数字世界的全球技能和能力框架

漏洞研究 VURE

进行应用研究,发现、评估和减轻新型或未知安全漏洞和缺陷。

指导说明

安全漏洞是在安全系统中发现的弱点、缺陷或错误,存在被外部代理利用来危害安全系统的风险。

活动可能包括但不限于:

  • 研究新型威胁、攻击载体、风险及潜在的解决方案
  • 硬件或软件逆向工程 
  • 应用工具,如反汇编程序、调试程序和模糊处理工具 
  • 分析嵌入式设备
  • 开发分析和暴露漏洞的技术及工具
  • 设计新型漏洞发现技术
  • 与相关利益相关者分享缓解技术。

等级

在以下级别定义: 3 4 5 6

漏洞研究: 级别 1-2

在承担这些级别的责任时,通常不会观察到这项技能。

漏洞研究: 级别 3

应用漏洞研究的标准技术及工具。利用现有资源更新相关专业知识。参与研究社区。对活动和结果进行分析和报告。

漏洞研究: 级别 4

设计和执行复杂的漏洞研究活动。指定执行评估所需的环境、数据、资源和工具的要求。检查测试结果并在必要时对测试进行修改。创建报告,传达方法、发现和结论。利用已确定的模式提供欺骗方法方面的建议。积极为研究界做贡献。

漏洞研究: 级别 5

计划和管理漏洞研究活动。在漏洞研究领域维护强大的外部网络。收集关于新兴威胁和漏洞的信息。评估并记录对组织的影响和威胁。创建报告并与利益相关者分享知识与见解。提供专家建议与指导,支持漏洞研究工具和技术的采用。协助进行漏洞研究与评估方面组织政策、标准和指导方针的制作。

漏洞研究: 级别 6

计划并引领组织的漏洞研究方法。识别新型及新兴的威胁和漏洞。维护强大的外部网络。在面向外部的专业活动中发挥主导作用,促进信息收集,确定研究工作的范围。参与并影响相关利益相关者,交流研究结果以及所需的响应措施。针对新兴威胁和漏洞的监控制定组织政策和指导方针。

漏洞研究: 级别 7

在承担这种级别的责任时,通常不会观察到这项技能。