网络安全分析师负责监控、记录和支持客户IT和OT环境的网络安全状况。该角色专注于审查和分析安全警报、识别漏洞、维护网络安全配置,并将潜在威胁或事件升级给高级团队成员。分析师利用来自多个网络防御工具(如SIEM、IDS/IPS、防火墙、网络流量日志)的数据来检测、分析和缓解企业和运营技术网络中的网络安全威胁。
主要职责和责任
• 监控、检测、识别并警报潜在的网络攻击、入侵、异常活动和滥用事件
• 分析警报和日志以区分恶意活动与正常系统行为
• 通过持续监控和分析支持企业和运营网络的保护
• 分析来自各种系统和应用程序的日志、数据包和安全消息
• 识别网络威胁战术、技术和方法(TTPs)
• 识别、记录并帮助弥补组织网络安全状况中的差距
• 测试系统漏洞并支持漏洞管理计划
• 根据既定程序记录和升级事件
• 响应紧急网络安全事件,包括必要时的下班后支持
• 审查事件以确定根本原因和运营影响
• 监控针对组织或合作伙伴利益的外部威胁和敌对内容
• 推荐程序改进以支持强大的网络卫生
• 准备威胁简报、情况更新和威胁活动报告
• 跟踪并报告企业环境中的对抗性活动
环境和技术重点
• 支持互联网访问、路由、安全策略和用户访问的企业IT网络
• 支持建筑系统的运营技术(OT)环境,例如:
• 暖通空调、照明和电气系统
• 访问控制和闭路电视
• 建筑自动化和调度系统
• 具有光纤基础设施的中型分布式校园环境
• 多个建筑环境,每个环境作为单一域内的独立网络运行
• 涉及IT和OT系统的日志收集、远程故障排除和系统监控
教育和必要经验
• 首选商业、技术或相关领域的副学士或学士学位
• 3-5年IT安全或网络安全经验
• 具有SIEM平台、IDS和IPS技术的经验
• 具有日志、网络数据包和安全事件数据处理经验
• 基本脚本技能(Python、PowerShell、Bash)
• 具有漏洞管理和测试经验
• 具有网络数据包分析经验
• 具有日志分析和日志管理经验
• 具有云安全管理接口经验
• 具有企业认证系统经验(如Active Directory、IAM平台)
• 优先考虑事件处理和响应经验
工作知识
• 核心网络安全概念(CIA三元组、加密、风险管理)
• 网络协议和流量流动
• 网络安全威胁、漏洞和威胁狩猎
• 网络安全法律法规
• 熟悉NIST和MITRE ATT&CK等安全框架者优先
• 理解IT和OT网络环境之间的差异
• 具有项目团队工作经验;优先考虑项目管理经验
• 中级威胁情报研究和方法论理解
• 熟悉对抗性TTPs
