女性角色缺失：網絡安全行業(yè)的永恒主題

[[239769]]

數據顯示，到2020年，網絡安全行業(yè)將出現180萬個職位空缺，這一數字比2015年增長了20%，此外，技能短缺的跡象也在持續(xù)困擾著該行業(yè)。企業(yè)內部缺乏足夠的安全專業(yè)人員，即便是現有的人員中也大多存在必備技能短缺的現象。

根據Indeed的一份最新報告指出，在這個以男性為主導的科技領域中存在著根深蒂固的“性別歧視”文化，同時，只有不到一半的女性員工感覺到了男女平等。此外，來自ISC的報告也指出，網絡安全領域缺乏多樣性，全世界網絡安全專家中只有11%是女性。在歐洲，女性網絡安全勞動力的數量甚至下降到只有7%，而在英國僅有8%。

對于改善這種現狀，該行業(yè)所取得的進展一直十分緩慢。盡管大多數男性安全專業(yè)人士認為，女性應該擁有與其相同的職業(yè)發(fā)展機會，但是徒有這種想法仍然無濟于事。

至于造成如此巨大的性別差距的原因至今仍無明確的定論，但是可以肯定，這一結果是由多種因素綜合作用導致的，例如，對工資的考慮：在網絡安全領域，女性的平均工資水平要低于男性，而被確認為“少數派人士/少數民族”的女性工資還要低得多。

然而，女性從業(yè)者可以采取一些措施來提高她們自身在安全行業(yè)中的知名度，例如提高自身對問題的認知;更積極地投入網絡安全工作、接受自身安全專家的角色;以及通過自身言行激勵更多的年輕女性投身網絡安全事業(yè)等等。

同時，網絡安全行業(yè)也可以做更多的事情來支持女性從業(yè)者。

目前，業(yè)內很多女性正在采取行動來改善網絡安全環(huán)境，例如，今年夏天早些時候，前Twistlock首席戰(zhàn)略官和Forrester副總裁Chenxi Wang，首次推出了女性主導的網絡安全風險投資公司Rain Capital。

據悉，Rain Capital目前已經投資了幾家優(yōu)秀的安全企業(yè)，例如：Altitude Networks——由前Twitter首席信息安全官和Capital One的首席數據科學家創(chuàng)建;Capsule8——由世界三大安全公司之一McAfee的CTO John Viega和美國最大的移動支付公司Square首席安全官Dino Dai Zivi共同創(chuàng)辦，提供實時的零日攻擊檢測功能，并通過集裝箱化、虛擬化和裸機系統(tǒng)提供持續(xù)的安全性;Claroty——工業(yè)控制系統(tǒng)(ICS)全球最領先的廠商，保護ICS網絡免受攻擊，確保全球關鍵基礎設施的安全可靠運行。

當然，Chenxi Wang并不是唯一一位推動網絡安全變革的女性。為了表彰和宣揚女性在網絡安全領域做出的貢獻，專門策劃了本期文章，旨在向大家介紹那些在行業(yè)內尚未知名，但卻正在為網絡安全事業(yè)做出關鍵貢獻的女性。以下10位女性是根據廣大網友建議和行業(yè)研究結果所產生的，名單沒有特定的順序：

1. Jamie Tomasello——Duo Security安全運營高級主管

[[239770]]

Jamie Tomasello是Duo Security公司安全運營高級主管，主要領導企業(yè)信息安全以及信任與合規(guī)分析師團隊，負責事件響應、漏洞管理、安全意識培訓、政策制定以及風險評估和審計等工作。

在加入Duo之前，她曾是非營利性機構Access Now的技術總監(jiān)，主要負責保護全球風險用戶的數字版權。此外，她還曾擔任Cloudflare公司的政策和事件調查負責人、Comcast公司首席工程師，以及一家律師事務所的調查經理，主要負責處理與在線藥店、網絡釣魚、垃圾郵件和身份盜竊相關的網絡犯罪案件。

Tomasello將自身定位為“政策技術專家”，其在Duo公司嵌入了一個技術合規(guī)小組，通過結合政策和安全專業(yè)知識，來建立技術和法律團隊間的良性溝通。該小組中匯聚了技術團隊、法律專家以及審計人員，以便他們更好地了解和解決問題。Tomasello通過使用信任感、情感共鳴以及純粹感建立了這種跨部門間的協(xié)同合作關系，促進了內部利益相關者和客戶之間的信任關系。

如今，她正在拓展Duo的安全運營團隊，并應用行為修改原則和程序來解決網絡安全中的公開和隱蔽行為。值得一提的是，她還正在攻讀心理學學位，以進一步充實自身能力。

除去自身工作能力外，Tomasello還是一名“員工健康和包容”的倡導者，并將在今年舉辦的Black Hat USA大會上發(fā)表名為《Holding on for Tonight: Addiction in Infosec》的主題演講。

在她看來，根本就沒有工作和生活平衡這樣的事情，有的只是健康或不健康的生活方式。如果你想要最大限度地平衡工作和生活，實現健康的生活方式，就必須學會設定界限、建立原則并將其貫徹執(zhí)行。

對于未來，Tomasello的目標是繼續(xù)培養(yǎng)領導者，發(fā)展Duo的安全態(tài)勢，并為信息安全社區(qū)內的“員工健康和包容”建立新的規(guī)范。除了歡迎更多女性進入這個行業(yè)之外，她認為，我們還應該努力歡迎所有“代表/比例不足”的人(如少數民族人士)進入網絡安全領域。

請記住，無論是在代碼還是在政策方面，我們都傾向于記錄自己的價值觀和經驗。如果您建立一個代表用戶和擴展市場的團隊，他們就會預見并解決用戶和組織面臨的問題......所以，請使用您擁有的任何特權來放大那些“代表不足”的人的聲音。

工作之余，也許你會在馬路上遇見Tomasello，因為目前她正在為自己的第二次超級馬拉松進行訓練，并計劃征戰(zhàn)即將于10月初舉辦的芝加哥馬拉松競賽。

2. Wendi Whitmore——IBM X-Force全球領導者

[[239771]]

我們當時的工作重點，就是大家如今耳熟能詳的民族國家威脅行為者對政府軍事承包商的入侵行為。但是當時，大多數人們并不熟悉這種類型的攻擊。

21世紀初，當Wendi Whitmore作為美國空軍特工正在進行計算機犯罪調查工作的時候，民族國家網絡威脅的概念在軍隊范圍外幾乎還不存在。

Whitmore于2006年加入Mandiant，負責為聯邦政府和執(zhí)法機構提供事件響應(IR)服務。 2010年，她成為該公司的董事總經理，負責美國和歐洲客戶的數據泄露和事件調查。在這之后，她加入了CrowdStrike擔任服務副總裁，并幫助該公司開展了首個全球咨詢服務業(yè)務。在CrowdStrike公司，她和她的團隊主要負責為大公司和美國政府機構進行事件響應(IR)和數據泄露調查等工作。

如今，Whitmore已經成為事件響應(IR)領域罕見的頂級女性專家。作為IBM X-Force團隊的全球領導者，她主要負責監(jiān)督IBM公司的事件響應(IR)和威脅情報服務團隊。她的X-Force 事件響應(IR)團隊已經成功吸引了眾多“財富500強企業(yè)”，幫助他們阻止和緩解網絡攻擊、調查事件并保障他們的安全。

Whitmore表示，回顧整個職業(yè)生涯，她一直致力于推動攻擊補救更為主動地融入事件響應。這一過程與事件響應(IR)的早期階段截然不同，可能需要運行工具數周或數月的時間，來對事件進行調查并將其從事故中恢復。她說，“然后，IR會以迭代/重復的方式運行——直至你覺得自己已經完全掌握了所有情況為止。但這也會允許攻擊者在環(huán)境中停留更長的時間。”

她解釋稱，端點檢測和響應等工具有助于推動IR進入下一代。

你可以在線檢測并預防它們，這意味著調查可以在幾周內開始修復......現在正在縮短攻擊的時間窗口。此外，借助此類工具，我們也可以更為主動地查看攻擊者正在做什么，并采取措施鎖定他們。

也許正因如此，她才能在面對IBM客戶的高壓網絡攻擊事件時，擁有泰然自若的處理能力。Whitmore解釋稱，“我們的客戶需要我們在面臨一個非?；靵y的局面時保持平靜，如此，我們才有能力為他們提供所需的后續(xù)流程和計劃。”
從處理違規(guī)事件的繁雜事務中抽身時，Whitmore喜歡把時間花費在劃船之類的放松活動中。她表示，任何喜歡水上休閑的人都了解，它可以讓你從不同的角度看世界，我認為這對我的工作非常有益。

3. Caitie McCaffrey——微軟Azure Sphere首席軟件工程負責人

[[239772]]

與任何其他技術一樣，安全也是可以通過學習獲取的東西。它是關于“找到合適的資源以幫助你更好地成長”的學問，是值得深入研究、奉獻一生的工作。

Caitie McCaffrey是微軟Azure Sphere 安全服務的架構師和負責人，該服務通過識別新興威脅，推動軟件更新以及在設備、云和其他端點之間建立信任來保護Azure Sphere設備。她的團隊主要負責端到端的Azure體驗，最近一次的任務是為Azure Sphere提供開發(fā)套件。

在加入Azure團隊之前，McCaffrey曾是Twitter Observability團隊的技術主管和員工軟件工程師(staff software engineer)，該團隊主要負責為監(jiān)控服務運行狀況、發(fā)送警報以及支持根本原因調查的內部工程師提供庫和服務。在Twitter，她致力于將數據從外部區(qū)域復制到數據中心，提高警報效率和可靠性，并重寫了Twitter的“度量提取服務”(metric ingestion service)部分，使其更加可信。

視頻游戲是McCaffrey踏入信息安全領域的門戶：作為微軟游戲工作室和343 Industries的軟件開發(fā)工程師，她曾在《戰(zhàn)爭機器2》(Gears of War 2)中進行過作弊檢測，并為《光環(huán)4》(Halo 4)寫了作弊和禁止服務。她還曾參與開發(fā)過多款視頻游戲，包括《戰(zhàn)爭機器2、3》以及《光環(huán)4、5》等。在HBO，她還曾重新設計并編寫了HBO Go目錄服務，以實現可擴展、基于云和容錯等特性。

McCaffrey從游戲領域過渡到網絡安全領域的過程并不刻意。因為她的大部分職業(yè)生涯都花在構建大規(guī)模分布式系統(tǒng)上，但是后來她發(fā)現，安全問題始終處于保護人們隱私和數據的最前沿。從游戲到安全領域的轉型，事實上也證明了兩個行業(yè)之間存在的重合度遠比我們想象的要多得多：懷有惡意目的的行為者一直試圖破解視頻游戲，而想要保護用戶的隱私和數據，網絡安全就自然而然走入了McCaffrey的視野。

McCaffrey在游戲領域的大部分工作都集中在了解系統(tǒng)要求，以及檢測和禁止作弊等方面。像許多安全專業(yè)人士一樣，McCaffrey必須了解系統(tǒng)如何運作，以便更好地保護系統(tǒng)。從作弊者的角度思考如何建立、使用和保護游戲服務真的令McCaffrey受益匪淺，這段工作經歷幫助她成就了如今的自己。在Azure Sphere，她喜歡深入探究Azure芯片及其硅IT的硬件安全性。

她說，在外行看來，網絡安全領域是模糊不清的，因為人們不知道它是如何運作的。雖然許多人認為，工程和安全是兩個獨立的角色，但在McCaffrey看來，隨著工程師不斷“提升”自身的安全技能，他們兩者的工作將會出現更多的重疊。畢竟，作為工程師，他們也必須承擔起保護人們數據的責任。

McCaffrey期待在安全領域學習和成長，并通過Azure Sphere產生積極影響，因為在她看來，Azure Sphere“確保了數字流程的下一步”。在未來計算機充斥我們左右的時候，她希望能夠為人們提供一個可以信賴的安全平臺。

4. Rebekah Brown——Rapid7威脅情報主管

[[239773]]

Rebekah Brown的簡歷讀起來就像一部現代間諜小說：前國家安全局(NSA)網絡戰(zhàn)分析師、美國網絡司令部培訓和演習主管，以及海軍陸戰(zhàn)隊的加密語言學家和網絡部門運營主管，同時還精通中文。

如今，作為Rapid7的威脅情報主管，Brown主要負責整個安全公司的威脅情報工作。她將網絡威脅計劃重新調整為集研究、產品、服務和事件響應于一身的服務。

最近，Brown獲得了國土安全/網絡安全碩士學位，以及情報分析研究生文憑。在她看來，能夠分享自己在網絡威脅方面的專業(yè)知識，幫助安全專業(yè)人員——以及未來的安全專業(yè)人員正確地應用這些信息來改善網絡環(huán)境，這就是這些知識的全部意義所在。

最令我興奮的事情之一，就是我現在已經開始從事教育工作，并專門圍繞威脅情報展開宣傳，讓更多的人了解并參與到威脅情報工作中來。我很幸運可以在威脅情報這一專業(yè)術語產生之前，就開始從事這方面的工作，并積累了豐富的經驗和專業(yè)知識。

現在，Brown還兼任SANS的講師和導師，并與SANS教員Scott Roberts一起合著了《情報驅動的事件響應》(Intelligence-Driven Incident Response)一書。

Brown和她的Rapid7團隊最近參與的事件響應工作，是針對一個存在13年之久的蠕蟲進行研究。她說，老式蠕蟲始終是威脅網絡安全的一個重要因素，如果說2005年我們能夠獲得像如今這樣多的威脅情報的話，那么實際上，防止這些老式病毒繼續(xù)活躍就會容易得多。

除了分享自身在威脅情報方面的專業(yè)知識和經驗外，Brown也十分喜歡分享她的其他才能：比如音樂。Brown出生在音樂世家，深受藝術熏染，她的父母都是鋼琴演奏家，而Brown擅長的卻是尤克里里。即便在參加SANS會議期間，Brown也會隨身攜帶尤克里里，甚至會即興為教員和學員們來上一段。

目前，Brown已經身懷第四胎，所以她不得不暫停自己的競技性踢球活動。有時候她甚至會打趣道，“我正在創(chuàng)建自己的足球隊(意為生一個足球隊)”。

5. Marcelle Lee——LookingGlass Cyber Solutions公司威脅研究員

[[239774]]

Marcelle Lee是LookingGlass Cyber Solutions(LGC)公司的威脅研究員，數字取證和網絡安全方面的兼職教授，并通過她自己的公司Fractal Security Group提供安全咨詢和培訓服務。在加入LGC團隊之前，她曾在美國國防部擔任惡意軟件分析師，再之前，她曾在馬里蘭州阿諾德當地的社區(qū)學院擔任網絡安全項目方面的全職工作人員。

目前，作為一名威脅研究員的Lee，主要負責回應客戶對技術方面的疑問，并立足項目以增強其團隊的情報收集能力和知識儲備基礎。除了研究、分析和編目惡意軟件，以便納入ScoutPrime之外，她還在深入探索一些關于加密礦工的研究，以及觀察相關的采礦活動。此外，Lee還負責為LGC網站撰寫分發(fā)給客戶的技術報告。據她所言，她本身特別喜歡追蹤和分析網絡釣魚活動。

我在網絡安全職業(yè)生涯中學到的最寶貴的經驗是，你永遠不能停止學習!對于未來，我的目標是可以更加精通YARA和Python，并希望在2019年嘗試通過OSCP認證。

Lee還準備繼續(xù)自己的自愿者外展工作，并更多地參與到更為多元化的組織中。此外，她還打算繼續(xù)在行業(yè)會議上分享自己的專業(yè)知識。今年，她將會在DEF CON和HackerHalted舉行的會談中發(fā)表演講。她希望通過這些行為來激勵更多的女性考慮加入安全領域。

我打算繼續(xù)參與到會議演說中，因為我認為，我可以幫助更多女性參與該行業(yè)的最佳方式就是成為一名榜樣和導師。在大型國際會議上發(fā)表演講，可以讓更多人看到技術領域確實有杰出女性存在，讓她們知道，生活中的普通中年媽媽一樣可以在事業(yè)中有所作為。這一切都是我想要證明和展示給她們看到的!

6. Jennifer Ayers——CrowdStrike監(jiān)督與安全響應小組副總裁

[[239775]]

近年來，“威脅捕捉”(Threat hunting)的風頭可謂一時無倆。所謂“威脅捕捉”，強調的關鍵在于建立威脅捕捉的能力，盡可能早地在殺傷鏈(kill chain)中發(fā)現威脅信息，分析并采取準確行動阻斷威脅，并建立可重復利用的經驗。如今，隨著組織逐漸從被動防御往主動防御反面轉型，“威脅捕捉”的重要性也日益凸顯。

如今，作為CrowdStrike公司監(jiān)督與安全響應小組副總裁的Jennifer Ayers，正在負責領導業(yè)內最久負盛名的威脅捕捉團隊之一——“守望者”(Overwatch)團隊。據悉，CrowdStrike團隊曾參與調查2014年索尼影業(yè)等高調違規(guī)行為，以及民主黨全國委員會(DNC)在2016年總統(tǒng)大選期間被俄羅斯民族國家黑客滲透等事件。

CrowdStrike聯合創(chuàng)始人兼首席技術官Dmitri Alperovitch表示，在Jennifer的領導下，“守望者”(Overwatch)團隊僅在2017年就成功阻斷了超過25,000次違規(guī)行為，并且每天都會進行網絡肉搏戰(zhàn)(Hand-to-hand combat)，并成功擊敗復雜的對手。不得不說，Jennifer是一位技能卓越且擅長鼓舞人心的領導者，也由此獲得了許多了不起的人的信任和尊重，CrowdStrike非常榮幸有她的加入。

Jennifer表示，她喜歡自己的團隊所做的威脅捕捉工作有助于塑造CrowdStrike的Falcon端點安全產品。在她看來，可以利用自己的技能和專業(yè)知識來影響產品是一件了不起的事情。

此外，Jennifer還表示，她自身具備的威脅捕捉技能，使她能夠更容易地雇傭和更合理地部署“守望者”團隊的成員。

能夠雇傭到合適的人，并把他們安排在合適的位置，才能最大限度地發(fā)揮他們的作用。如果說我不知道他們在做什么，不了解他們的工作內容，這一切都是不可能實現的。我的技術背景允許我有能力挑選合適的人員。

Jennifer的職業(yè)生涯始于美國空軍的IT專家。當她部署工作的時候，她必須在這些部署的地區(qū)建立計算機網絡，這便是她學習安全性的方法。

后來，她加入了通用電氣的網絡和安全運營部門，并最終成為GE醫(yī)療集團全球事件響應和網絡運營領導者。 再之后，她加入了Mandiant，在那里，她建立了第一個托管事件響應服務團隊。三年后，她加入了CrowdStrike，剛開始是擔任產品管理總監(jiān)，后來轉崗到威脅研究員的角色。

工作之余，Jennifer喜歡玩Xbox(家用電視游戲機)，她是在線角色扮演游戲“Elder Scrolls”的擁躉。此外，她還會在空余時間種種菜，并將種出的西紅柿和自制沙沙醬(salsa，墨西哥式辣椒醬)分享給朋友。

7. Jen Weedon——Facebook威脅情報高級主管

[[239776]]

Jen Weedon的整個職業(yè)生涯都在研究地緣政治如何影響網絡安全，以及各國如何利用互聯網實現其目標。她的大部分經驗都來源于領導負責跟蹤、阻斷和預測戰(zhàn)略安全威脅的團隊，以及與這樣的團隊進行合作。

目前，Weedon正在Facebook擔任威脅情報高級主管的職務，她和她的團隊主要負責與公司的合作伙伴協(xié)同工作，以應對安全和誠信挑戰(zhàn)。此外，他們也尤為關注高級威脅和信息操作。

在Facebook，，我有機會接觸一些復雜且令人著迷的安全挑戰(zhàn)，并且有機會與熱情、技能卓越、以認為為導向的合作伙伴交流進步。我很幸運，自己的職業(yè)生涯能夠融合我對國際關系的熱愛，以及對信息安全的向往。

在加入Facebook團隊之前，Weedon曾在FireEye的戰(zhàn)略分析團隊工作，在那里，她主要負責為私營部門和政府組織提供有關全球網絡威脅的建議。在此之前，她還曾在Mandiant和iSight Partners擔任領導職務。

Weedon擁有史密斯學院的管理文學學士學位，以及弗萊徹法律與外交學院的國際公法和安全研究碩士學位。此外，她還是一名烏克蘭的“富布賴特學者”(Fulbright fellow)。所謂“富布賴特學者”，即美國參議員詹姆斯·威廉·富布賴特于1946年提出富布賴特法案，確立了美國與外國的學者和學生到對方國家交流進修的方案。富布賴特項目始建于1946年，是美國在全球范圍內開展的大規(guī)模國際合作交流項目，旨在通過教育和文化交流來促進國家間的相互了解。迄今為止已有來自140多個國家的255000人參與過此項目。參與這一項目的學者被稱為富布賴特學者。

展望自己的安全職業(yè)生涯，Weedon的目標包括，幫助培育和發(fā)展下一代安全專家，并繼續(xù)為用戶識別、阻斷不斷涌現的新威脅。Weedon表示，保持領先能力是一項持續(xù)的工作，需要我們不斷學習充實自身。此外，能夠確保從各個角度看待問題是緩解復雜威脅的最佳方法。

8. Krista Mika?le Théodore——Memorial Healthcare System IT安全分析師

[[239777]]

Théodore在賓夕法尼亞州立大學學習一年后，便在一次皇家加勒比郵輪上的意外實習中，開始了自己的網絡安全職業(yè)道路。在皇家加勒比郵輪上，她申請并意外獲得了IT合規(guī)實習的機會，那時候她并沒有意識到這實際上是一名大學畢業(yè)生才有資格獲取的職位。她回憶道，自己去實習的第一天，郵輪公司的人才意識到她不是一名大四畢業(yè)生。據悉，當時的她在大學修的是信息科學與技術，以及網絡安全和風險分析方面的雙學位。

郵輪公司的人鼓勵她繼續(xù)學習，并將其安排在合規(guī)團隊中，就是在那里，她確立了信息安全意識，并親身體驗了安裝VPN和其他安全工具的經驗。

如今，Théodore正效力于佛羅里達州Memorial Healthcare System的安全團隊，致力于安全監(jiān)控和事件響應，識別潛在威脅，并協(xié)助完成緩解任務。在此之前，她曾在邁阿密大學擔任安全工程師，負責幫助制定安全策略，以及有關安全最佳實踐方面的咨詢，包括制定安全意識計劃等。

2015年，Théodore還在邁阿密大學舉辦了首次網絡安全會議，這是一項針對當地企業(yè)和組織的免費活動。Théodore回憶稱，我希望它能成為拉近組織之間關系的平臺。

對于Théodore來說，提供社區(qū)外展及其安全專業(yè)知識已經成為她的生活方式。不過，除此之外，她還在經營著自己的另一個項目：她稱其為“數字移民”——即為那些成長道路上沒有接觸過互聯網、個人計算機或智能手機的人，免費提供教育、培訓和安全意識服務。

數字移民一詞始于一個玩笑，我以前就是這樣稱呼我父母的?，F在，我為那些沒能趕上技術潮流的人創(chuàng)建了一個項目，幫助他們學習一些基礎的技術和知識。最重要的是，這個項目是不收費的。

Théodore表示，她接觸過許多需要幫助的人，這些人由于缺乏基礎的技術和網絡安全知識，而經常遭受網絡釣魚郵件或詐騙電話欺騙。她指出，她的家鄉(xiāng)弗洛里達州不僅是一大群退休人士聚集的地方，而且也是身份盜竊發(fā)生頻率最高的州之一。

工作之余，Théodore喜歡和家人、朋友聚在一起玩R&R游戲。至于未來，Théodore的目標是想要涉足應用程序開發(fā)和應用安全(AppSec)領域。

9. Katie Burnell——Dtex Systems內部威脅分析師(EMEA)

[[239778]]

當Katie Burnell還是英格蘭銀行的一名數據處理員(data processor)時，她并不打算將職業(yè)道路定向到網絡安全領域。在她得知該銀行正在建立一個IT安全部門時，她還在數字媒體團隊中任職。后來，隨著自身能力不斷升級，Burnell幫助該銀行建立了第一個安全運營中心和內部威脅分析團隊，并最終成為了一名網絡調查員。

現在，她在Dtex擔任內部威脅分析師，負責分析用戶活動，進行威脅評估，并將安全風險傳達給包括大型全球金融機構、電力供應商和政府機構在內的客戶群。

作為專家威脅分析師，Burnell需要在美國大型金融機構，以及Dtex的EMEA客戶群之間來回穿梭。她還參與EMEA預售戰(zhàn)略，與潛在客戶會面，提供戰(zhàn)略咨詢，并代表Dtex參加合作伙伴活動。最重要的是，Burnell幫助該公司開發(fā)了“Dtex內部威脅情報報告”，并與其他團隊合作推進Dtex技術，以及檢測內部威脅方面的專業(yè)知識。她說，自己在英格蘭銀行的工作經歷幫助她掌握了檢測內部威脅的技能，此外，她對開源智能(OSINT)方面的興趣和資歷也幫助他們實現了進一步發(fā)展。

Burnell表示，網絡安全領域對于年輕女性而言始終充滿挑戰(zhàn)，但是這并不會阻止她繼續(xù)分享自己的經驗和知識。她曾在過去的行業(yè)會議上發(fā)表過多次演講，她的職業(yè)目標之一是出席并在Black Hat黑客大會上發(fā)表演講。2016年，Burnell首次參加了Black Hat大會，并被各位演講者豐富的經驗和演說風格所折服，同時，也受到了許多演講主題的啟發(fā)。

對于未來，Burnell的首要目標是繼續(xù)分享她的知識和實踐經驗，并將其應用于各種規(guī)模、行業(yè)、預算以及網絡安全成熟度水平的企業(yè)之中。

綜合來說，Burnell是一名合格的OSINT從業(yè)者，經過認證的“人類黑客”，Maltego CTF(奪旗競賽)冠軍，以及網絡安全女性倡導者。

10. Amber Van Sant——BTB Security威脅運營主管

[[239779]]

Amber Van Sant曾在紐約FBI的網絡部門擔任特工和救濟主管，并自此開始自己的網絡安全生涯，在FBI任職期間，她參與調查了世界上最大的一些全球企業(yè)的網絡安全漏洞問題。

在FBI參與檢測、記錄和分析威脅近4年后，Van Sant轉投到私營部門，并參與制藥、化學和金融行業(yè)的事件響應和基礎設施安全團隊。

在其職業(yè)生涯中，她主要負責構建人員、流程和技術系統(tǒng)，以及幫助組織從容應對挑戰(zhàn)，包括轉變預算、人員和操作環(huán)境。Van Sant曾幫助過大型企業(yè)成功指導過事件響應工作，并將非生產性安全流程轉變?yōu)榫哂谐杀拘б娴陌踩?。作為一名安全從業(yè)者，她為威脅行動者分析、記憶取證、入侵分析、威脅行為者特征剖析、指標和審計報告提供了流程和技術支持。

Van Sant目前正擔任BTB Security公司的威脅運營主管，通過利用自身在威脅情報和事件響應方面的專業(yè)知識，管理著一個負責分析各個行業(yè)(從教育到車)威脅狀況的團隊。她的角色要求她不僅要管理員工，還要幫助企業(yè)響應、躲避以及改變攻擊媒介。

Van Sant是公司所有客戶關系的主要聯系人，負責管理入職流程及他們持續(xù)關注的問題。在過去六個月中，她通過構建團隊以及貫徹最佳實踐，幫助BTB Security公司實現了進一步擴張。

談及自己的網絡安全職業(yè)生涯，Van Sant 表示，“在建立完成強大的技術計劃之后，成功與否的關鍵就取決于和您合作的人，以及您與他們之間所建立的系。無論是您自己企業(yè)的員工，還是與您合作的組織中的安全專業(yè)人員，都需要以協(xié)作、積極的方式凝聚在一起，才能取得顯著的成果。”

我相信黑客是非常聰明的，而且他們具備很大的優(yōu)勢。因為他們只需要提出一個想法，一種攻擊方式，我們這些防御者就需要去預見可能會受到影響的所有方式，并做好對應的防御準備。

Indee最新報告下載：

https://iamcybersafe.org/wp-content/uploads/2017/03/WomensReport.pdf

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文