《網絡犯罪》雜志列出了50種網絡安全職位的清單,招聘組織CyberSN也提出了自己的45種網絡安全職位類別的清單。
與其相似的是,一家幫助企業撰寫招聘廣告的公司OnGig.com分析了150個網絡安全職位,并列出了排在前30為的職位清單。
本文來源于我對Springboard所做的研究,Springboard是最早的具有工作保障和1:1指導的網絡安全訓練營之一。
特別是,CyberSeek.org是一項針對網絡安全工作市場的行業聯合計劃,它不僅提供了網絡安全內各個職位的互動列表,還為您提供了職業發展道路,展示了不同職業該如何獲得晉升。
更為復雜的是,這些頭銜和角色通常不是標準化的,而且隨著行業本身的發展它們會不斷變化。美國國家科學技術研究院在其“國家網絡安全教育倡議”勞動力框架中,確實嘗試使用以下概念來對職位進行標準化的描述:
任務(該職位所執行的內容)
知識(該職位所需掌握的知識)
技能(該職位的人執行任務時所需掌握的能力)
組織可以使用這些概念來創建角色和團隊來執行他們所需的任務。
另外還需要注意的是:根據Cyberbit的2020SOC技能調查報告,人力資源部門可能不了解網絡安全工作市場或該領域的人員聘用方式。
我們必須在這里指出一些特點,網絡安全工作職位根據所需的經驗水平,還會因為您是“紅隊”(進攻性)或者“藍隊”(防御性)而有所不同。進攻性角色(例如滲透測試人員)通常需要更多經驗來建立對防御實踐的理解。
那么,最常見的網絡安全工作角色是什么?它們又有何不同?
一些更初級的職位,通常需要獲得CompTIASecurity+之類的認證,包括:
網絡安全分析師:網絡安全分析師負責保護公司網絡和數據。除了管理所有正在進行的安全措施外,分析師還負責應對安全漏洞并保護公司硬件(例如員工的電腦)。
安全工程師:安全工程師的任務是規劃和執行公司的信息安全策略以及維護所有安全解決方案。他們還可以負責記錄公司的安全狀況以及在其監督下采取的任何問題或采取的措施。安全工程師往往比分析人員更具防御能力。
安全顧問:安全顧問負責根據合同評估公司的安全狀況,同時還擔任其他IT員工的顧問。顧問的目標是威脅管理,他們通常會計劃、測試和管理公司安全協議的初始迭代。顧問通常在組織之外,而網絡安全分析師將在組織內部。
還有很多中級角色和更多的攻擊性角色,通常也需要獲得認證,例如道德認證黑客(CertifiedEthicalHacker),包括:
高級威脅分析人員:高級威脅分析人員將監視計算機網絡,以防止對文件和系統的未經授權的訪問。他們還向涉及公司技術防御能力的高級領導提供報告。
信息安全評估員:信息安全評估員對公司的安全狀況進行審查并提出建議。他們通過采訪IT員工,審查網絡的安全性并測試漏洞來做到這一點。評估者還審查公司的安全策略和程序。
滲透測試員:滲透測試員被雇用來合法地入侵公司的計算機網絡。測試人員還可以使用社會工程學的策略,并通過口頭上假裝自己是可信任者以嘗試獲取信息。如果發現漏洞,滲透測試人員將提出建議以增強安全性。
更高級別的,是特別需要證書的,例如信息系統安全專業人員(CISSP)之類以及需要有至少五年的經驗的高級職位,包括:
信息安全分析師:在信息安全分析師,負責保護公司的網絡和維護所有的防御抵抗攻擊。在網絡中斷的情況下,分析師還可以實施公司的災難恢復計劃。順便說一句,根據OnGig的說法,這是雇主最常提到的對網絡安全職位的描述。
信息安全經理:信息安全經理制定旨在保護公司網絡安全的策略和過程。他們監督信息安全分析師,同時確保公司符合信息安全標準和規范。作為經理,他們負責雇用和培訓新的信息安全分析師。
最后是首席信息安全官。這是中層行政職位,通常向首席技術官、首席信息官、首席財務官甚至首席執行官報告,并且通常代表網絡安全職業道路的最終目標。
CISO負責監督公司的整體安全計劃。他們最終應對網絡安全漏洞負責,并與其他主管一起確保部門遵守安全標準。
如您所見,網絡安全職位有很多可能的頭銜,了解一些較為常見的職位很重要。同時,注意一家公司對不同角色的定義也很重要,這樣您才能最終找到適合自己的工作。
本文翻譯自:https://thehackernews.com/2021/04/what-are-different-roles-within.html如若轉載,請注明原文地址。
