夠結(jié)合使用先進(jìn)的工具、情報(bào)來(lái)源及自身的專業(yè)知識(shí)，發(fā)現(xiàn)細(xì)微的攻陷指標(biāo)變化和任何可能表明惡意活動(dòng)的異常情況。這個(gè)過(guò)程常常是迭代式的，需要深入了解組織的系統(tǒng)和潛在威脅情形。

4、大數(shù)據(jù)分析

在大數(shù)據(jù)廣泛應(yīng)用的時(shí)代，利用大數(shù)據(jù)分析技術(shù)是快速提升網(wǎng)絡(luò)安全防護(hù)能力的一種有效途徑。安全運(yùn)營(yíng)分析師在分析高級(jí)持續(xù)性威脅(APT)時(shí)，通過(guò)大數(shù)據(jù)分析是一項(xiàng)不可或缺的手段。大數(shù)據(jù)分析可以大大提升APT威脅的發(fā)現(xiàn)能力，因?yàn)橥ㄟ^(guò)查看大量數(shù)據(jù)可以有效發(fā)現(xiàn)安全異常情況，否則這個(gè)過(guò)程將花費(fèi)極長(zhǎng)的時(shí)間，而且不太可能識(shí)別出高級(jí)威脅。

高級(jí)階段：成為企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)的領(lǐng)導(dǎo)者

對(duì)于最高級(jí)別的網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師而言，需要由處理實(shí)際的技術(shù)任務(wù)向全面監(jiān)管組織的網(wǎng)絡(luò)安全運(yùn)營(yíng)態(tài)勢(shì)轉(zhuǎn)型。在這個(gè)階段，安全運(yùn)營(yíng)分析師將肩負(fù)企業(yè)全局的安全運(yùn)營(yíng)責(zé)任，并要負(fù)責(zé)協(xié)調(diào)和優(yōu)化企業(yè)整體的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，確保網(wǎng)絡(luò)安全運(yùn)營(yíng)戰(zhàn)略與組織的總體業(yè)務(wù)發(fā)展目標(biāo)相一致。

高級(jí)網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師通常也會(huì)被企業(yè)管理層視為組織中的網(wǎng)絡(luò)安全運(yùn)營(yíng)專家(SME)。他們是公司事件響應(yīng)計(jì)劃和事件調(diào)查流程中的主要貢獻(xiàn)者，需要領(lǐng)導(dǎo)高級(jí)安全措施和策略的落實(shí)工作。對(duì)于高級(jí)安全運(yùn)營(yíng)分析師而言，光有專業(yè)技術(shù)能力是不夠的，更需要具備出色的管理能力、協(xié)調(diào)能力、溝通能力以及報(bào)告能力等軟性職場(chǎng)能力：

1、有效溝通能力

網(wǎng)絡(luò)安全運(yùn)營(yíng)工作需要經(jīng)常與他人溝通。因此，高效向他人傳達(dá)可被準(zhǔn)確理解的信息將影響安全運(yùn)營(yíng)分析師的整體績(jī)效。網(wǎng)絡(luò)安全運(yùn)營(yíng)工作需要具備有效溝通的能力，尤其在處理復(fù)雜或突發(fā)性的安全事務(wù)上，無(wú)法有效溝通往往會(huì)導(dǎo)致理解和執(zhí)行時(shí)的偏差。

2、協(xié)同合作能力

網(wǎng)絡(luò)安全運(yùn)營(yíng)是個(gè)碎片化的技術(shù)領(lǐng)域，需要征求多方的意見(jiàn)。因此，高級(jí)網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師必須能夠與他人密切合作，努力實(shí)現(xiàn)團(tuán)隊(duì)的共同目標(biāo)。高級(jí)安全運(yùn)營(yíng)分析師通常都具有謙虛的工作態(tài)度，因?yàn)闆](méi)有哪個(gè)團(tuán)隊(duì)愿意與驕傲自大或過(guò)于自信的成員長(zhǎng)期共事，這會(huì)導(dǎo)致不滿或團(tuán)隊(duì)間的沖突。

3、安全管理能力

網(wǎng)絡(luò)安全運(yùn)營(yíng)工作“3分在技術(shù)、7分在管理”。高效的安全管理和運(yùn)營(yíng)能力，對(duì)于清楚地傳達(dá)威脅，并確保企業(yè)所有部門都認(rèn)知安全的重要性至關(guān)重要。只有通過(guò)高效的管理，安全運(yùn)營(yíng)團(tuán)隊(duì)的所有成員才能更緊密地相互合作，確保有效地完成工作。

4、報(bào)告展現(xiàn)能力

通過(guò)合適的事件報(bào)告，可以幫助公司管理層和安全運(yùn)營(yíng)團(tuán)隊(duì)準(zhǔn)確了解正在執(zhí)行的操作，并能夠準(zhǔn)確地衡量現(xiàn)狀和需要實(shí)現(xiàn)的目標(biāo)。在實(shí)際工作中，安全運(yùn)營(yíng)分析師往往需要依賴太多的安全技術(shù)平臺(tái)，因此需要分析師的專業(yè)處理，才能獲得準(zhǔn)確的事件報(bào)告。

5、獨(dú)立思考分析

網(wǎng)絡(luò)安全運(yùn)營(yíng)工作在日?；顒?dòng)中經(jīng)常碰到復(fù)雜問(wèn)題，需要能夠通過(guò)深入分析思考，才能更好地解決這些問(wèn)題。善于分析是網(wǎng)絡(luò)安全運(yùn)營(yíng)分析師不可或缺的一項(xiàng)優(yōu)秀品質(zhì)，良好的分析能力可以幫助安全運(yùn)營(yíng)分析師在阻止網(wǎng)絡(luò)攻擊時(shí)保持理性和警惕。

參考鏈接：

https://www.sentinelone.com/blog/the-cybersecurity-journey-pathways-to-becoming-a-top-tier-soc-analyst/。