安全规则开发工程师
岗位职责:
1. 规则库全生命周期管理: 负责恶意流量、威胁情报、安全事件等规则库的规划、构建、筛选、验证、部署及持续优化。
2. 多格式规则开发与转换: 熟练使用 Yara(文件检测)、Snort/Suricata(网络流量检测)、Sigma(日志检测)等主流规则语言编写高检出率、低误报率的检测规则;能处理和利用明文威胁情报(如IP、域名、Hash等)。
3. 威胁建模与规则定制: 基于公司实际业务场景、技术架构和面临的威胁,进行威胁建模,编写针对性的检测规则,并通过模拟或真实环境验证其有效性。
4. 情报驱动安全: 持续跟踪、收集、分析内外部威胁情报源,评估其相关性与可信度,并将其转化为可执行的检测规则或防御策略。
5. 安全资产沉淀: 建立安全规则与情报的标准化管理流程,组织并指导初级安全人员或外部协作伙伴(如实习生、合作伙伴)进行规则收集、格式转换与验证,形成可复用的安全知识库。
6. 跨团队协作: 与非安全背景的开发、运维、产品团队进行高效沟通,理解业务需求,将安全需求转化为技术方案,并推动安全措施落地。
7. 独立工作与体系建设: 作为安全团队的奠基者,能够独立规划工作优先级,建立基础安全流程与文档,为未来安全团队发展奠定基础。
任职资格:
1. 核心技术能力:
1)精通 Yara、Snort、Sigma 规则语法与编写技巧,有实际编写和调优经验。
2)熟悉常见恶意软件、网络攻击(如APT、勒索软件、Web攻击)的TTPs(战术、技术和程序)。
3)深入理解 MITRE ATT&CK 框架,能够熟练运用其战术(Tactics)和技术(Techniques)进行威胁建模、检测规则设计和攻击行为分析。
4)具备威胁情报分析能力,熟悉主流情报源(如VirusTotal, AlienVault OTX, MISP等)及情报处理流程。
5)熟悉网络协议(TCP/IP, HTTP, DNS等)和日志分析。
2. 软技能:
1)沟通能力: 能够向非技术人员清晰解释复杂的安全概念和风险。
2)组织与领导潜力: 具备指导他人、组织协作的能力,能有效管理外部或初级人员的贡献。
3)独立性与主动性: 能够在资源有限的环境下自主发现问题、规划工作并推动解决。
4)文档能力: 能够撰写清晰、规范的技术文档和流程说明。
3. 加分项:
1)有从0到1搭建企业安全检测体系的经验。
2)熟悉自动化脚本(Python/Go等)用于规则管理或情报处理。
3)了解SIEM、EDR、防火墙等安全产品的规则集成。
简历投递邮箱:huyingchun@tangsec.com
