漏洞研究 VURE
进行应用研究,发现、评估和减轻新型或未知安全漏洞和缺陷。
指导说明
安全漏洞是在安全系统中发现的弱点、缺陷或错误,存在被外部代理利用来危害安全系统的风险。
活动可能包括但不限于:
- 研究新型威胁、攻击载体、风险及潜在的解决方案
- 硬件或软件逆向工程
- 应用工具,如反汇编程序、调试程序和模糊处理工具
- 分析嵌入式设备
- 开发分析和暴露漏洞的技术及工具
- 设计新型漏洞发现技术
- 与相关利益相关者分享缓解技术。
该技能的责任级别
| 3 | 4 | 5 | 6 |
漏洞研究: 级别 1-2
这种技能通常不会在这些责任和问责级别上被观察到或实践。
漏洞研究: 级别 3
应用漏洞研究的标准技术及工具。利用现有资源更新相关专业知识。参与研究社区。对活动和结果进行分析和报告。
漏洞研究: 级别 4
设计和执行复杂的漏洞研究活动。指定执行评估所需的环境、数据、资源和工具的要求。检查测试结果并在必要时对测试进行修改。创建报告,传达方法、发现和结论。利用已确定的模式提供欺骗方法方面的建议。积极为研究界做贡献。
漏洞研究: 级别 5
计划和管理漏洞研究活动。在漏洞研究领域维护强大的外部网络。收集关于新兴威胁和漏洞的信息。评估并记录对组织的影响和威胁。创建报告并与利益相关者分享知识与见解。提供专家建议与指导,支持漏洞研究工具和技术的采用。协助进行漏洞研究与评估方面组织政策、标准和指导方针的制作。
漏洞研究: 级别 6
计划并引领组织的漏洞研究方法。识别新型及新兴的威胁和漏洞。维护强大的外部网络。在面向外部的专业活动中发挥主导作用,促进信息收集,确定研究工作的范围。参与并影响相关利益相关者,交流研究结果以及所需的响应措施。针对新兴威胁和漏洞的监控制定组织政策和指导方针。
漏洞研究: 级别 7
这种技能通常不会在这种责任和问责制水平上被观察到或实践。