T1运营专员:负责扫描器维护、资产动态核实与漏洞初验。核心任务是“去伪存真”,过滤误报,产出漏洞环比/同比趋势报告,为管理层提供决策数据。 T2漏洞分析师:负责“优先级排序”。根据威胁情报给出修复建议,并深入业务一线指导修复,解决“怎么修”和“先修谁”的问题。 T3脆弱性架构师:负责“流程自动化”。针对无法修复的漏洞(如老旧业务)设计虚拟补丁等补偿性方案;同时将 VM 逻辑嵌入开发流水线,实现安全左移。
T1分析师:7x24 小时监控,负责海量告警的初步研判。 T2响应工程师:接手 T1 无法定性的复杂事件,主导应急响应工作。当涉及业务调整时,作为安全侧代表与业务部门深度配合支撑。 T3威胁猎人:负责主动威胁狩猎、深度溯源分析与恶意样本分析,将“被动防御”转化为“主动情报”。
网络运维:负责防火墙策略、VPC 隔离、VPN 维护。 主机运维:负责 OS 补丁分发、内核加固、镜像管理。 应用运维:负责中间件、数据库等加固、代码包发布。
脆弱性管理团队(VM)发起的“防患于未然”流程
监控应急团队(SOC)发起的“应急响应”流程
IT发起的“带病不上线”流程
大型国央企:全自建。内部建立完整的 T1-T3 体系,确保数据不外流,流程全掌控。 中型企业:托管监控应急团队的 T1/T2。将 7x24 小时的“体力活”外包给 MSSP,内部保留脆弱性管理团队和 IT运维团队,以及监控应急团队的 T3 专家,负责制定规则与最终决策。 小型企业:全面托管监控应急团队和脆弱性管理团队。仅保留 1-2 名安全接口人,所有检测与分析职能外包,利用服务商的规模效应降低单人成本。 微小型企业:安全全托管,IT运维采用外包驻场。确保基础运维有专人负责,安全能力通过云化工具自动交付。
