為了促進整體資安人力的培育,目前全球有美國提出的網路安全人才框架NICE Framework、持續改進,2022年9月,歐盟旗下的網路安全局(ENISA)也發布網路安全技能框架,此規範的全名是European Cybersecurity Skills Framework,簡稱ECSF框架,提供歐盟成員國,甚至歐洲地區的其他國家,都能藉此克服資安人才不足的挑戰,擁有適當技能的人員,來保護關鍵部門,以因應越來越普遍的網路攻擊。

相較於發起NICE框架的美國NIST組織,歐盟ENISA是聚焦在歐洲資安的公務機構,成立於2004年,背後有歐盟網路與資訊安全法案的支持,目的是幫助歐盟成員國的網路與資訊安全發展,朝向更高水準邁進,其工作內容包括:提供歐盟網路安全的建議,提高ICT產品安全、服務與流程的安全與可信度,並於會員國與歐盟機構合作,共同幫助歐洲因應未來的網路安全挑戰。

將資安工作分為12種之多,成為此框架的最大特色

關於ENISA所設計的ECSF,簡單來說,它是用於識別與闡述歐洲網路安全專業人員角色的實用工具,涵蓋了12種角色的使命、任務、技能、知識,以及電子技能稱職能力,其主要應用目的是:在整個歐盟的個人、企業主、培訓計畫提供者之間,提供跨社群的共同語言,用以加強歐洲的網路安全文化,這也將是歐洲邁向未來數位化世界的重要一步。

從ENISA發布的ECSF相關資訊來看,共有兩份文件,一是ECSF框架對於工作角色的職務職能簡介,另一是ECSF的使用者手冊,裡面說明ECSF的設計原則與運用方式。

以前者而言,ECSF在此處定出12種網路安全工作的角色,分別是:資安長、網路事件處理人才、網路法規與政策合規長、網路威脅情資專家、網路安全架構師、網路安全稽核師、網路安全教師、網路安全實施人才、網路安全研究人才、網路安全風險管理人才、數位鑑識調查人才,以及滲透測試人才。

對於這樣的資安人才分類,我們認為,區隔出12種,這樣的數量算是適中,而且,ECSF定義的工作角色容易理解,對於許多人來說,可以相當輕鬆地識別資安工作角色,因此有望成為實用的資安人才職能地圖工具。

我們認為,這份框架可能借鏡美國NICE框架發展經驗,也參考NICE旗下Cyberseek專案對資安產業的10大職務,因此,使得ECSF一開始推出,就聚焦在容易閱讀及易於使用等特性。

基本上,有了ECSF框架,能讓我們根據這些不同資安角色的定位來思考人才配置策略,也就是說,使企業組織在建立網路安全團隊時,能從中找到可參考的部分。

因此,基於這樣的框架,接下來,讓我們看看企業資安防護背後需要那些關鍵角色,以及具體任務。

◆ 資安長

資安長主要負責企業資訊安全層面的企業經營。在ECSF的定義中,指出該角色的任務,是負責管理公司網路安全戰略及其實施,確保數位系統、服務與資安得到充分的安全與保護。此項角色的具體工作內容,包括下列14項:

1.     制定與業務策略相符的資安目標、需求、策略與政策,並做到實施、溝通與維護
2.     為組織高階管理層準備與提出資安願景、策略與政策,並確保其執行
3.     監督資訊安全管理體系(ISMS)的應用與改進
4.     教育高階管理層有關資訊安全風險、威脅及其對組織的影響
5.     確保高階管理層批准組織的資訊安全風險
6.     制定資安計畫
7.     與資安相關當局與社群建立關係
8.     向高階管理層報告資安事件、風險與調查發現
9.     監控資安方面的進展
10.   確保資源以實施資安策略
11.   與高階管理層協商資訊安全預算
12.   確保組織面對網路事件具資安韌性
13.   在組織內持續進行能力建設的管理
14.   對於資安資源進行審查、規畫與適當的分配

從上述內容來看,ECSF對資安長角色所賦予的任務,並不只是企業資安的管理、治理,特別的是,同時還需要在資安資源的層面,做好爭取、審查與分配的工作,並且負有教育高階管理層的責任。

◆ 網路事件應變人才

為了能夠因應資安事故,企業與組織必須有所準備,以ECSF的資安應變角色定義而言,就是監控組織的網路安全狀態,在網路攻擊期間處理事件,並確保ICT系統的持續運行。具體工作內容,包括下列11項:

1.     事件應變計畫的發展、維護與評估
2.     事件應變處理相關程式的制定、實施與評估
3.     網路安全事件的識別、分析、緩解與傳達
4.     技術漏洞的評估與管理
5.     衡量網路安全事件在偵測與回應上的有效性
6.     在網路安全或資料外洩事件後,評估網路安全控制與緩解措施的韌性
7.     針對事件應變處理測試技術的採用與開發
8.     建立事件結果分析與事件處理報告的程式
9.     處理安全事件後必須記錄對事件的分析結果與處理措施
10.   與安全維運中心(SOC)及電腦安全事件應變團隊(CSIRT)合作
11.   根據適用的法律框架與關鍵人員合作,進行資安事件報告

從上述這些任務內容來看,對於資安事件的應變,企業與組織不只是體認有事前、事中的工作要進行,更關鍵之處在於,在事後評估資安控制措施的韌性,並作出持續改善,同時也還要熟悉規範並將資安事件報告所需負責對象。

◆ 網路法規、政策合規長

在企業經營面對的法遵、合規風險之下,不論網路安全法律長、資料安全長、隱私保護長、資訊治理長、資料合規長等,此類角色在ECSF的定義中,就是要能根據組織的戰略與法律要求,管理所有合規事宜,涵蓋面向包括與網路安全相關的標準、法律和監管框架。此項角色的具體工作內容,包括下列12項:

1.     確保遵循並遵守資料隱私與資料保護的標準、法律與法規,並提供有關法律方面的建議與指引
2.     識別出合規面的隔閡差距並且如實記錄
3.     進行隱私衝擊評估(PIA),負責隱私政策與程式的制定、維護、傳達及培訓
4.     負責組織內資料隱私與保護計畫的執行與推動
5.     確保資料所者、持有者、控制者、處理者、主體,以及內部或外部合作夥伴與實體等角色,瞭解他們的資料保護權利、義務與責任
6.     作為關鍵聯繫人,處理有關資料處理的查詢與投訴
7.     協助設計、實施、審核與合規測試活動,以確保網路安全以及隱私合規性
8.     針對稽核與資料保護相關的培訓活動進行監控
9.     與有關當局與專業團體合作並分享資訊
10.   協助發展組織的網路安全戰略、政策與程式
11.   制定並提出員工意識培訓,以實現合規性要求,並在組織內培養資料保護文化
12.   管理資訊安全責任與協力廠商關係的法律問題

從這些涵蓋面來看,上述任務清單不只確保法遵與合規要求,負責資料保護推動,以及隱私衝擊評估(PIA)等,同時,身為網路法規、政策合規長,也是資料保護處理的關鍵聯絡人,並且要培養組織內部的資料保護文化。

◆ 網路威脅情資專家

面對日益嚴峻的網路威脅環境,採取主動威脅情資的對抗策略,將可縮短事中應變所需時間,提升主動式防禦的能力,並幫助企業快速識別內外部網路安全現況。

以ECSF的網路威脅情資角色定義而言,須對資料與資訊進行收集、處理、分析,並建立一個可行動資安情資(Actionable Intelligence)報告,再將其傳達給目標利益相關者。此項角色的具體工作內容,包括下列12項:

1.     對於組織內部網路威脅情資策略的制定、實施與管理
2.     制定計畫與程式來管理威脅情報
3.     將業務需求轉化為情報需求
4.     實施威脅情報收集、分析與產出可行動的情報,將資訊提供給安全上的利益相關者
5.     確定並評估針對組織的網路威脅行動者
6.     通過分析開源與專有的資料、資訊與情報,對於網路威脅行動者使用的戰術、技術與程式(TTP),能夠進行識別、監控與評估
7.     基於威脅情資製作因應上的可行性報告
8.     在戰術、運作與戰略層級上詳細說明並給出緩解風險計畫的建議
9.     將消費者有關網路威脅情資與利益相關者協調分享
10.   將情資用於威脅建模,並提出風險緩解與網路威脅狩獵的建議
11.   在各個層面公開表達與交流情報
12.   透過解釋風險暴露與其後果,向非技術的利益相關者適當傳達安全嚴重性

從這些任務內容來看,資安專家除了要建立網路威脅情報策略與分析機制,評估攻擊者的TTP,同時,ECSF也強調要洞察並提出可行動的情報,並肩負情報交流,以及風險暴露後果解釋說明的責任。

◆ 網路安全架構師

在數位化的時代下,我們必須建立基於安全而成的基礎資訊架構,使其獲得更多保障。

以ECSF的網路安全架構角色定義而言,就是要針對基礎架構、系統、資產、軟體、硬體與服務等層面,規畫並設計Security-by-design的方案,並顧及資訊安全控制。此項角色的具體工作內容,包括下列12項:

1.     設計並提出一個安全架構,以實現組織的策略
2.     開發組織的網路安全架構,以滿足安全與隱私需求
3.     建立並制定架構相關文件與規格
4.     向利益相關者展示高層次的安全架構設計
5.     在系統、服務與產品的開發生命週期中建立安全環境
6.     協調開發、整合與維護網路安全元件,確保符合網路安全規格
7.     分析與評估組織架構的網路安全
8.     通過安全審查與認證,保證解決方案架構的安全性
9.     與其他團隊與同事合作
10.   評估網路安全解決方案對組織架構的設計與性能的影響
11.   適應新興的威脅,調整組織的架構
12.   針對實施的架構持續評估,以維持適當的安全水準

從任務內容來看,網路安全架構師最主要的職責在於,設計並提出網路安全架構,同時要能適應威脅態勢,能夠持續評估與調整,並且要建立安全環境,提供系統、服務與產品的開發保障,也要能向利益相關者報告與展示高層次安全架構。

◆ 網路安全稽核師

要確保執行有效性、落實程度,稽核的制度與相關工作的落實不可少,網路安全也是如此,幫助對企業整體安全的查核,以找出風險並提出改善建議,確保企業組織業務的持續性。

以ECSF的網路安全稽核角色定義而言,就是對組織生態系統進行網路安全審核,確保符合法定、監管、政策資訊、安全要求、產業標準和最佳實踐。此項角色的具體工作內容,包括下列12項:

1.     制定組織的稽核政策、程式、標準與指引手冊
2.     建立用於系統稽核的方法與實踐
3.     確定目標環境並管理稽核活動
4.     定義稽核範圍、目標與稽核標準
5.     制定稽核計畫,描述框架、標準、方法、程式與稽核測試
6.     基於風險概況,審查目標評估、安全目標與要求
7.     審核符合相關的法律法規要求的網路安全
8.     審核符合相關的標準的網路安全
9.     執行稽核計畫並且收集證據與測量數據
10.   維護與保護稽核記錄的完整性
11.   製作並傳達關於符合性評估、保證、稽核、認證與維護的報告
12.   監控風險補救活動

基本上,網路安全稽核師的任務,就是圍繞在組織稽核機制、計畫與行動,同時,也要對於稽核後的風險補救予以監控。

◆ 網路安全教師

資安的重要性已不言而喻,除了提升企業組織內部資安文化,若要讓員工掌握如何遵守相關政策和程式,學習如何識別和預防各種資訊安全風險,進而提升整個組織的資訊安全水準,也是需要有人去推動。

因此,在ECSF框架中也針對相關工作內容制定出這樣的角色類別,並對網路安全教師角色給出定義,就是提升員工的資訊安全知識、技能與能力。具體工作內容包括8項:

1.     開發並更新網路安全與資料保護的課程與教材,提供基於內容、方法、工具與學員需求的知識,用於培訓與提高資安意識
2.     負責組織、設計並執行提高資安與資料保護意識的活動,包括研討會、課程與實踐培訓
3.     對培訓效果監控、評估並產出報告
4.     對於學員表現進行評估並報告
5.     尋找出教育、培訓與意識提高的新方法
6.     負責安全模擬環境、虛擬實驗室或網路環境的設計、開發與提供
7.     提供有關個人安全認證計畫的指導
8.     持續維護與提升專業知識;持續授權與鼓勵提升資安能力及能力建設

關於這方面的任務,或許有些視為人力資源單位執掌,但任務需求並不少,因而ECSF將之畫分為一大角色類別。從上述任務內容而言,主要圍繞在資料保護與資安意識,不僅是制定培訓素材與課程,同時也涵蓋認證計畫的指導,設計安全模擬的可用環境,持續帶動與建設組織內部的資安能力。

◆ 網路安全實施人才

以技術面而言,資安相關技術的開發、整合、測試、導入,以及維運、監控與支援,基本上,我們在這些工作當中,都仰賴資安人員管理與執行。

以ECSF提出的定義而言,網路安全實施人才要在基礎架構和產品上,開發、部署與操作資安解決方案,其目標涵蓋系統、設備、軟體、控制與服務。關於此項角色的具體工作內容,包括下列10項:

1.     資安產品的開發、導入、維護、升級、測試
2.     要為用戶與客戶提供與資安相關的支援
3.     整合資安解決方案,並確保其良好運行
4.     安全配置系統、服務與產品
5.     維護與升級系統、服務與產品的安全性
6.     實施資訊安全程式與控制
7.     監控並保證已實施資安控制的性能
8.     記錄與報告系統、服務與產品的安全性
9.     與IT/OT技術人員密切合作,進行與資訊安全相關的操作
10.   實施、應用與管理產品更新修補,以解決技術性漏洞

以上述任務而言,涵蓋面向相當廣,包含系統、服務與產品的安全性維護與升級,以及資安產品的導入、測試,甚至是開發,並要負責資安方案整合,還有實施資安程式與控制,而且,與IT人員、OT人員的緊密合作,也視為其主要任務。

◆ 網路安全研究人才

隨著威脅態勢演變,要持續促進資安相關技術與方法的進化,研究類型人才是關鍵,像是近年來,在產品面與策略面,從端點防毒到端點偵測與回應,從傳統邊界防護邁向網路安全零信任策略,就是簡單的例子。

以ECSF的網路安全研究角色定義而言,就是專注在資訊安全領域研究,並將結果納入資訊安全解決方案中。此項角色的具體工作內容,包括下列12項:

1.     針對資安技術、解決方案、發展與流程進行分析與評估
2.     在網路安全相關主題上進行研究、創新與開發工作
3.     展現與產生研究與創新的想法
4.     針對網路安全相關主題推動現有技術水準更進步
5.     協助開發創新的網路安全相關解決方案
6.     進行實驗並開發網路安全解決方案的概念證明、視點與原型
7.     選擇與應用框架、方法、標準、工具以及協議,包括建立與測試概念證明,以支持專案計畫
8.     為最領先與先進的網路安全商業理念、服務與解決方案作出貢獻
9.     為網路安全相關能力建設提供協助,包括意識、理論培訓、實踐培訓、測試、指導、監督與分享
10.   識別出跨部門的網路安全成果,並將其應用於不同的情境,或視提出創新的方法與解決方案
11.   領導或參與創新過程與項目,包括管理與預算的專案計畫
12.   發表與提出科學論文、研究與開發結果

根據這裡列出的任務清單,網路安全研究人才的定位有其特殊性,這是因為,我們可以發現,其任務面向是對資安領域有更為深入的研究,有如前瞻人才的範疇,不僅要分析評估資安技術與解決方案的適用性,其工作內容還需要帶領創新,促進現有技術水準向上提升,甚至是從意識、理論、實踐、測試等不同構面做出協助與貢獻。

◆ 網路風險管理人才

基本上,對於企業的經營而言,風險管理是最大挑戰,不只在於法令與規範的遵循,範疇包括策略、營運、財務,以及危害事件等層面,而資安風險可能帶來的衝擊,也是其中一個重要環節。

以ECSF的網路風險管理角色定義而言,就是負責管理組織與資訊安全相關的風險,使其符合組織的策略,並要發展、維護與傳達風險管理流程與報告。關於此項角色的具體工作內容,包括下列8項:

1.     制定組織的網路安全風險管理策略
2.     管理組織資產清單
3.     針對ICT系統的網路安全相關威脅與漏洞進行識別與評估
4.     識別威脅風險格局,包括攻擊者的側寫與攻擊潛在的估計
5.     評估網路安全風險並提出最適當的風險處理選項,包括最能滿足組織策略的安全控制、風險緩解、規避
6.     監控網路安全控制與風險等級的有效性
7.     確保所有網路安全風險保持在組織資產可以接受的水準
8.     開發、維護、報告與溝通完整的風險管理週期

以上述任務而言,主要就是圍繞在網路風險管理,不論是資產盤點的管理、風險管理策略的制定,重點是還要能提出適當風險處理選項,並確保風險處在企業可接受的水準。

◆ 數位鑑識調查人才

面對無可避免的資安事件,除了事件應變需要人才規畫與執行,對於面臨訴訟、法令要求方面,事件的數位鑑識調查,也要這方面的人力來處理。

以ECSF的數位鑑識調查角色定義而言,就是務必讓網路犯罪調查揭露所有數位證據,以證實惡意活動的存在。具體工作內容,包括下列6項:

1.     制定數位鑑識調查的政策、計畫與流程
2.     針對數位證據的識別、恢復、提取、記錄與分析
3.     保留並保護數位證據,讓授權利益相關者可以運用
4.     檢查環境是否存在未經授權與非法行為的證據
5.     以有系統地、確定地的方式,將數位鑑識分析的發現與結果做出記錄、報告與呈現
6.     選擇與自定數位鑑識的測試、分析與報告技術

上述所列任務內容,基本上,是聚焦於數位鑑識的相關機制與工作,尤其是最終調查結果的證據保留,以及如實將發現結果呈現,並強調要讓利益相關者得以運用。

◆ 滲透測試人才

企業除了透過弱點掃描來盤點基本漏洞問題,為了找出資安防護上的盲點,還會進一步利用指定範圍的滲透測試,或是採用更進階且全面的紅隊演練,來識別防護弱點。

以ECSF的滲透測試角色定義而言,就是要能評估安全控制的有效性,懂得挖掘與利用網路安全性漏洞,並評估其重要性,以防網路攻擊者利用。此項角色的具體工作內容,包括下列8項:

1.     識別、分析與評估技術上與組織上的網路安全性漏洞
2.     識別攻擊媒介與面向,挖掘與展示漏洞可遭成功利用的技術
3.     測試系統與操作是否符合法規監管標準
4.     對於滲透測試技術採適當的選擇與開發
5.     為滲透測試組織起測試計畫與流程的工作
6.     建立滲透測試結果分析與報告上的流程
7.     將滲透測試結果記錄與報告給利益相關者
8.     部署滲透測試工具與測試程式

這方面的任務內容,基本上,就是專注於安排滲透測試計畫與流程,並熟悉漏洞技術的研究與分析,並在取得合法授權下進行,同時,最終產出結果報告並提供給利益相關者瞭解。 

促進資安工作角色與任務的快速溝通之餘,也描繪學習需求

整體而言,在歐洲ENISA所設計的ECSF框架中,不只將企業所需的資安人才類型,具體畫分為12種工作角色類別,也釐清了各角色的任務需求。

更關鍵的是,這樣的內容等於建立角色的共同語言理解,不論你是否熟悉資安,這樣的內容,都能夠讓外界快速理解一個網路安全團隊,大致可能會有哪些角色與任務。

事實上,ECSF框架不僅僅是描繪出這些角色的工作任務,在完整的框架結構中,針對每個工作角色,ECSF都提供了職務職能簡介。

具體而言,在這個職務職能簡介中,涵蓋兩大層面的內容。

首先,是描繪出工作角色在組織中的作用,包括任務使命(Mission)、可交付的工作(Deliverables),以及任務(Task),而我們在上述內容中,也就列出了各角色的任務。

其次,則是描繪出工作角色的知識(Knowledge)與技能(Skill),如此一來,有助於將學習的內容,定位於職場背景下的任務需求。若想更進一步瞭解,大家可以自行檢視ECSF框架的內容。

下一篇,我們將繼續介紹這部分的內容,以及ECSF的運用方式

ENISA設置資安高教資料庫CyberHEAD

針對國家級資安教育培訓的需求,歐盟網路安全局(ENISA)不僅發布歐洲網路安全技能框架(ECSF),還推出網路安全高等教育資料庫服務(Cybersecurity Higher Education Database),簡稱CyberHEAD,這是一個互動地圖,資料庫列出整個歐洲學術機構的網路安全學士、碩士學位的資訊。特別的是,CyberHEAD也將對接ECSF提供的12個角色職能,建立出彼此的對應關係。
 

本文出自《CYBER TALENT 臺灣資安人才專刊》

 

繼續閱讀:【資安技能ECSF框架實際應用】以企業職場與學習角度出發,加速企業、政府與教育者溝通
 

熱門新聞

Advertisement