Mandiant网络威胁情报分析师核心能力框架

写在前面：这篇文章很有意思，很多词语用法我都没见过，充满了一种未来气息，彼时我正在崇礼冬奥村隔离，窗外是不变的群山，看不到一个人，也没什么声音，一切都趋于静止，让我有一种在其他星球的感觉。

本文包括两篇文档，都是关于网络安全从业人员的综合发展能力描述的。

Mandiant网络威胁情报分析师，大家可以对比一下自己的能力，能符合多少。  Meerah Rajavel的建议，大家也可以作为参考和指南。

Mandiant网络威胁情报分析师核心能力框架

    Mandiant公司开发了一个全面的网络威胁情报(CTI)分析师核心能力框架，作为网络威胁情报学科发现、打造、培养和留住人才的指南。情报与国家安全联盟(INSA)于2015年和卡耐基梅隆大学(Carnegie Mellon University)于2012年都试图开发类似的框架，以确定网络威胁情报分析师的基础知识、技能和能力(KSA)要求。然而，网络威胁情报学科从那时起已经有了相当大的发展，扩大了知识、技能和能力的范围和规模。要求更多的知识、技能和能力是信息和通信技术领域进步的结果，例如云计算和混合环境的采用、网络安全技术的发展以及网络对手作战情报技术的随之变化。

    组织可以选择使用该框架来确定团队或个人成长的领域，确定适当的发展路线图，并结合内部、外部或在职培训机会来支持网络威胁情报技能发展。有些能力的开发需要比其他能力更长的时间，因为需要更多的背景知识储备。在这个框架中，每个能力都包含一个描述，涵盖知识、技巧和能力的要求。如果一个能力代表多种技能，将对这个网络威胁情报用例专门进行说明。

    框架将个人能力分为四个部分：解决问题、专业效率、技术素养和精通网络威胁。

    多位Mandiant和非Mandiant 网络威胁情报专业人员共同开发并审核了框架，以确保所呈现的内容代表了网络威胁情报从业人员的实际情况。截止日期到2022年5月。

解决问题 

批判性思维 

    概念化、识别、评估和综合信息的能力，形成公正的判断、分析线和相关建议。这些判断应该基于个人对组织的网络威胁现实、网络安全态势的理解，符合组织的使命、愿景和目标。分析师应该能够：

• 采用情报生命周期
• 首先识别，根据效果再定第二步和第三步
• 根据情报来源的可靠性、访问级别和处理来评估其可信度
• 使用归纳和演绎推理方法处理数据集和厂商报告
• 应用结构化分析技术(SAT)和同行审核，以减少固有的认知偏见
• 能够创造和评估有矛盾的竞争性假设

    批判性思维还包含大胆思考，设计创新性解决方案和分析框架，以便研究、数据收集和有效沟通。批判性思维是创新和预测趋势的基本前提。

研究和分析

    以情报需求的方式，捕捉相关参与者的需求，并在集合管理框架内，根据这些需求对数据集和工具进行优先排序。研究使用逻辑和坚实的推理来调查技术和非技术数据源，以发现新的线索，发现新的联系，并得出明确的分析结论。网络威胁情报的研究范围广泛，从提取入侵指标到识别具有类似特征的文件，再到寻找网络威胁团伙使用的相关恶意基础设施。分析包括对研究结果的解释和汇总。

• 了解各种入侵指标(IOC)的使用和局限性——原子的（atomic）、计算的（computed）和行为的（behavioral）

（译者注：原子指标是那些不能被分割成更小部分的指标，它们的含义在入侵的上下文中不会改变，比如IP地址和电子邮件地址。计算指标是从安全事件中提取的数据中获得的，比如哈希值和正则表达式。行为指标是指原子指标和计算指标根据某种逻辑结合起来的一组。）

• 确定需要哪些数据来丰富现有的数据集，在哪里获取这些数据，以及如何整合它们
• 能够分析恶意软件，检查网络流量，并对日志事件数据分类

    研究技能包括对以下类型的内部数据、商业数据和开源数据集的相关内容进行挖掘、解释、提取、存储的能力，以丰富现有的情报收集和对网络威胁团伙的理解：

• 被动DNS（pDNS）记录。例如：PassiveTotal/RiskIQ（RiskIQ是一家威胁情报公司，2015年收购了PassiveTotal公司）、域名工具
• Netflow数据。例如：Team Cymru Augury（安全公司，发布互联网网络流量报告）
• 互联网扫描数据。例如：Shodan和Censys.io
• 恶意软件库。例如：VirusTotal，HybridAnalysis，any.run
• 网络流量。例如：PCAP (Packet capture)。
• 沙盒提交
• 基于主机的系统事件日志

    分析技能包括查询数据集的能力，开发逻辑数据模式和标记，对非结构化数据进行规范化和结构化处理，并解释结果以确定随着时间的趋势和特征。研究和分析技能还包括检查技术工件的能力，无论它们是基于主机(如脚本和编译的恶意软件)还是基于网络(如基础设施关系和域名结构)。熟悉Python等脚本语言、和数据集交互的SQL、运行环境(如Jupyter或Zeppelin记事本)、可视化工具(如Tableau或PowerBI)以及其他快速操作数据集的工具，可以极大地帮助研究和分析。强大的统计推理技能也至关重要，包括假设检验、统计显著性、条件概率、抽样和偏差等概念。

    研究和分析还受益于语言能力、文化背景和地区熟悉程度。

调查型思维

    能够理解复杂的挑战并开发出创造性解决方案。调查型思维，要求彻底了解网络威胁行为者及其战术、技术和程序(TTP)，以及现有的网络威胁情报框架、网络威胁情报工具和IT系统。保持一种开放的心态，以确定现有的结构、框架或工具是否需要提升，或者是否需要开发新的结构、框架或工具来应对对手的谍报技术或技术的创新。调查性思维还能让分析师培养直觉，识别噪声中的信号。调查型思维不同于批判性思维，它将研究和分析结合起来，识别和解释认知和逻辑偏见并使用结构化分析技术来克服它们。

专业效率 

沟通

    能够通过书面报告(FINTEL)、幻灯片、电子邮件、Confluence或SharePoint页面、内部ticket和简报，以有效的方式向不同的受众展示分析结论、研究和方法。首先提出结论（bottom line Up-Front，BLUF)和执行摘要是展示分析结果的两种有效方法。

    一个核心原则是识别和适应沟通风格的能力。这涵盖了媒介、语言、消息、节奏和不同受众的偏好，范围从战略、执行层到专业从业者，如检测工程师和安全架构师。这也包括与媒体和外部联络伙伴的合作。现有的网络威胁情报框架可以用于图形化地表示组织威胁模型、入侵活动、对手活动工作流以及技术和非技术敌方工件之间的关系。例子包括：

• 在网络威胁概况中对组织威胁现实建模
• 敌方作战间谍技术使用网络威胁情报为中心的杀伤链
• 入侵活动分组，来定义一个入侵集团或活动团伙
• 敌方工作流、剧本和狩猎包使用标准化的黑客术语
• 使用Maltego、MISP或其他链接分析工具、工作基准或超图关联对手工具、基础设施、人物角色和可疑从属关系

    有能力使用概率语言清晰地传达判断非常重要，这样判断就可以从事实和直接观察中抽离出来。与此相关的重要能力是使用精确的语言，以确保预期的信息得到恰当的传达，并不会引发不必要的警告。采用诸如AIMS(受众、意图、信息和故事)这样的叙事框架，有助于分析师传达评估结果。

    最后，认识到信息共享标准和感兴趣的社区至关重要。这包括结构化威胁信息表达(STIX)或JavaScript对象标记(JSON)等技术标准，使用可信自动情报交换(TAXII)或其他渠道在机器之间共享信息，如行业特定的信息共享组织和公共-私营信息共享和分析中心及组织(ISAC和ISAO)。熟悉网络政策和执法机制，用于对抗网络行动，包括抓捕、制裁、起诉、突击搜查，以及公众意识和咨询活动。

团队合作与情商

    与同事和领导有效互动的能力，建立一种包容多样性的背景、技能、知识和经验的协作文化，以识别和回答关键的情报问题(KIQ)。利用个人的独特性格帮助团队，提供同伴指导和学习机会，以填补知识和技能的空白，同时建立凝聚力和信任的文化。能够与利益相关者合作，获取有关业务运营、信息不足和决策过程的信息，可以为威胁情报流程提供信息，并提高成功率。

    情商包括培养良好的判断力以及情境意识，以理解何时以及如何让同事、领导或客户参与，了解敌意行为对组织的影响。情商的四个核心技能是自我意识、自我控制、社会意识和关系管理。

商业头脑

    有能力理解组织的使命、愿景、目标以及商业决策如何影响组织的网络风险暴露。此类决策的例子包括预期的合并和收购或扩大经营范围进入一个新的地理区域。战略方向的转变可能促使组织重新评估商业机密和知识产权的风险。网络威胁分析师可能需要提供风险暴露方面变化的净评估，并重新审视有意图、能力和机会威胁组织的网络团伙。组织领导层的公开评论也可能产生网络风险影响。网络威胁情报分析师应能够根据对业务的可证明价值，理解和评估威胁情报对业务的产出。

    重要的是要意识到组织结构和内部政治如何影响网络安全协作和决策。商业头脑包括理解各种组织要素使用的词汇、术语和参考框架。它允许分析师阐明研究结果，以更好地与利益相关者产生共鸣，包括传达风险背景下的威胁、表达实施某些网络安全措施的投资回报或传达预算需求。理想情况下，敏锐的商业嗅觉可以转化为在情报生命周期的每个阶段寻找可行机会。

技术素养 

企业IT网络

    理解操作系统原理，包括：

• 系统架构和应用在文件存储、内存管理和网络连接方面的设计原理
• 如何在内部及加入域的工作站和服务器上执行、提供和管理身份、访问和授权
• 如何将安全角色和属性分配给用户账户和进程
• 存储在操作系统事件日志中的信息
• 用户凭证、远程连接和共享驱动器映射如何存储
• 内核在安全策略实施中扮演的角色
• 系统之间如何通信，以及特定类型的通信所使用的协议。例如RDP、SSH、SMB、FTP、DNS和HTTP(S)
• 转发事件到集中日志平台的功能

    能够理解围绕企业网络设计的业务决策：

• 为什么企业网络经常在物理工作站和服务器上使用虚拟化环境
• 为什么某些操作系统比其他操作系统更能满足业务需求
• 技术进步和云计算服务产品的采用如何增强业务功能和扩大网络边界后的的安全后果

网络安全生态系统

    识别与网络防御措施和网络安全流程、技术和工作角色相关的核心概念、组件和约定。其核心宗旨是了解行业最佳实践和框架，如美国国家科学技术研究所(NIST)的网络安全框架(CSF)，五个网络防御阶段(识别、保护、检测、响应和恢复)中至少一个的防御方法和技术。

   关键概念：

• 访问控制
• 身份和访问管理
• 多因子认证
• Need-to-know
• 网络分段
• 公钥基础设施(PKI)
• 对称和非对称加密
• 基于特征和基于行为的检测。例如：Yara和Snort
• 模糊哈希算法。例如：SSDeep
• 威胁狩猎和事件响应
• 红队、紫队和主动网络防御
• 关键计划、流程、策略文档
• 业务连续性计划(BCP)
• 灾难恢复计划(DRP)
• 事件响应(IR)计划

   系统配置、标准化和账户管理:

• IT资产管理
• 配置管理和黄金映像（golden image）
• 特权账户管理

   安全周边技术：

• 网络和边界设备

- 防火墙

- 邮件检查和沙箱

- 入侵检测防御系统(IDS/IPS)

- Netflow采集器

• 端点

- 杀毒

- 端点检测和响应

- 扩展检测和响应(XDR)

• 日志集中收集及相关技术

- 安全事件管理系统（SIEM）

- 用户实体行为分析(UEBA)

- 安全编排、自动化和响应(SOAR)

组织的网络安全角色和责任

    能够理解网络安全和网络安全相关的工作角色、职责，以及组织内不同职能之间的相互关系。

• 安全操作中心(SOC)一级观察层分析师
• SOC二级分析师和事件响应人员
• SOC三级分析师和团队领导
• 取证分析
• 逆向工程
• 漏洞分析
• 安全架构
• 检测工程师
• 红队
• 蓝队
• 紫队
• 治理、风险管理和合规(GRC)
• IT支持和帮助台（help desk）

    对于分析师来说，建立RACI(负责、问责、咨询和知情)矩阵和服务水平协议(SLA)可以明确期望和责任，满足同行评审、情报产品开发和跨职能网络防御合作伙伴对额外信息的请求。

精通网络威胁 

攻击视角运营

    把组织构成定义为攻击性网络程序，工作职能和运营决策影响了能力开发，对完成使命目标有潜在影响。这些决策点包括分配有限的资源，将网络项目的要素外包，购买操作工具，寻求承包商支持，或购买犯罪能力。其他的决策要点包括根据法律机构强迫个人和公司支持这类项目，以及创建可运营的幌子公司。

    这种能力的次要原则是确定为什么民族国家、犯罪分子和意识形态驱动的黑客进行网络行动背后的基本动机，他们的历史背景和相关意义。这包括将网络行动作为治国方略工具的民族国家，为了实现地缘政治目标，从间谍活动、窃取有关敌方双边或多边立场的外交或军事信息，到通过网络影响行动，再到军事行动之前和期间的破坏性攻击。

    对和平时期可接受的行动以及战争时期这种转变的深刻理解至关重要。此外，分析人员应该能够识别可接受使用范围的操作，并推动现有规范包括那些在世界缺水地区影响水净化能力的操作。

    同样，这个能力的一个关键原则是有能力叙述每个网络威胁团伙的敌对行动和谍报技术的历史和演变。大量的历史实例可以帮助绘制网络行动的使用演变和推动因素，使分析师能够确定威胁组织之间的趋势线和偏差。这也包括基于国家关系预测针对性工作的能力，长久的目标或应对战术情况，以及识别潜在的机会目标。

威胁的概念和框架

    能够识别和应用适当的网络威胁情报术语和框架，跟踪和沟通对手的能力或活动。该能力还包括理解网络威胁术语的演变，各种网络威胁情报框架开发背后的原因，以及它们帮助网络威胁情报社区克服了哪些问题。网络威胁被定义为一个行动者的意图/动机的体现。这个能力主要集中在威胁行为者的能力上。

• 漏洞利用

- 通用漏洞评分系统(CVSS)

- 通用漏洞和暴露系统(CVE)

- 软件漏洞分类

- 并非所有漏洞都能被利用

- 零日和N日漏洞

- 漏洞开发开发和武器化

- 利用和感染链

- 补丁管理生命周期

- 漏洞程序采购灰色市场

- 漏洞赏金程序的角色

• 恶意软件

- 能够解释恶意软件执行链，从投放阶段到启用漏洞后利用工具

- 能够解释对手如何通过命令和控制(C2)服务器与恶意软件交互

- 解释恶意软件如何与C2服务器通信

- 与编译恶意软件相比，解释使用脚本效果的差异

- 识别模块化恶意软件或使用构建器的能力

- 恶意软件即服务市场

• 基础设施

- 恶意软件使用基础设施、使用C2服务器、数据泄露之间的区别

- 选择和偏好的托管服务

- 托管提供商提供的隐私保护或基于欧盟隐私指令

- 动态DNS

• 属性、入侵集群和命名约定

- 入侵行为特征

- 创建入侵集来区分活动类型

- 能够识别和区分独特的、新颖的入侵活动和常见的锚定功能，以支持归因和聚类工作

- 网络团体入侵活动的厂商命名约定，以及厂商为何不经常互相借用现有名称

- 如何对应各种厂商名称，以识别类似的网络威胁团伙的威胁活动

• 网络威胁情报框架

- 信息风险因素分析(FAIR)或威胁建模的事件记录和事件共享词汇(VERIS)

- 洛克希德·马丁公司的网络杀伤链、Mandiant针对性攻击生命周期或统一网络杀伤链，以直观地描绘对手行动的阶段

- 菱形入侵分析模型，用于集合、跟踪和分组入侵活动

- MITRE ATT&CK框架

- MITRE ATT&CK Navigator创建对手TTP时间界定手册

威胁行为者和TTP

    能够识别网络威胁团伙使用的命名约定，他们的民族国家或犯罪组织，并理解某些团伙在网络行动中使用的战术、技术和程序(TTP)。这一能力的一个关键原则是分析师能够识别网络杀伤链上的关键指标，用于确定对手的操作流程和偏好。这种偏好还考虑了运行基础设施和网络匿名化技术的托管提供商选择。

    分析人员应该能够列举出初始访问方式的范围，并识别出各种威胁团伙如何表现出操作偏好，从鱼叉式钓鱼到使用被入侵的网站进行有效载荷投放，再到在目标物理位置附近进行近距离访问操作。同样地，分析人员应该了解对手用来执行系统、网络和文件的发现等的侦察命令。这包括理解横向移动技术，如使用代理链、修改IP表、端口或反向转发，以包括每种技术的优点和缺点。

    分析人员应该能够解释，为什么威胁团伙往往只在受害者的网络中维持少量立脚点，几乎完全依赖受害者网络中的一个单一系统进行数据处理，并对不同的漏洞，使用不同的命令和控制服务器、信标、交互操作。同样，分析师也应该了解网络操作者为何宁愿使用恶意软件，而不是直接与远程shell交互。最后，分析人员应该能够解释为什么以及威胁团伙如何使用基于网络的混淆，如协议隧道、基于主机的反取证技术，以及基于主机的恶意软件内部混淆。