数字世界的全球技能和能力框架

漏洞研究 VURE

进行应用研究,发现、评估和减轻新型或未知安全漏洞和缺陷。

指导说明

安全漏洞是在安全系统中发现的弱点、缺陷或错误,存在被外部代理利用来危害安全系统的风险。

活动可能包括但不限于:

  • 研究新型威胁、攻击载体、风险及潜在的解决方案
  • 研究新兴的加密漏洞 
  • 硬件或软件逆向工程 
  • 应用工具,如反汇编程序、调试程序和模糊处理工具 
  • 分析嵌入式设备
  • 开发分析和暴露漏洞的技术及工具
  • 设计新型漏洞发现技术
  • 与相关利益相关者分享缓解技术。

了解此技能的责任级别

在未定义较低级别的情况下...
  • 没有定义具体的任务和职责,因为该技能需要比这些级别的通常预期的更高的自主性、影响力和决策复杂性。您可以使用本质语句来了解与这些级别相关的一般职责。
如果未定义更高的级别...
  • 职责和问责制没有定义,因为这些更高层次涉及战略领导和更广泛的组织影响力,超出了这一特定技能的范围。请参阅本质陈述。

发展技能并展示与该技能相关的责任

定义的级别显示了技能和责任的增量进展。

在未定义较低级别的情况下...

您可以通过以下方式发展您的知识并支持在该领域负有责任的其他人:

  • 学习与此技能相关的关键概念和原则及其对您的角色的影响
  • 执行相关技能(请参阅相关的 SFIA 技能)
  • 支持他人执行更高级别的任务和活动
如果未定义更高的级别...
  • 你可以通过发展更适合更高层次组织领导的相关技能来取得进步。

显示/隐藏额外的描述和级别。

该技能的责任级别

2 3 4 5 6

漏洞研究: 级别 2

级别 2 — 协助: 该级别的本质:为他人提供帮助,在日常监督下工作,利用自己的判断力解决常规问题。通过培训和在职经验积极学习。

在例行监督下协助漏洞研究任务。帮助记录和报告漏洞研究活动的结果。

漏洞研究: 级别 3

级别 3 — 应用: 该级别的本质:使用标准方法和程序执行各种任务,有时是复杂和非常规任务。在一般指导下工作,行使自主权,在截止日期内管理自己的工作。在工作场所积极主动地提高技能和影响力。

应用漏洞研究的标准技术及工具。利用现有资源更新相关专业知识。参与研究社区。对活动和结果进行分析和报告。

漏洞研究: 级别 4

级别 4 — 帮助: 该级别的本质:执行各种复杂的活动,支持和指导他人,在适当时委派任务,在一般指导下自主工作,并为实现团队目标贡献专业知识。

设计和执行复杂的漏洞研究活动。指定执行评估所需的环境、数据、资源和工具的要求。检查测试结果并在必要时对测试进行修改。创建报告,传达方法、发现和结论。利用已确定的模式提供欺骗方法方面的建议。积极为研究界做贡献。

漏洞研究: 级别 5

级别 5 — 确保,建议: 该级别的本质:在其专业内提供权威性指导,并在广泛的指导下开展工作。负责交付从分析、执行到评估的重要工作成果。

计划和管理漏洞研究活动。针对漏洞研究维护强大的外部网络。收集关于新兴威胁和漏洞的信息。评估并记录对组织的影响和威胁。创建报告并与利益相关者分享知识与见解。提供专家建议与指导,支持漏洞研究工具和技术的采用。协助进行漏洞研究与评估方面组织政策、标准和指导方针的制作。

漏洞研究: 级别 6

级别 6 — 主动,影响: 该级别的本质:对组织有重大影响,做出高层决策,制定政策,展现领导力,促进组织协作,并在关键领域接受问责。

计划并引领组织的漏洞研究方法。识别新型及新兴的威胁和漏洞。维护强大的外部网络。在面向外部的专业活动中发挥主导作用,促进信息收集,确定研究工作的范围。参与并影响相关利益相关者,交流研究结果以及所需的响应措施。针对新兴威胁和漏洞的监控制定组织政策和指导方针。