為什麼技術人員、一般人員和管理人員需要了解藍隊角色

1. 技術人員

• 協作與整合
  技術人員（如開發人員、系統工程師）了解藍隊角色，有助於在系統設計和開發階段就融入資安考量，與藍隊人員更緊密地合作。

• 預防漏洞
  知道藍隊如何防禦攻擊，可以幫助技術人員在開發和維護系統時主動預防漏洞的產生。

• 快速回應
  在發生資安事件時，技術人員能夠迅速理解藍隊的需求，提供必要的技術支援，縮短事件處理時間。

2. 一般人員

• 提升安全意識
  了解藍隊的工作可以加強一般員工的安全意識，促使他們遵守安全規範，減少人為失誤造成的風險。

• 參與資安防護
  知道組織如何保護資訊安全，可以激勵員工主動參與到安全防護中，例如回報可疑的行為。

• 防範社交工程
  理解藍隊的防禦策略，有助於員工識別和防範釣魚郵件、詐騙等社交工程攻擊。

3. 管理人員

• 制定戰略方向
  管理階層了解藍隊角色，有助於在組織層面制定有效的安全策略，確保安全目標與業務目標一致。

• 資源分配與支援
  認識到藍隊的重要性，可以合理分配資源，支援資安團隊的人員和技術需求。

• 風險管理與合規
  了解藍隊如何運作，有助於管理人員更好地評估安全風險，確保組織符合相關法律規範和產業標準。

• 領導力與文化塑造
  管理階層的重視可以帶動全體員工關注資訊安全，培養良好的安全文化。

藍隊角色簡介

透過上一篇所分類的四大領域進行對應藍隊角色。

1. 情資領域

威脅分析師

• 工作內容：像是偵探一樣，蒐集和分析各種資安威脅的情報。
• 目標：預測可能的攻擊，讓公司能提前做好準備。

2. 偵測領域

SOC 分析師

• 工作內容：像是保全人員，24 小時監控公司的網路和系統。
• 目標：即時發現任何可疑的活動或入侵跡象。

事件回應人員

• 工作內容：像是消防員，當發現資安事件時迅速反應並處理。
• 目標：盡快控制事態，減少損失。

3. 防禦領域

資安工程師

• 工作內容：像是建築師和工程師，設計和建造各種資安防護措施。
• 目標：確保公司的系統和網路有足夠的保護。

資安架構師

• 工作內容：像是城市規劃師，從整體角度規劃公司的資安架構。
• 目標：確保安全性被納入系統設計的每個環節。

4. 管理領域

資安長 (CISO)

• 工作內容：像是將軍，負責制定整體資安策略和方針。
• 目標：確保公司的資安政策符合業務需求和法規要求。

資安主管

• 工作內容：像是軍隊中的指揮官，管理日常資安營運。
• 目標：確保資安團隊有效運作，並向資安長報告。

5. 綜合角色

除了上述專門角色，還有一些綜合性的職位：

資安顧問

• 工作內容：像是顧問醫生，為公司提供專業的資安建議。

數位鑑識工程師

• 工作內容：像是犯罪現場調查員，在發生資安事件後進行調查和取得證據。

小結

這些角色彼此密切合作，共同構成了企業的資安防線。需要注意的是，每家公司可能會根據自身需求對這些角色有不同的定義和要求。

無論如何，資安是一個需要全公司共同參與的工作，每個員工都應該了解基本的資安知識，共同維護公司的資訊安全。

工作角色分類方法─NICE Framework

Workforce Framework for Cybersecurity（NICE Framework）連結 是由 NIST 所提出的工作角色分類方式。

NICE 架構簡介

NICE 架構（NICE Framework）是一個用於描述網路安全工作和執行該工作的個人的參考資源。它使用模組化方法，將資安人才分解成以下關鍵組成部分。

1. 工作角色類別（Work Role Categories，7 個）

根據其主要職責領域對工作角色進行分類。

• 監督和治理（Oversight and Governance，OG）：

  • 舉例：一個組織的網路安全「大腦」和「教練」。
  • 職責：他們負責制定策略、政策和指導方針，就像制定「遊戲規則」和「訓練計畫」。
  • 目標：確保組織能夠有效地管理網路安全風險，就像「教練」確保團隊為比賽做好準備一樣。

• 設計和開發（Design and Development，DD）：

  • 舉例：網路安全的「建築師」和「工程師」。
  • 職責：他們負責設計、開發和測試安全的技術系統，就像「建築師」設計堅固的建築，「工程師」確保建築按設計建造。
  • 目標：涵蓋從周邊網路到雲端網路的所有內容，確保系統從一開始就安全可靠。

• 實施和營運（Implementation and Operation，IO）：

  • 舉例：網路安全的「施工人員」和「維護人員」。
  • 職責：他們負責將設計轉化為現實，並確保系統持續安全有效地運行。
  • 目標：包括安裝、配置、維護系統，就像「施工隊」按照藍圖建造建築，「維護人員」確保建築正常運作。

• 保護和防禦（Protection and Defense，PD）：

  • 舉例：網路安全的「城牆」和「警衛」。
  • 職責：他們負責保護技術系統和網路免受各種威脅和攻擊。
  • 目標：包括識別、分析和應對風險，就像「警衛」時刻保持警惕，保護城堡免受入侵。

• 調查（Investigation，IN）：

  • 舉例：網路安全的「偵探」或「調查員」。
  • 職責：他們負責調查網路安全事件和犯罪，就像「偵探」尋找線索，破案抓壞人。
  • 目標：收集、管理和分析數位證據，以將網路犯罪分子繩之以法。

• 網路空間情報（Cyberspace Intelligence，CI）：

  • 舉例：網路安全的「情報機構」。
  • 職責：他們負責收集、分析和傳播有關外國行為者網路活動的情報。
  • 目標：就像「情報人員」，收集和分析敵對勢力的資訊，以便及早預警和應對威脅。

• 網路空間效應（Cyberspace Effects，CE）：

  • 舉例：網路安全的「特種部隊」。
  • 職責：他們負責在網路空間或透過網路空間進行外部防禦或力量投射。
  • 目標：工作極為敏感，需要高度專業的技能，就像「特種部隊」執行特殊任務，保護國家安全。

2. 工作角色（Work Roles，52 個）

• 彈性角色：工作角色不等同於職稱或職業。
• 多元應用：一個工作角色可能對應多個職稱，一個職稱可能對應多個工作角色。

舉例：「軟體開發人員」工作角色可能適用於具有許多不同職稱的人員，例如軟體工程師、程式設計師或應用程式開發人員。

3. TKS（TKS Statements，2,200 個）

描述了要完成的工作（以任務的形式）以及執行該工作所需的條件（透過知識和技能）。

• 任務陳述（Task Statements）：

  • 舉例：正在為部下撰寫工作指示。
    • 解說：任務陳述就像清單上的項目，清楚說明需要做些什麼。
  • 指引：用組織內部都能理解的語言來描述，避免使用專業術語或縮寫。
  • 建議：句子要簡潔易懂，並以實際執行的動作開始，例如「分析系統日誌」或「撰寫事件報告」。
  • 注意：不要包含最終目標，因為目標可能會根據情況而改變。重點是描述需要完成的具體行動。

• 知識陳述（Knowledge Statements）：

  • 舉例：正在列出完成任務所需的資訊或知識。
    • 解說：知識陳述就像教科書的目錄，概述學習者需要了解的概念。
  • 內容：概念可以是基本的，例如「了解網路威脅的類型」，也可以是更具體的，例如「熟悉特定入侵偵測系統的操作」。
  • 靈活性：一個任務可能需要多個知識陳述，而一個知識陳述也可能適用於多個不同的任務。

• 技能陳述（Skill Statements）：

  • 舉例：正在描述一個人執行任務時需要展現的能力。
    • 解說：技能陳述就像履歷上的技能列表，列出了學習者需要能夠做些什麼。
  • 範例：
    • 簡單技能：如「能夠使用特定軟體」。
    • 複雜技能：如「能夠對網路攻擊事件進行鑑識分析」。
  • 靈活性：同樣地，一個任務可能需要多個技能，而一個技能也可能應用於多個不同的任務。

TKS 小結

1. 任務陳述描述做什麼（What）。
2. 知識陳述完成任務所需的知識（Know-what）。
3. 技能陳述完成任務所需的技能（Know-how）。
4. TKS構成完整框架，用於定義和理解特定工作角色所需的知識、技能和能力。

4. 能力領域（Competency Areas，11 個）

與個人在特定領域執行任務的能力相關的相關知識和技能陳述的集合。

總結

本篇文章探討了技術人員、一般人員和管理人員為何需要了解藍隊角色，以及藍隊在企業資訊安全中的重要性。藍隊負責企業的資安防禦，包括情資收集、威脅偵測、防禦措施和管理策略。文章介紹了藍隊的主要角色，如威脅分析師、SOC 分析師、事件回應人員、資安工程師、資安架構師、資安長（CISO）、資安主管、資安顧問和數位鑑識工程師。

這些角色共同構築了企業的資安防線，需要全體員工的參與和協作。而文章後半也簡介了由 NIST 提出的 NICE Framework，這是一種用於分類網路安全工作角色和必要知識、技能、能力（TKS）的架構，協助企業更有效地管理和培育資安人才。

CTA

建議企業利用 NICE 架構，可以在明確職責、組建團隊、培訓人才、提升溝通更為提升。