书接上文，《网络安全攻防演练风云》专栏之攻防演练之-成功的钓鱼邮件溯源，这里。

午餐的时间到了，每天Nick团队的小伙伴都会到园区外的一家工作餐饭店就餐。这家餐厅是按照称重模式进行菜品选取的，因此种类是相对丰富的，攻防演练这段时间，将这个地方作为主要的午餐地点是颇为合适的。虽然园区内的甲方食堂也提供类似的服务，但是作为非甲方人员的他们没有工卡，只能到园区外的地点就餐。

小白心中盘算到如果甲方能够给与乙方多一点后勤保证的关怀，一方面能够提升大家的归属感，保证攻防演练这段时间的工作热情，另一方面增加大家的好感，也是企业形象的宣传。可以看到国内外的大企业在发展到一定阶段，基本都是非常重视企业文化和形象的，比较重视人的关怀。

但是小白哪里知道，职场中甲乙双方的地位从来都不是对等的。何况从甲方角度来说，需要对接的乙方数量极多，从预算角度来说，很难考虑周全。

中午的餐厅人声鼎沸，各种餐点的气味交织在空气中，颇具人间的烟火气息。Nick团队他们恰巧中午偶遇到亮哥和王工一行人，顺势找到一张空桌，拼了一桌。在午饭的间隙，他们开始谈论起网络安全相关的就业机会。

“小白，有了这几天对于攻防演练的实际体验，将来毕业之后有什么打算吗？”Nick一边用筷子夹起一块红烧肉，一边随意地问道。

小白顿了顿，显得有些迷茫。“我还没想好，听说网络安全行业这几年受到国家政策的支持，发展挺快的，但具体的岗位和方向我了解得不多。Nick你觉得像我这样的网络安全专业的在校生，将来毕业能够做哪方面的工作？”

“网络安全行业在这两年有了一定的发展，受国家政策的刺激，资本的进入的确扩大了行业的规模，加快了行业的发展速度。但是和互联网，通信等领域相比，网络安全仍是一个非常小的行业。网络安全岗位的从业者主要包含，销售人员，网络安全服务人员，网络安全产品研发/测试人员，网络安全研究人员，以及网络安全售后/驻场人员。和许多的B2B的行业模式一样，销售人员和研发/测试人员目前占了这个行业的大多数。但是将网络安全和其他行业区分开来的是网络安全服务人员，以及网络安全研究人员，因为网络攻击和网络防守的业务是这个行业所特有的。随着数字化在各行各业的推进，对于网络安全服务人员以及网络安全研究人员的需求量在增加。网络安全在未来可能会形成像人力资源，财务，IT基础设施那样企业中独立的部门，成为中大型企业的标配，这样才算是网络安全行业逐步走向成熟的标志。目前网络行业的岗位需求主要还是来自于两个方面，一个是甲方的岗位需求，另一个是乙方的岗位需求。王工在甲方已经呆了3年多了，可以谈一谈甲方对于网络安全岗位的需求。”

甲方安全工作

“小白，那你可得好好听听，”王工笑了笑，擦了擦嘴巴，打开了话匣子。“甲方会开放哪些网络安全的岗位实际上是由多个因素决定的，例如该公司的规模，针对网络安全的投入，网络安全团队的成熟度等等。比如中小型公司比较重视自身业务的发展，没有额外的投入会去到网络安全，因此中小型公司的网络安全多数情况下由IT运维人员进行兼任。由于中小型公司的规模小，对外暴露的攻击面也是很少的，虽然没有专业的网络安全团队来维护公司的网络安全，但是也只能维持这样的现状。”

“对于大公司来说，情况则完全不同。大公司的网络架构，组织架构极为的复杂，业务范围往小了说遍布全中国，往大了说遍布全球多个国家。因此对于大公司来说，对外所暴露的攻击面是极为庞大了，这也注定了大公司是攻击者所关注的目标。因此大公司的网络安全的建设都是在第三方咨询公司多年的解决方案中一点点搭建起来的，涉及到的网络安全岗位可谓是五花八门，这块将来有机会可以听一听张博的介绍，他是甲方安全体系的建设者。我想给大家分享的主要是甲方涉及攻防岗位的工作机会。”

SOC分析师

“第一个甲方常见的职位就是SOC分析师。由于大型的甲方都建设有自己的SOC，也就是网络安全运营中心，需要配备大量的网络安全运营人员。事实上这次攻防演练来的人都可以称作是网络安全运营人员，只是这是针对某一个活动特殊的运营。在平时，网络安全运营中心也是需要一定的人手分析网络安全设备的告警的。这部分由于需要7*24，因此多数情况下都是外包给一些第三方的安全服务提供商，当然有的公司根据所处的网络安全的阶段也会自己招一些网络安全的分析师。小白，这个岗位是很多新人都会经历的一个不错的方向。网络安全行业比较厉害的产品经理，和技术市场经理，往往都是有多年的SOC经验的。Nick做了这么多年安服，应该对此非常了解。”

应急响应工程师

“第二个甲方常见的职位就是应急响应工程师，对于网络安全成熟度低的公司。并不会区分SOC和应急响应的，可能会统一的叫做网络安全分析师。但是准确的说SOC的职责是有限的，会做一些排误报，上下文丰富，简单的分析。一旦确定该告警为真实的攻击，往往需要和企业的具体业务相结合，需要应急响应人介入，进一步评估该攻击的影响范围以及攻击的前因后果，同时需要快速响应并处理，确保将损失降到最低，这就是应急响应工程师的工作。总的来说应急响应工程师和SOC 分析师在技术栈上比较相似，但是在要求上，应急响应工程师要高一些。比如对于网络攻击的原理，各种网络安全工具的原理和使用熟练程度要求更高。”

威胁情报工程师

王工继续说道：“第三个职位就是威胁情报分析师，这也是一个很重要的职位，他们需要收集，分析管理各种网络威胁情报，提前预警可能的攻击，识别出各种威胁的模式和趋势，并提供有效的应对策略。尤其是现在比较大的公司都会购买乙方公司的威胁情报服务，如何去消化和利用这部分的威胁情报，是威胁情报分析师的主要工作。举个例子购买的IOC和收集的OSINT的IOC中哪些是可用于威胁检测的，哪些是可用于威胁狩猎的，这些都是威胁情报分析师的职责所在。”

威胁狩猎工程师

”第四个职位就是威胁狩猎工程师，这个岗位一般在网络安全成熟度比较高的公司才会看到。SOC分析师以及应急响应工程师一般工作在被动防守和分析的模式，威胁狩猎工程师则是主动的防守模式。网络安全产品并不是万能的，网络安全产品无法检测未知的攻击特征。因此对于企业内部无论是通过网络安全设备产品的告警中发现的新的攻击特征还是威胁情报分析师通过情报所发现的新的特征，都可以作为威胁狩猎工程师的输入，结合网络安全产品的遥测数据寻找潜伏的威胁。威胁狩猎需要丰富的经验和敏锐的洞察力，能够发现那些传统安全手段无法检测到的隐蔽攻击。总的来说威胁狩猎工程师对于安全的理解和技能都是要高于SOC人员和应急响应人员的，这个岗位一般都是资深的网络安全工作者。“

逆向工程师

“第五个职位就是恶意软件分析师，很多人可能想不到甲方也需要逆向工程师。这也是近年来甲方在网络安全方面思想转变造就的，从完全依赖乙方的安全产品和安全人员转向通过自己的安全团队配合乙方的安全产品构建自身的防御能力体系。在有些攻击场景下，对于未知的恶意软件，乙方产品是无法彻底提取其中的artifact的，要想完全搞清楚其攻击链条，确保能够及时进行防御，取证以及进行威胁狩猎，还需要进行样本的静态分析，这就是这个职位对于甲方的价值和意义。这项工作要求对编程、逆向工程以及恶意代码分析有很高的技能，安全行业做二进制逆向的人不多，因此算是稀缺资源。”

数字取证工程师

“第六个职位就是数字取证工程师，在一些电视剧中，刑事案件通常都是刑侦专家前期进行分析，在现场需要取证专家配合取证，作为后期法庭的证据，这里面的证据主要是物理世界的可见的证据。对于数字世界来说，对应的证据指的是数字证据，需要数字取证工程师来实施。在安全事件发生后，通过分析遥测数据以及主机数据，找出攻击者的痕迹和证据。数字取证工程师需要熟练掌握数据恢复、日志分析和证据保存等技术，确保能够在法律框架内提供可靠的证据。”

红队工程师

“第七个职位就是红队工程师，他们主要模拟黑客攻击，测试企业的防御能力。红队工程师需要精通各种网络攻击技术和工具，并且具备丰富的实战经验，能够设计和实施复杂的攻击场景。这块和安全服务所提供的红队服务具有相似之处，但是两者的目标和侧重点是不一样的。甲方的红队更多的是结合企业本身的业务或者说是攻击面进行测试，挖掘企业内部的漏洞等，和企业本身业务结合的比较紧密。”

网络安全架构师

“第八个职位就是网络安全架构师，安全架构师负责设计和优化企业的整体安全架构，进行安全产品的评估，这和乙方安全产品公司的架构师的作用是不一样的。”王工继续说，“为了确保企业的网络环境能够在理论上有效抵御各种攻击，安全架构师需要对各种安全技术和解决方案有全面的了解，并能够根据企业的具体需求和实际现状设计出最合适的安全防御体系，并在此基础上根据业界的最新情况不断的演进。”

“这八个岗位是我觉得和攻防技术比较相关的，当然甲方的还需要合规人员，安全意识培训人员，但是这些岗位和对于网络安全攻防技术要求并不像这八个岗位要求高，因此我觉得和我们这些人的关系不大。”

小白听得入神，忍不住问道：“那乙方都有哪些安全相关的工作呢？毕竟甲方的岗位需求也是近几年才出现的，传统的安全类工作的需求都是在乙方。”

乙方安服工作

Nick点头称赞小白的问题：“你说得对，乙方安全类的工作主要分为两大块，安全服务类以及安全研究类。我来说下安全服务类工作的机会，安全研究类的工作亮哥可以补充下。安全服务类的工作主要包含三大块，蓝队服务，红队服务，以及紫队服务。”

蓝队服务

“在攻防演练中主要体现的是蓝队服务和红队服务。目前你所看到的就是我们安服提供的蓝队服务，攻防演练/重保活动这种都是在短时间内的蓝队服务，一般在两个月之内。更多的蓝队服务其实是王工之前提到的，SOC中的安服进行日常运营以及特定事件的应急响应工作，例如勒索事件的应急响应。蓝队服务工程师需要熟悉各种安全设备和技术，能够实时监控和分析网络流量和主机日志，及时发现和应对安全威胁，资深的蓝队往往都有自己的作战工具箱。甲方和乙方对于蓝队服务/安全运营岗位的需求都很高，之前王工也提到，甲方也可能会有自己的安全分析师，他们负责日常的安全运营和监控，确保企业网络的安全运行。这也是网络安全发展不同的时期，企业网络安全发展不同的阶段，自然产生的需求。”

红队服务

“这次演练你没有见过的我们对手红队所干的一系列的事情，也是安全服务的范畴，通常由独立的安服公司或者乙方公司派出经验丰富的人员组成。在平时很多的公司也有渗透测试的需求，这块也是由红队的人员实施的。当然也有的公司会聘请红队项目制帮助他们挖掘一些关键系统的漏洞，这往往也是红队的业务。红队服务工程师则更侧重于进攻测试，们会模拟各种攻击手段，帮助企业找出防御中的漏洞。红队服务工程师需要掌握各种渗透测试技术，内网横移技术，C2控制技术等，能够设计和实施复杂的攻击，帮助企业提高安全防御能力”

“紫队是干什么的，这好像一个新的概念？”

紫队服务

“的确，紫队的概念最近一些年才在国内逐渐流行起来。攻防演练中既然有攻击队，有防守队，那必然也有裁判组。裁判组就是攻防演练中的紫队，但是紫队所涵盖的工作范围显然比裁判组的范围要大。除了判定攻击报告和防守报告是否有效之外，紫队的职责还包括演练的策划和组织，演练整个过程的监控，演练的技术指导，演练之后的总结等内容。由于攻击方通常是从攻击的角度看待网络安全，防守队是从防守的角度看待网络安全，看待网络安全必然片面，紫队就是红队和蓝队之间的桥梁，帮助双方就如何更好的服务好企业的网络安全提供指导和沟通。比如在企业的日常运营过程中，紫队会负责指导红队使用哪些技术攻击哪些资产，紫队可以指导蓝队针对哪些攻击攻击技术加强特定遥测数据的收集，以及指导加强针对某些攻击技术的检测能力。可以看到紫队的要求既要有红队的经验也要有蓝队的经验，能够在攻防一体化的环境中工作，提供全面的安全解决方案，往往是资深的网络安全从业者担任。紫队通常只有在企业网络安全成熟度非常高的团队中才会出现，因此总体的需求量比较小。”

“关于乙方的安全服务，亮哥可以介绍下产研侧对于网络安全方面的需求”，Nick提醒道。

乙方产研工作

“首先王工和Nick的介绍非常的精彩，我也开了眼界，收益颇多。从乙方的角度看，产品研发过程中对于安全岗位的需求也不少。总体上来说主要包含两块的研究，一个是渗透攻击技术的研究，一个是二进制逆向的研究。反应在安全产品上，不同的安全产品对于安全能力的要求是不一样的。”

云安全

“例如，云安全产品主要关注关于容器，云上设施的安全防护问题，确保数据和应用在云端的安全。”

工控安全

“工控安全产品主要关注工业控制系统相关攻击的检测，需要了解工业控制系统的工作原理和业务。”

移动安全

“移动安全产品主要关注手机等设备的威胁，需要了解各种移动操作系统和应用的安全问题。”

车联网安全

“车联网安全研究人员随着新能源的发展也是热门职位，车联网安全研究人员则需要了解汽车电子系统和通信网络的安全原理。”

IT安全

“传统的EDR/NDR类产品主要关注的是IT办公领域的软件行为，病毒，漏洞检测问题。”

威胁情报

“威胁情产品需要不断更新和提供最新的威胁情报，威胁情报生产人员需要有强大的信息搜集和分析能力，能够识别和分析最新的网络威胁，并提供有效的应对策略。”

沙箱

“沙箱类的产品主要关注TTP的检测。”

代码安全

“代码审计类产品需要在软件开发过程中，确保代码的安全性，代码安全研究人员需要掌握各种代码审计和安全开发技术，能够发现和修复代码中的安全漏洞，确保软件的安全。”

“因此可以看到不同的安全产品，背后往往有一个安全研究团队或人员支撑检测能力的不断迭代更新。目前国内乙方的安全研究人员主要的存在形态都是乙方所成立的不同种类的安全实验室，例如云安全研究实验室，工控安全研究实验室，移动安全研究实验室，样本研究实验室，漏洞挖掘实验室，威胁情报实验室，沙箱实验室，代码审计实验室等等。当然每个实验室的技术栈会有重合的地方，因此可以支撑多个产品的检测能力，但是每个实验室的目标是不同的。对于比较小的安全公司，安全研究人员往往和研发人员在同一个团队，不会有独立的实验室。”

小白听完，感到眼界大开。“原来网络安全领域有这么多不同的工作机会，真的很有意思！”

王工笑着拍了拍小白的肩膀。“小白，未来是年轻人的，将来肯定会有很多机会的。”

“是啊，”Nick点点头，“网络安全是一个永远充满挑战和机遇的领域。只要你愿意努力，就一定能找到自己的位置。”

亮哥则用鼓励的眼神看着小白。“没错，小白，未来的网络安全专家也许就是你。”

通过这次午餐的谈话，小白对网络安全行业的各种岗位和工作有了更深入的了解，也对这个行业充满了信心和期待。

本故事中人物角色和故事情节纯属虚构，如有雷同，纯属巧合。

本文为CSDN村中少年原创文章，未经允许不得转载，博主链接这里。