為了促進整體資安人力的培育,目前全球有美國提出的網路安全人才框架NICE Framework、持續改進,2022年9月,歐盟旗下的網路安全局(ENISA)也發布網路安全技能框架,此規範的全名是European Cybersecurity Skills Framework,簡稱ECSF框架,提供歐盟成員國,甚至歐洲地區的其他國家,都能藉此克服資安人才不足的挑戰,擁有適當技能的人員,來保護關鍵部門,以因應越來越普遍的網路攻擊。
相較於發起NICE框架的美國NIST組織,歐盟ENISA是聚焦在歐洲資安的公務機構,成立於2004年,背後有歐盟網路與資訊安全法案的支持,目的是幫助歐盟成員國的網路與資訊安全發展,朝向更高水準邁進,其工作內容包括:提供歐盟網路安全的建議,提高ICT產品安全、服務與流程的安全與可信度,並於會員國與歐盟機構合作,共同幫助歐洲因應未來的網路安全挑戰。
將資安工作分為12種之多,成為此框架的最大特色
關於ENISA所設計的ECSF,簡單來說,它是用於識別與闡述歐洲網路安全專業人員角色的實用工具,涵蓋了12種角色的使命、任務、技能、知識,以及電子技能稱職能力,其主要應用目的是:在整個歐盟的個人、企業主、培訓計畫提供者之間,提供跨社群的共同語言,用以加強歐洲的網路安全文化,這也將是歐洲邁向未來數位化世界的重要一步。
從ENISA發布的ECSF相關資訊來看,共有兩份文件,一是ECSF框架對於工作角色的職務職能簡介,另一是ECSF的使用者手冊,裡面說明ECSF的設計原則與運用方式。
以前者而言,ECSF在此處定出12種網路安全工作的角色,分別是:資安長、網路事件處理人才、網路法規與政策合規長、網路威脅情資專家、網路安全架構師、網路安全稽核師、網路安全教師、網路安全實施人才、網路安全研究人才、網路安全風險管理人才、數位鑑識調查人才,以及滲透測試人才。
對於這樣的資安人才分類,我們認為,區隔出12種,這樣的數量算是適中,而且,ECSF定義的工作角色容易理解,對於許多人來說,可以相當輕鬆地識別資安工作角色,因此有望成為實用的資安人才職能地圖工具。
我們認為,這份框架可能借鏡美國NICE框架發展經驗,也參考NICE旗下Cyberseek專案對資安產業的10大職務,因此,使得ECSF一開始推出,就聚焦在容易閱讀及易於使用等特性。
基本上,有了ECSF框架,能讓我們根據這些不同資安角色的定位來思考人才配置策略,也就是說,使企業組織在建立網路安全團隊時,能從中找到可參考的部分。
因此,基於這樣的框架,接下來,讓我們看看企業資安防護背後需要那些關鍵角色,以及具體任務。
◆ 資安長
資安長主要負責企業資訊安全層面的企業經營。在ECSF的定義中,指出該角色的任務,是負責管理公司網路安全戰略及其實施,確保數位系統、服務與資安得到充分的安全與保護。此項角色的具體工作內容,包括下列14項:
1. 制定與業務策略相符的資安目標、需求、策略與政策,並做到實施、溝通與維護
2. 為組織高階管理層準備與提出資安願景、策略與政策,並確保其執行
3. 監督資訊安全管理體系(ISMS)的應用與改進
4. 教育高階管理層有關資訊安全風險、威脅及其對組織的影響
5. 確保高階管理層批准組織的資訊安全風險
6. 制定資安計畫
7. 與資安相關當局與社群建立關係
8. 向高階管理層報告資安事件、風險與調查發現
9. 監控資安方面的進展
10. 確保資源以實施資安策略
11. 與高階管理層協商資訊安全預算
12. 確保組織面對網路事件具資安韌性
13. 在組織內持續進行能力建設的管理
14. 對於資安資源進行審查、規畫與適當的分配
從上述內容來看,ECSF對資安長角色所賦予的任務,並不只是企業資安的管理、治理,特別的是,同時還需要在資安資源的層面,做好爭取、審查與分配的工作,並且負有教育高階管理層的責任。
◆ 網路事件應變人才
為了能夠因應資安事故,企業與組織必須有所準備,以ECSF的資安應變角色定義而言,就是監控組織的網路安全狀態,在網路攻擊期間處理事件,並確保ICT系統的持續運行。具體工作內容,包括下列11項:
1. 事件應變計畫的發展、維護與評估
2. 事件應變處理相關程式的制定、實施與評估
3. 網路安全事件的識別、分析、緩解與傳達
4. 技術漏洞的評估與管理
5. 衡量網路安全事件在偵測與回應上的有效性
6. 在網路安全或資料外洩事件後,評估網路安全控制與緩解措施的韌性
7. 針對事件應變處理測試技術的採用與開發
8. 建立事件結果分析與事件處理報告的程式
9. 處理安全事件後必須記錄對事件的分析結果與處理措施
10. 與安全維運中心(SOC)及電腦安全事件應變團隊(CSIRT)合作
11. 根據適用的法律框架與關鍵人員合作,進行資安事件報告
從上述這些任務內容來看,對於資安事件的應變,企業與組織不只是體認有事前、事中的工作要進行,更關鍵之處在於,在事後評估資安控制措施的韌性,並作出持續改善,同時也還要熟悉規範並將資安事件報告所需負責對象。
◆ 網路法規、政策合規長
在企業經營面對的法遵、合規風險之下,不論網路安全法律長、資料安全長、隱私保護長、資訊治理長、資料合規長等,此類角色在ECSF的定義中,就是要能根據組織的戰略與法律要求,管理所有合規事宜,涵蓋面向包括與網路安全相關的標準、法律和監管框架。此項角色的具體工作內容,包括下列12項:
1. 確保遵循並遵守資料隱私與資料保護的標準、法律與法規,並提供有關法律方面的建議與指引
2. 識別出合規面的隔閡差距並且如實記錄
3. 進行隱私衝擊評估(PIA),負責隱私政策與程式的制定、維護、傳達及培訓
4. 負責組織內資料隱私與保護計畫的執行與推動
5. 確保資料所者、持有者、控制者、處理者、主體,以及內部或外部合作夥伴與實體等角色,瞭解他們的資料保護權利、義務與責任
6. 作為關鍵聯繫人,處理有關資料處理的查詢與投訴
7. 協助設計、實施、審核與合規測試活動,以確保網路安全以及隱私合規性
8. 針對稽核與資料保護相關的培訓活動進行監控
9. 與有關當局與專業團體合作並分享資訊
10. 協助發展組織的網路安全戰略、政策與程式
11. 制定並提出員工意識培訓,以實現合規性要求,並在組織內培養資料保護文化
12. 管理資訊安全責任與協力廠商關係的法律問題
從這些涵蓋面來看,上述任務清單不只確保法遵與合規要求,負責資料保護推動,以及隱私衝擊評估(PIA)等,同時,身為網路法規、政策合規長,也是資料保護處理的關鍵聯絡人,並且要培養組織內部的資料保護文化。
◆ 網路威脅情資專家
面對日益嚴峻的網路威脅環境,採取主動威脅情資的對抗策略,將可縮短事中應變所需時間,提升主動式防禦的能力,並幫助企業快速識別內外部網路安全現況。
以ECSF的網路威脅情資角色定義而言,須對資料與資訊進行收集、處理、分析,並建立一個可行動資安情資(Actionable Intelligence)報告,再將其傳達給目標利益相關者。此項角色的具體工作內容,包括下列12項:
1. 對於組織內部網路威脅情資策略的制定、實施與管理
2. 制定計畫與程式來管理威脅情報
3. 將業務需求轉化為情報需求
4. 實施威脅情報收集、分析與產出可行動的情報,將資訊提供給安全上的利益相關者
5. 確定並評估針對組織的網路威脅行動者
6. 通過分析開源與專有的資料、資訊與情報,對於網路威脅行動者使用的戰術、技術與程式(TTP),能夠進行識別、監控與評估
7. 基於威脅情資製作因應上的可行性報告
8. 在戰術、運作與戰略層級上詳細說明並給出緩解風險計畫的建議
9. 將消費者有關網路威脅情資與利益相關者協調分享
10. 將情資用於威脅建模,並提出風險緩解與網路威脅狩獵的建議
11. 在各個層面公開表達與交流情報
12. 透過解釋風險暴露與其後果,向非技術的利益相關者適當傳達安全嚴重性
從這些任務內容來看,資安專家除了要建立網路威脅情報策略與分析機制,評估攻擊者的TTP,同時,ECSF也強調要洞察並提出可行動的情報,並肩負情報交流,以及風險暴露後果解釋說明的責任。
◆ 網路安全架構師
在數位化的時代下,我們必須建立基於安全而成的基礎資訊架構,使其獲得更多保障。
以ECSF的網路安全架構角色定義而言,就是要針對基礎架構、系統、資產、軟體、硬體與服務等層面,規畫並設計Security-by-design的方案,並顧及資訊安全控制。此項角色的具體工作內容,包括下列12項:
1. 設計並提出一個安全架構,以實現組織的策略
2. 開發組織的網路安全架構,以滿足安全與隱私需求
3. 建立並制定架構相關文件與規格
4. 向利益相關者展示高層次的安全架構設計
5. 在系統、服務與產品的開發生命週期中建立安全環境
6. 協調開發、整合與維護網路安全元件,確保符合網路安全規格
7. 分析與評估組織架構的網路安全
8. 通過安全審查與認證,保證解決方案架構的安全性
9. 與其他團隊與同事合作
10. 評估網路安全解決方案對組織架構的設計與性能的影響
11. 適應新興的威脅,調整組織的架構
12. 針對實施的架構持續評估,以維持適當的安全水準
從任務內容來看,網路安全架構師最主要的職責在於,設計並提出網路安全架構,同時要能適應威脅態勢,能夠持續評估與調整,並且要建立安全環境,提供系統、服務與產品的開發保障,也要能向利益相關者報告與展示高層次安全架構。
◆ 網路安全稽核師
要確保執行有效性、落實程度,稽核的制度與相關工作的落實不可少,網路安全也是如此,幫助對企業整體安全的查核,以找出風險並提出改善建議,確保企業組織業務的持續性。
以ECSF的網路安全稽核角色定義而言,就是對組織生態系統進行網路安全審核,確保符合法定、監管、政策資訊、安全要求、產業標準和最佳實踐。此項角色的具體工作內容,包括下列12項:
1. 制定組織的稽核政策、程式、標準與指引手冊
2. 建立用於系統稽核的方法與實踐
3. 確定目標環境並管理稽核活動
4. 定義稽核範圍、目標與稽核標準
5. 制定稽核計畫,描述框架、標準、方法、程式與稽核測試
6. 基於風險概況,審查目標評估、安全目標與要求
7. 審核符合相關的法律法規要求的網路安全
8. 審核符合相關的標準的網路安全
9. 執行稽核計畫並且收集證據與測量數據
10. 維護與保護稽核記錄的完整性
11. 製作並傳達關於符合性評估、保證、稽核、認證與維護的報告
12. 監控風險補救活動
基本上,網路安全稽核師的任務,就是圍繞在組織稽核機制、計畫與行動,同時,也要對於稽核後的風險補救予以監控。
◆ 網路安全教師
資安的重要性已不言而喻,除了提升企業組織內部資安文化,若要讓員工掌握如何遵守相關政策和程式,學習如何識別和預防各種資訊安全風險,進而提升整個組織的資訊安全水準,也是需要有人去推動。
因此,在ECSF框架中也針對相關工作內容制定出這樣的角色類別,並對網路安全教師角色給出定義,就是提升員工的資訊安全知識、技能與能力。具體工作內容包括8項:
1. 開發並更新網路安全與資料保護的課程與教材,提供基於內容、方法、工具與學員需求的知識,用於培訓與提高資安意識
2. 負責組織、設計並執行提高資安與資料保護意識的活動,包括研討會、課程與實踐培訓
3. 對培訓效果監控、評估並產出報告
4. 對於學員表現進行評估並報告
5. 尋找出教育、培訓與意識提高的新方法
6. 負責安全模擬環境、虛擬實驗室或網路環境的設計、開發與提供
7. 提供有關個人安全認證計畫的指導
8. 持續維護與提升專業知識;持續授權與鼓勵提升資安能力及能力建設
關於這方面的任務,或許有些視為人力資源單位執掌,但任務需求並不少,因而ECSF將之畫分為一大角色類別。從上述任務內容而言,主要圍繞在資料保護與資安意識,不僅是制定培訓素材與課程,同時也涵蓋認證計畫的指導,設計安全模擬的可用環境,持續帶動與建設組織內部的資安能力。
◆ 網路安全實施人才
以技術面而言,資安相關技術的開發、整合、測試、導入,以及維運、監控與支援,基本上,我們在這些工作當中,都仰賴資安人員管理與執行。
以ECSF提出的定義而言,網路安全實施人才要在基礎架構和產品上,開發、部署與操作資安解決方案,其目標涵蓋系統、設備、軟體、控制與服務。關於此項角色的具體工作內容,包括下列10項:
1. 資安產品的開發、導入、維護、升級、測試
2. 要為用戶與客戶提供與資安相關的支援
3. 整合資安解決方案,並確保其良好運行
4. 安全配置系統、服務與產品
5. 維護與升級系統、服務與產品的安全性
6. 實施資訊安全程式與控制
7. 監控並保證已實施資安控制的性能
8. 記錄與報告系統、服務與產品的安全性
9. 與IT/OT技術人員密切合作,進行與資訊安全相關的操作
10. 實施、應用與管理產品更新修補,以解決技術性漏洞
以上述任務而言,涵蓋面向相當廣,包含系統、服務與產品的安全性維護與升級,以及資安產品的導入、測試,甚至是開發,並要負責資安方案整合,還有實施資安程式與控制,而且,與IT人員、OT人員的緊密合作,也視為其主要任務。
◆ 網路安全研究人才
隨著威脅態勢演變,要持續促進資安相關技術與方法的進化,研究類型人才是關鍵,像是近年來,在產品面與策略面,從端點防毒到端點偵測與回應,從傳統邊界防護邁向網路安全零信任策略,就是簡單的例子。
以ECSF的網路安全研究角色定義而言,就是專注在資訊安全領域研究,並將結果納入資訊安全解決方案中。此項角色的具體工作內容,包括下列12項:
1. 針對資安技術、解決方案、發展與流程進行分析與評估
2. 在網路安全相關主題上進行研究、創新與開發工作
3. 展現與產生研究與創新的想法
4. 針對網路安全相關主題推動現有技術水準更進步
5. 協助開發創新的網路安全相關解決方案
6. 進行實驗並開發網路安全解決方案的概念證明、視點與原型
7. 選擇與應用框架、方法、標準、工具以及協議,包括建立與測試概念證明,以支持專案計畫
8. 為最領先與先進的網路安全商業理念、服務與解決方案作出貢獻
9. 為網路安全相關能力建設提供協助,包括意識、理論培訓、實踐培訓、測試、指導、監督與分享
10. 識別出跨部門的網路安全成果,並將其應用於不同的情境,或視提出創新的方法與解決方案
11. 領導或參與創新過程與項目,包括管理與預算的專案計畫
12. 發表與提出科學論文、研究與開發結果
根據這裡列出的任務清單,網路安全研究人才的定位有其特殊性,這是因為,我們可以發現,其任務面向是對資安領域有更為深入的研究,有如前瞻人才的範疇,不僅要分析評估資安技術與解決方案的適用性,其工作內容還需要帶領創新,促進現有技術水準向上提升,甚至是從意識、理論、實踐、測試等不同構面做出協助與貢獻。
◆ 網路風險管理人才
基本上,對於企業的經營而言,風險管理是最大挑戰,不只在於法令與規範的遵循,範疇包括策略、營運、財務,以及危害事件等層面,而資安風險可能帶來的衝擊,也是其中一個重要環節。
以ECSF的網路風險管理角色定義而言,就是負責管理組織與資訊安全相關的風險,使其符合組織的策略,並要發展、維護與傳達風險管理流程與報告。關於此項角色的具體工作內容,包括下列8項:
1. 制定組織的網路安全風險管理策略
2. 管理組織資產清單
3. 針對ICT系統的網路安全相關威脅與漏洞進行識別與評估
4. 識別威脅風險格局,包括攻擊者的側寫與攻擊潛在的估計
5. 評估網路安全風險並提出最適當的風險處理選項,包括最能滿足組織策略的安全控制、風險緩解、規避
6. 監控網路安全控制與風險等級的有效性
7. 確保所有網路安全風險保持在組織資產可以接受的水準
8. 開發、維護、報告與溝通完整的風險管理週期
以上述任務而言,主要就是圍繞在網路風險管理,不論是資產盤點的管理、風險管理策略的制定,重點是還要能提出適當風險處理選項,並確保風險處在企業可接受的水準。
◆ 數位鑑識調查人才
面對無可避免的資安事件,除了事件應變需要人才規畫與執行,對於面臨訴訟、法令要求方面,事件的數位鑑識調查,也要這方面的人力來處理。
以ECSF的數位鑑識調查角色定義而言,就是務必讓網路犯罪調查揭露所有數位證據,以證實惡意活動的存在。具體工作內容,包括下列6項:
1. 制定數位鑑識調查的政策、計畫與流程
2. 針對數位證據的識別、恢復、提取、記錄與分析
3. 保留並保護數位證據,讓授權利益相關者可以運用
4. 檢查環境是否存在未經授權與非法行為的證據
5. 以有系統地、確定地的方式,將數位鑑識分析的發現與結果做出記錄、報告與呈現
6. 選擇與自定數位鑑識的測試、分析與報告技術
上述所列任務內容,基本上,是聚焦於數位鑑識的相關機制與工作,尤其是最終調查結果的證據保留,以及如實將發現結果呈現,並強調要讓利益相關者得以運用。
◆ 滲透測試人才
企業除了透過弱點掃描來盤點基本漏洞問題,為了找出資安防護上的盲點,還會進一步利用指定範圍的滲透測試,或是採用更進階且全面的紅隊演練,來識別防護弱點。
以ECSF的滲透測試角色定義而言,就是要能評估安全控制的有效性,懂得挖掘與利用網路安全性漏洞,並評估其重要性,以防網路攻擊者利用。此項角色的具體工作內容,包括下列8項:
1. 識別、分析與評估技術上與組織上的網路安全性漏洞
2. 識別攻擊媒介與面向,挖掘與展示漏洞可遭成功利用的技術
3. 測試系統與操作是否符合法規監管標準
4. 對於滲透測試技術採適當的選擇與開發
5. 為滲透測試組織起測試計畫與流程的工作
6. 建立滲透測試結果分析與報告上的流程
7. 將滲透測試結果記錄與報告給利益相關者
8. 部署滲透測試工具與測試程式
這方面的任務內容,基本上,就是專注於安排滲透測試計畫與流程,並熟悉漏洞技術的研究與分析,並在取得合法授權下進行,同時,最終產出結果報告並提供給利益相關者瞭解。
促進資安工作角色與任務的快速溝通之餘,也描繪學習需求
整體而言,在歐洲ENISA所設計的ECSF框架中,不只將企業所需的資安人才類型,具體畫分為12種工作角色類別,也釐清了各角色的任務需求。
更關鍵的是,這樣的內容等於建立角色的共同語言理解,不論你是否熟悉資安,這樣的內容,都能夠讓外界快速理解一個網路安全團隊,大致可能會有哪些角色與任務。
事實上,ECSF框架不僅僅是描繪出這些角色的工作任務,在完整的框架結構中,針對每個工作角色,ECSF都提供了職務職能簡介。
具體而言,在這個職務職能簡介中,涵蓋兩大層面的內容。
首先,是描繪出工作角色在組織中的作用,包括任務使命(Mission)、可交付的工作(Deliverables),以及任務(Task),而我們在上述內容中,也就列出了各角色的任務。
其次,則是描繪出工作角色的知識(Knowledge)與技能(Skill),如此一來,有助於將學習的內容,定位於職場背景下的任務需求。若想更進一步瞭解,大家可以自行檢視ECSF框架的內容。
而下一篇,我們將繼續介紹這部分的內容,以及ECSF的運用方式。
ENISA設置資安高教資料庫CyberHEAD
針對國家級資安教育培訓的需求,歐盟網路安全局(ENISA)不僅發布歐洲網路安全技能框架(ECSF),還推出網路安全高等教育資料庫服務(Cybersecurity Higher Education Database),簡稱CyberHEAD,這是一個互動地圖,資料庫列出整個歐洲學術機構的網路安全學士、碩士學位的資訊。特別的是,CyberHEAD也將對接ECSF提供的12個角色職能,建立出彼此的對應關係。
本文出自《CYBER TALENT 臺灣資安人才專刊》
繼續閱讀:【資安技能ECSF框架實際應用】以企業職場與學習角度出發,加速企業、政府與教育者溝通
熱門新聞
2024-10-14
2024-10-13
2024-10-13
2024-10-14
2024-10-11
2024-10-12