Yr ateb uniongyrchol
Mae tîm glas yn amddiffyn - monitro, canfod, ac ymateb i ymosodiadau ar systemau sefydliad. Mae tîm coch yn ymosod - efelychu gwir wrthwynebwyr, gyda chaniatâd, i ddarganfod gwendidau cyn i ymosodwyr go iawn wneud hynny. Maen nhw'n ddwy ochr i'r un swydd (gwneud sefydliad yn fwy diogel) wedi'u hymagweddu o gyfeiriadau cyferbyn, ac mae'r mwyafrif o bobl sy'n mynd i mewn i'r maes yn dylu dechrau ar dîm glas, oherwydd dyna lle mae'r rhan fwyaf o swyddi mynediad-lefel mewn gwirionedd.
Rwyf yn cael fy holi am hyn yn gyson gan fyfyrwyr sydd wedi gwylio cynnwys pentesting ar-lein ac wedi tybio mai dyna yw "go iawn" amddiffyniad cyber tra bod gwaith amddiffynnol rywsut yn eilaidd. Nid yw. Mae rolau tîm glas fel SOC analyst yn rhagori'n sylweddol ar rolau tîm coch yn farchnad swyddi'r DU, yn enwedig ar lefel mynediad, ac mae profiad tîm glas yn aml yr hyn sy'n eich gwneud yn ddifrifol ar gyfer gwaith tîm coch yn ddiweddarach beth bynnag.
Cymhariaeth ochr-wrth-ochr
| Tîm Glas | Tîm Coch | |
|---|---|---|
| Gweithgaredd craidd | Monitro, canfod, ymateb, amddiffyn | Efelychu ymosodiadau, darganfod a chyflwyno gwendidau |
| Rôl mynediad nodweddiadol | SOC Analyst (Tier 1) | Anaml ar lefel mynediad - fel arfer yn gofyn am brofiad IT/amddiffyniad blaenorol |
| Offer o ddydd i ddydd | SIEM, EDR, systemau tocynnu | Fframweithiau penetration testing, offer ecsbloitio, adrodd |
| Ardystiolaeth cyffredin | CompTIA Security+, BTL1 | OSCP, CREST, CHECK (cynllun penodol y DU) |
| Nifer swyddi lefel mynediad yn y DU | Uchel | Isel - mae'r mwyafrif o rolau tîm coch yn gofyn am 2+ blynedd o brofiad blaenorol |
| Patrwm gwaith nodweddiadol | Yn aml yn cynnwys cludo/rota ar gyfer SOCs 24/7 | Ar sail prosiect, ymrwymiad i ymrwymiad |
Beth rwy'n dweud wrth fy myfyrwyr
Pron bob myfyriwr sy'n dod ataf eisiau "mynd i mewn i hacio" mewn gwirionedd yn golygu gwaith tîm coch, ac nid oes yr un ohonynt bron yn gallu cael eu cyflogi'n uniongyrchol iddo. Mae ychydig iawn o rolau tîm coch go iawn ar lefel mynediad yn y DU - mae'r mwyafrif o swyddi penetration testing yn disgwyl i chi eisoes ddeall rhwydweithiau, systemau, ac yn aml wedi cael rhyw gefndir tîm glas neu IT cyffredinol yn gyntaf, yn union oherwydd bod angen i chi wybod beth yw "normal" a "diogel" cyn y gallwch ei ymosod arno'n argyhoeddus.
Fy gyngor gonest: dechrau tîm glas. Cael rôl SOC analyst (gweler sut i ddod yn SOC analyst yn y DU), treulio blwyddyn neu ddwy yn deall go iawn sut mae rhwydweithiau, logiau, a chanfodiad yn gweithio o'r ochr amddiffynnol, yna symud tuag at waith tîm coch os yw'n dal i apelio unwaith y byddwch chi'n gwybod realiti'r ddau. Mae llawer o'r penetration testers gorau rwy'n eu hadnabod wedi dechrau yn union fel hyn. Mynd yn syth am gynnwys tîm coch heb y syllaen honno fel arfer yn golygu llawer o gyrsiau costus a dim cynnigion swyddi, oherwydd gall cyflogwyr ddweud y gwahaniaeth rhwng rhywun sydd wedi gwylio fideos hacio a rhywun sy'n deall go iawn sut mae systemau'n gweithio.
Pa un ddylech chi ei ddewis mewn gwirionedd? Gwiriad cyflym
- Ydych chi'n mwynhau ymchwilio a chydnabod patrymau yn fwy nag adeiladu/torri pethau? → Tîm glas.
- Ydych chi'n gyfforddus gyda gwaith trwm-broses, weithiau deiladannaidd, yn erbyn argaeledd rôl? → Tîm glas.
- Oes gennych chi brofiad IT/rhwydweithiau solet eisoes ac ydych chi eisiau arbenigo mewn profilo ymosodol? → Mae tîm coch yn gam realistig nesaf, nid cam cyntaf.
- Ydych chi'n cael eich denu i dîm coch yn unig o gynnwys hacio ar-lein, heb gefndir IT eto? → Dechrau tîm glas yn gyntaf a adeiladu'r hanfodion.
- Ydych chi eisiau'r ystod ehangaf o agoriadau swyddi lefel mynediad yn awr? → Tîm glas, heb amheuaeth.
Mae'n rhaid hefyd dweud bod "tîm porffor" canol tir cynyddol - pobl sy'n gweithio ar draws y ddwy, bwydo canfyddiadau tîm coch yn ôl i mewn i reolau canfod tîm glas - ond hwnnw yw rôl rydych chi'n tyfu iddo gyda phrofiad ar un ochr yn gyntaf, nid man cychwyn.
Beth mae'r rolau yn edrych fel mewn gwirionedd wythnos i wythnos
Mae gwaith tîm glas (SOC analyst) wedi'i gwmpasu'n fanwl yn beth mae SOC analyst yn ei wneud - ar y cyfan, rhagtrialu rhybuddion, ymchwil log, a dogfennaeth, yn aml gyda chludo thaid. Mae gwaith tîm coch ar sail prosiect: gallai ymrwymiad redeg am un i bedwar wythnos, yn cynnwys osod cwmpas gyda chlïent, profilo gweithredol (yn aml yn gweithio y tu allan i gydweithrediad arferol gyda thîm amddiffyn ei hun y targed, yn fwriadol), ac yn gorffen gyda adroddiad manwl ac weithiau gyflwyniad o ganfyddiadau. Mae'n llai rheolaidd na gwaith SOC, ond llawer llai rhagweladwy o ran llwyth gwaith a theithio.
Os ydych chi eisiau help i weithio allan pa ochr sy'n addas go iawn i'ch arddull gweithio a chefndir cyn i chi ymrwymo amser astudio i'r naill na'r llall, gwiriwch pricing a byddwn yn ei siarad trwy'n iawn.
FAQ
Pa un sy'n talu'n fwy, tîm glas neu dîm coch?
Gall rolau tîm coch/penetration testing uwch dalu mwy na rolau tîm glas cyfatebol, yn rhannol yn adlewyrchu'r pwll talentau llai a ardystiolaeth arbenigol fel OSCP. Ar lefel mynediad nid yw'r bwlch cystal amlwg, ac mae tîm glas yn llawer mwy rolau ar gael.
A allaf fi fynd yn syth i dîm coch fel fy swydd gyntaf?
Mae'n anaml yn y DU. Mae'r rhan fwyaf o recriwtio amddiffyniad lefel mynediad yn dîm glas (SOC analyst), ac mae'r rhan fwyaf o rolau penetration testing yn disgwyl profiad IT neu amddiffyniad blaenorol yn gyntaf.
Beth yw tîm porffor?
Nid yw'n arddull gweithio yn hytrach na theitl swydd ar wahân yn y mwyafrif o gwmnïau - timau glas a choch yn cydweithio, gyda chanfyddiadau tîm coch yn llywio'n uniongyrchol reolau canfod tîm glas. Yn nodweddiadol rydych chi'n symud i mewn i waith tîm porffor ar ôl profiad ar un ochr.
Oes angen ardystiolaeth wahanol arnaf i ar gyfer pob llwybr?
Fwy neu lai ie. Mae llwybrau tîm glas yn aml yn dechrau gyda Security+ ac offer fel SIEM; mae llwybrau tîm coch yn tueddu tuag at ardystiolaeth fel OSCP yn ddiweddarach mewn gyrfa, fel arfer ar ôl i sylfeini tîm glas neu IT cyffredinol fod ar le.