检查威胁并讨论攻击：Positive Technologies的网络安全分析师做了什么

信息安全领域具有不同的专业领域，并且专家本身在当今的劳动力市场上也有大量需求。如果我毫不犹豫地尝试找出与信息安全相关的五个活动领域，那么我想到以下几点：信息安全管理员，SOC（安全运营中心）分析师，pentester或安全分析师，信息安全工程师，安全系统操作员。但是，与其他任何领域一样，在信息安全中，有一些活动领域处于专业交汇处。这些领域之一是由Positive Technologies一次成立的-信息安全分析师。

无纸安全

很容易猜到分析师正在收集和处理信息。Positive Technologies的信息安全分析师的日常工作是根据咨询项目的结果来准备报告和演示文稿。这些项目包括：

• 渗透测试（最底层），
• 服务红队VS蓝队，
• Web和移动应用程序的安全性分析，
• 分析银行系统（RBS，ATM，支付终端）的安全性，
• 电信网络的安全性分析，
• 工业控制系统的安全性分析，
• 网络事件调查。

该列表（并且远离所有领域）清楚地表明，分析师必须同时沉浸在各种主题中，并不断提高自己的知识水平。这就是为什么将这项工作与“纸质”安全性进行比较是错误的。分析师撰写的每份报告都围绕一个实际组成部分。



例如，几年来，我们公司一直在帮助提高日本其中一家公司的信息安全级别。分析师积极参与了在东京客户现场进行的一系列项目。分析师的工作不仅包括编写详细的报告，还就与项目结果有关的所有问题咨询客户。分析人员解释了网络犯罪分子如何以及在何种条件下可以利用已识别的漏洞以及可能导致的攻击。此外，他设法扩大自己的视野，下班后在东京旅行。



分析人员的工作结果不是同一类型的法规，政策，定型文件，也不是威胁或违规者的理论模型。这是对从Internet渗透到本地网络以及对运营公司的IT系统进行攻击的真实方法的描述。让我们举一个简单的例子。







图1.从一个戊酯收到的数据的示例

如图1所示，在收到来自五分之一秒的截图以确认攻击后，分析人员意识到，试图查找该公司的通讯簿并从Web版本的Outlook下载员工的所有电子邮件地址。他在报告中描述了攻击的整个过程，以及允许进行攻击的安全缺陷，并提出了消除这些缺陷或补偿保护措施的建议。通常，这种攻击的下一个阶段是为接收的地址选择密码。



分析师对所有发现的漏洞和渗透测试人员使用的技术进行了详细的分析，这意味着他必须对每个漏洞的利用方式，漏洞是什么，用于执行攻击的工具以及如何进行预防具有很好的了解。当然，他必须能够在报告中正确说明这一点，描述建议，以便客户方面的专家可以轻松地理解并消除问题。

在网络安全和业务之间

在某些方面，分析师的工作类似于接收草稿并创建最终文档的技术作家的任务。但这只是工作的一部分。作为项目活动的一部分，分析人员经常与技术专家进行交流，讨论发现的漏洞，阐明攻击的所有细节。这使他可以很好地理解问题的技术本质，以便随后可以在报告中尽可能详细地揭示它。



分析人员应该能够在任何级别（技术和“业务”）展示渗透测试的结果。技术报告使信息安全管理员可以消除漏洞，但是管理人员将完全无法理解这样的文档。 CEO不会在200页的文档上浪费宝贵的时间，而是尝试研究信息安全术语。例如，如果大公司的董事长在听，您将如何谈论SQL注入和CSRF在订单处理中？



此外，分析人员必须了解可能的攻击将如何影响单个系统的性能以及这会对业务造成什么风险。这就是为什么定期招募分析师来捍卫管理层面前的项目或准备简短的演示文稿和一页简历的原因。甚至在某些情况下，分析师还会为部长准备一份有关网络事件结果的简短报告。不用说，此类文档需要特殊的方法。

与记者的研究和交流

工作的另一部分是研究。在项目中获得的知识是独特的，因为它基于对现有IT系统的实际实施的攻击。分析人员成为此类知识的保管人。



如果执行渗透测试的技术专家沉浸在一个选定的工作领域中，并且他的任务范围很典型，那么分析师会定期与许多不同的项目建立联系，这意味着他对行业环境中的信息安全水平有一个总体了解。他可以根据系统类型来评估哪些漏洞更常见，哪些公司的防护效果更差，哪些攻击技术最相关。



例如，我们最近对针对俄罗斯公司的针对性攻击进行了广泛的研究。结果是四篇文章，其中我们展示了网络组织在攻击信贷，金融部门，工业，燃料和能源综合体以及政府机构的俄罗斯企业时使用了哪些策略和技术。不久之前，我们在黑暗的网络中的地下论坛上分析了广告，他们在其中出售和购买各种用于网络攻击的工具和服务，并估计组织一次针对犯罪分子的攻击可能要花费多少。

我们的其他研究可以在公司的网站上找到。







2. Positive Technologies

大量的安全性分析工作成果也可以被概括并以非个人形式呈现给整个信息安全社区。该分析师汇集了Positive Technologies各个部门的专业知识，撰写了在公司网站上以及在杂志，报纸，博客，社交网络和其他媒体上发表的文章，进行了在线研讨会并在会议上发表了讲话。为了解决最紧迫的信息安全问题并帮助感兴趣的听众了解复杂的问题，分析师向记者发表评论，参加电视和广播的现场直播，以及新闻发布会。 Izvestia，Kommersant，RBC，RIA Novosti只是经常涵盖我们专家工作成果的出版物的一些示例。这种方法有助于向社区传达信息安全领域中最有趣的趋势，并提高人们在信息安全方面的普遍素养。

分析师在市场上是独一无二的

在大学或高级培训课程中，它们仅提供基础-分析师无法获得他在工作过程中获得的知识。分析师通过参与项目不断地发展和补充他的知识。每个新项目都提供了学习新攻击方法并查看其在实践中如何实施的机会。沉浸在不同的主题中，您可以不断扩大视野。这是一个专业发展的独特机会。



在工作中获得的知识可以应用于其他专业。有一些例子，说明分析师搬到了渗透测试部门。或者当分析师成为成功的咨询项目经理时。但是，恰恰相反，有些人想要从事数据分析并在这一领域发展。



来自不同信息安全领域的高级学生和专家来了我们的团队：安全系统工程师，大学某系的副教授，逆向工程师，安全产品认证专家，个人数据保护领域的咨询专家。也有技术科学的候选人。分析人员的培训水平也得到了国际证书的确认：我们的专家拥有OSCP，CISSP和CEH等证书。

如何成为分析师

如果在阅读本文后，您意识到自己已经具备了使我们加入团队的全部素质并且希望与我们一起成长，请将您的简历发送至career@ptsecurity.com，我们将进行面试。如果您对自己的能力没有信心，但是您了解渗透测试和漏洞，我们准备考虑担任初级职位的成功候选人。培养专家是我们的首要任务之一。