【注】这篇文章的原文在DarkReading上发表,被翻译和刊载在Freebuf,并加入了译者的感想。现将译者的博文转载于此。同时,我也想再唠叨一遍,就是人之于SOC的重要性,有时候甚于SOC技术本身。国内的人大都热衷于讨论SOC技术,而忽略了对人,对安全分析师的关注,包括对整个安全分析师这项职业的重视。而正是由于这种忽视,使得目前国内的日志分析人员、安全分析师稀缺。

还要注意,安全分析师不是找个***那么简单,安全分析师不等于***,两者的技能是交集,甚至安全分析师的要求更全面更高,高就高在”表达能力“这个地方。


一个最良好的APT防御产品都需要人来使用。而用好这些产品有赖于有效的安全运营中心(Security Operations Center)团队,SOC应该配备怎样用的人员来做安全分析师呢?热情?经验?沟通能力?还是王牌证书和学历?今天Palo Alto首席安全官Rick Howard教你5个SOC安全分析师必不可少的重要技能。

对领导者而言:

    从零开始,或者对一个“性能”一直不怎么好的的安全运营中心(Security Operations Center)进行建设,那是一个容易令人却步的挑战。如果网络***者比你的SOC里的分析员还厉害,那在这个企业里就不会再有人能够发现他们。你可以部署最大、最好的工具到你的安全工具库里,但是如果没有合适的人去运用它们,去分析它们生成的数据,那么再好的工具都是在浪费你的时间

对员工的而言:

    在过去的十年里,我们的大学、专业的认证培训计划,一直都在为训练符合要求的网络安全专家而努力。这几乎已经让网络安全“砖家”认为招聘一 个从正规培训机构或者拿到信息安全学位的网络安全认证通过者可以被录用坐在SOC里面。这已经成了不可否认的事实了,而Palo Alto的CSO——Rick Howard的经验来看,通过一个认证考试或者拿到一个学位,只能简单的说明这个潜在的员工是个很好的考试者,或者有很强大的决心通过考试。但却不能代替 一个SOC分析师所需要的宝贵的工作经验。当然并不能否认认证培训计划是网络安全人员完成教育的重要组成部分。例如CISSP,例如SANS的各种培训计 划。

“热情”与“经验”

    合格的SOC安全分析师至关重要的是两个属性分别是“热情”和“经验”,SOC分析师需要深刻的理解计算机、网络是怎么在0和1的世界里运 作的。能够编写代码,制作分析所需要的工具。他们必须喜欢这些基础的东西,并且能够向不同类型的“听众”(例如同样是搞计算机的各种爱好者、IT管理层) 讲解他们所知道的这些基础知识。Rick Howard甚至认为如果他们家里没有一台linux玩玩,那他们简直是不够资格的。简单地可归纳为三点,第一,他们必须对计算机学科具备基本的理解,第 二,对这门技术具有热情,第三,他们需要具备向所有愿意听的听众解析他们所知道的知识。

    PS:小编看来,第一、第二都是老生常谈不可或缺的内容了,反而是第三点往往容易被忽视。也许计算机“怪才”都是自己懂,而不善于表达吧。但是自己懂又能以通俗的方式说出来的确是对“基础知识”理解的又一个更深的层次和要求。

    在Rick Howard看来,SOC分析师应该已经在IT的战场上打滚过,为什么说是打滚,因为Rick Howard理想的SOC分析师要在IT 帮助台做支持,在数据中心管理服务器,管理安全设备等等,说白了就是跟IT跟安全有关的打杂活都要干过。因为只有这样,当***沿着kill chain一步步进入你的网络时,SOC安全分析师才能够对这些动作结合上下文能够有所了解,才能有这个敏感性,才能明白当那些以你的CEO为目标的*** 者,绕过了你的安全控制措施时,其所代表对网络的影响到底有多大。只有这些经历,才能让你的SOC安全分析师知道一定要去干什么,特别是当***主义***者 意图通过在你的官方网站留下程序错误来诋毁你的商业声望的时候。凭着这些经验SOC安全分析师的直觉就会知道犯罪犯罪想窃取你的客户信用卡号码时又些什么 ***行为是一定会去做的。如果没有这些IT背景、经验,安全分析师在SOC里面将无法理解他们正在看到的事件告警是代表着什么。

五大必备技能

说了那么多,最后把Rick Howard认为5个最重要的入门级SOC安全分析师所必备的技能总结为:

    - 对计算机科学有很好的理解:算法、数据结构、数据库、操作系统、网络和工具开发(这里的工具开发可理解为能够帮助你工作的小工具)

    - 对IT日常运作有很好的理解:help desk经验、终端管理、服务器管理

    - 很好的沟通能力:可以清楚的写作,可以权威的向不同类型的听众讲解,这些听众包括管理者和技术员

    - 对***者的动机有很好的理解:犯罪分子、***主义分子、网络好战者、网络间谍***分子、明白网络主义宣传者跟网络***恐怖分子的区别

    - 对安全运作的概念有很好的理解:边界防御、BYOD管理、数据丢失管理、内部威胁、Kill Chain分析、风险管理

对于一个更高级的分析师,需要包括以下技能:

    - 对漏洞管理有很好的理解:有什么漏洞,我们是如何发现的,我们应该如何修复他们

    - 对恶意代码有很好的理解:逆向工程的技能,对上述(基础部分讲的)***动机能从TTP(tactics, techniques and procedures)进行分析的经验

    - 对性能技术基础有很好的理解,特别是大数据

    - 掌握基础网络安全情报技术

    - 掌握外语(第一梯队:中文,俄语,阿拉伯语,韩语;第二梯队:日语,德语,法语,葡萄牙语和西班牙)

PS:小编看到最后一条对外语的要求已经石化了。一个技术屌丝要向高级迈进还要学这么多外语。

容易被忽视的“沟通”

    最难的技能是找到潜在的SOC安全分析师,能够有能力从原始的RAW信息提炼成情报进行沟通、书写或者表达出来。Rick Howard自己也明白这个说法似乎不太直观(相比上面的top 5),他列出一个SOC安全分析师所需要的一系列复杂的技术能力,而却说最稀罕的是“写句子”的能力。但这确是事实,因为把一个安全事件向业务或者管理层 领导说明清楚其影响是件很困难的事情。你可以是这个地球上最聪明的恶意代码逆向工程师,但是如果你不能够把这种geek语言转变成一个可被认知可被理解的 语言来进行沟通,那这些知识都是无用的。

最后给领导者的话?

    Rick Howard认为作为补偿的是,SOC安全分析师只要有以上的基础再加一项或以上专长技能,那么市场价将有10万一年,听好了,是10万美元。Rick Howard认为雇主可以少给点,但是雇佣回来的分析师可能没有所需要的技能。

    最后Rick Howard向SOC的管理者说,如果你是在组建一个崭新的SOC团队或者升级一个旧的,千万别忽略了你雇佣的分析师的技能,同时不要被那些拿着崭新的认 证或者信息安全学位证书的“网络安全专家”所蒙蔽,虽然他们走的路是对的,但是你更需要一些有实战经验的。


【参考】

信息安全的投资结构