Mandiant網絡威脅情報分析師核心能力框架

寫在前面：這篇文章很有意思，很多詞語用法我都沒見過，充滿了一種未來氣息，彼時我正在崇禮冬奧村隔離，窗外是不變的群山，看不到一個人，也沒什么聲音，一切都趨于靜止，讓我有一種在其他星球的感覺。

本文包括兩篇文檔，都是關于網絡安全從業人員的綜合發展能力描述的。

Mandiant網絡威脅情報分析師，大家可以對比一下自己的能力，能符合多少。  Meerah Rajavel的建議，大家也可以作為參考和指南。

Mandiant網絡威脅情報分析師核心能力框架

    Mandiant公司開發了一個全面的網絡威脅情報(CTI)分析師核心能力框架，作為網絡威脅情報學科發現、打造、培養和留住人才的指南。情報與國家安全聯盟(INSA)于2015年和卡耐基梅隆大學(Carnegie Mellon University)于2012年都試圖開發類似的框架，以確定網絡威脅情報分析師的基礎知識、技能和能力(KSA)要求。然而，網絡威脅情報學科從那時起已經有了相當大的發展，擴大了知識、技能和能力的范圍和規模。要求更多的知識、技能和能力是信息和通信技術領域進步的結果，例如云計算和混合環境的采用、網絡安全技術的發展以及網絡對手作戰情報技術的隨之變化。

    組織可以選擇使用該框架來確定團隊或個人成長的領域，確定適當的發展路線圖，并結合內部、外部或在職培訓機會來支持網絡威脅情報技能發展。有些能力的開發需要比其他能力更長的時間，因為需要更多的背景知識儲備。在這個框架中，每個能力都包含一個描述，涵蓋知識、技巧和能力的要求。如果一個能力代表多種技能，將對這個網絡威脅情報用例專門進行說明。

    框架將個人能力分為四個部分：解決問題、專業效率、技術素養和精通網絡威脅。

    多位Mandiant和非Mandiant 網絡威脅情報專業人員共同開發并審核了框架，以確保所呈現的內容代表了網絡威脅情報從業人員的實際情況。截止日期到2022年5月。

解決問題 

批判性思維 

    概念化、識別、評估和綜合信息的能力，形成公正的判斷、分析線和相關建議。這些判斷應該基于個人對組織的網絡威脅現實、網絡安全態勢的理解，符合組織的使命、愿景和目標。分析師應該能夠：

• 采用情報生命周期
• 首先識別，根據效果再定第二步和第三步
• 根據情報來源的可靠性、訪問級別和處理來評估其可信度
• 使用歸納和演繹推理方法處理數據集和廠商報告
• 應用結構化分析技術(SAT)和同行審核，以減少固有的認知偏見
• 能夠創造和評估有矛盾的競爭性假設

    批判性思維還包含大膽思考，設計創新性解決方案和分析框架，以便研究、數據收集和有效溝通。批判性思維是創新和預測趨勢的基本前提。

研究和分析

    以情報需求的方式，捕捉相關參與者的需求，并在集合管理框架內，根據這些需求對數據集和工具進行優先排序。研究使用邏輯和堅實的推理來調查技術和非技術數據源，以發現新的線索，發現新的聯系，并得出明確的分析結論。網絡威脅情報的研究范圍廣泛，從提取入侵指標到識別具有類似特征的文件，再到尋找網絡威脅團伙使用的相關惡意基礎設施。分析包括對研究結果的解釋和匯總。

• 了解各種入侵指標(IOC)的使用和局限性——原子的（atomic）、計算的（computed）和行為的（behavioral）

（譯者注：原子指標是那些不能被分割成更小部分的指標，它們的含義在入侵的上下文中不會改變，比如IP地址和電子郵件地址。計算指標是從安全事件中提取的數據中獲得的，比如哈希值和正則表達式。行為指標是指原子指標和計算指標根據某種邏輯結合起來的一組。）

• 確定需要哪些數據來豐富現有的數據集，在哪里獲取這些數據，以及如何整合它們
• 能夠分析惡意軟件，檢查網絡流量，并對日志事件數據分類

    研究技能包括對以下類型的內部數據、商業數據和開源數據集的相關內容進行挖掘、解釋、提取、存儲的能力，以豐富現有的情報收集和對網絡威脅團伙的理解：

• 被動DNS（pDNS）記錄。例如：PassiveTotal/RiskIQ（RiskIQ是一家威脅情報公司，2015年收購了PassiveTotal公司）、域名工具
• Netflow數據。例如：Team Cymru Augury（安全公司，發布互聯網網絡流量報告）
• 互聯網掃描數據。例如：Shodan和Censys.io
• 惡意軟件庫。例如：VirusTotal，HybridAnalysis，any.run
• 網絡流量。例如：PCAP (Packet capture)。
• 沙盒提交
• 基于主機的系統事件日志

    分析技能包括查詢數據集的能力，開發邏輯數據模式和標記，對非結構化數據進行規范化和結構化處理，并解釋結果以確定隨著時間的趨勢和特征。研究和分析技能還包括檢查技術工件的能力，無論它們是基于主機(如腳本和編譯的惡意軟件)還是基于網絡(如基礎設施關系和域名結構)。熟悉Python等腳本語言、和數據集交互的SQL、運行環境(如Jupyter或Zeppelin記事本)、可視化工具(如Tableau或PowerBI)以及其他快速操作數據集的工具，可以極大地幫助研究和分析。強大的統計推理技能也至關重要，包括假設檢驗、統計顯著性、條件概率、抽樣和偏差等概念。

    研究和分析還受益于語言能力、文化背景和地區熟悉程度。

調查型思維

    能夠理解復雜的挑戰并開發出創造性解決方案。調查型思維，要求徹底了解網絡威脅行為者及其戰術、技術和程序(TTP)，以及現有的網絡威脅情報框架、網絡威脅情報工具和IT系統。保持一種開放的心態，以確定現有的結構、框架或工具是否需要提升，或者是否需要開發新的結構、框架或工具來應對對手的諜報技術或技術的創新。調查性思維還能讓分析師培養直覺，識別噪聲中的信號。調查型思維不同于批判性思維，它將研究和分析結合起來，識別和解釋認知和邏輯偏見并使用結構化分析技術來克服它們。

專業效率 

溝通

    能夠通過書面報告(FINTEL)、幻燈片、電子郵件、Confluence或SharePoint頁面、內部ticket和簡報，以有效的方式向不同的受眾展示分析結論、研究和方法。首先提出結論（bottom line Up-Front，BLUF)和執行摘要是展示分析結果的兩種有效方法。

    一個核心原則是識別和適應溝通風格的能力。這涵蓋了媒介、語言、消息、節奏和不同受眾的偏好，范圍從戰略、執行層到專業從業者，如檢測工程師和安全架構師。這也包括與媒體和外部聯絡伙伴的合作。現有的網絡威脅情報框架可以用于圖形化地表示組織威脅模型、入侵活動、對手活動工作流以及技術和非技術敵方工件之間的關系。例子包括：

• 在網絡威脅概況中對組織威脅現實建模
• 敵方作戰間諜技術使用網絡威脅情報為中心的殺傷鏈
• 入侵活動分組，來定義一個入侵集團或活動團伙
• 敵方工作流、劇本和狩獵包使用標準化的黑客術語
• 使用Maltego、MISP或其他鏈接分析工具、工作基準或超圖關聯對手工具、基礎設施、人物角色和可疑從屬關系

    有能力使用概率語言清晰地傳達判斷非常重要，這樣判斷就可以從事實和直接觀察中抽離出來。與此相關的重要能力是使用精確的語言，以確保預期的信息得到恰當的傳達，并不會引發不必要的警告。采用諸如AIMS(受眾、意圖、信息和故事)這樣的敘事框架，有助于分析師傳達評估結果。

    最后，認識到信息共享標準和感興趣的社區至關重要。這包括結構化威脅信息表達(STIX)或JavaScript對象標記(JSON)等技術標準，使用可信自動情報交換(TAXII)或其他渠道在機器之間共享信息，如行業特定的信息共享組織和公共-私營信息共享和分析中心及組織(ISAC和ISAO)。熟悉網絡政策和執法機制，用于對抗網絡行動，包括抓捕、制裁、起訴、突擊搜查，以及公眾意識和咨詢活動。

團隊合作與情商

    與同事和領導有效互動的能力，建立一種包容多樣性的背景、技能、知識和經驗的協作文化，以識別和回答關鍵的情報問題(KIQ)。利用個人的獨特性格幫助團隊，提供同伴指導和學習機會，以填補知識和技能的空白，同時建立凝聚力和信任的文化。能夠與利益相關者合作，獲取有關業務運營、信息不足和決策過程的信息，可以為威脅情報流程提供信息，并提高成功率。

    情商包括培養良好的判斷力以及情境意識，以理解何時以及如何讓同事、領導或客戶參與，了解敵意行為對組織的影響。情商的四個核心技能是自我意識、自我控制、社會意識和關系管理。

商業頭腦

    有能力理解組織的使命、愿景、目標以及商業決策如何影響組織的網絡風險暴露。此類決策的例子包括預期的合并和收購或擴大經營范圍進入一個新的地理區域。戰略方向的轉變可能促使組織重新評估商業機密和知識產權的風險。網絡威脅分析師可能需要提供風險暴露方面變化的凈評估，并重新審視有意圖、能力和機會威脅組織的網絡團伙。組織領導層的公開評論也可能產生網絡風險影響。網絡威脅情報分析師應能夠根據對業務的可證明價值，理解和評估威脅情報對業務的產出。

    重要的是要意識到組織結構和內部政治如何影響網絡安全協作和決策。商業頭腦包括理解各種組織要素使用的詞匯、術語和參考框架。它允許分析師闡明研究結果，以更好地與利益相關者產生共鳴，包括傳達風險背景下的威脅、表達實施某些網絡安全措施的投資回報或傳達預算需求。理想情況下，敏銳的商業嗅覺可以轉化為在情報生命周期的每個階段尋找可行機會。

技術素養 

企業IT網絡

    理解操作系統原理，包括：

• 系統架構和應用在文件存儲、內存管理和網絡連接方面的設計原理
• 如何在內部及加入域的工作站和服務器上執行、提供和管理身份、訪問和授權
• 如何將安全角色和屬性分配給用戶賬戶和進程
• 存儲在操作系統事件日志中的信息
• 用戶憑證、遠程連接和共享驅動器映射如何存儲
• 內核在安全策略實施中扮演的角色
• 系統之間如何通信，以及特定類型的通信所使用的協議。例如RDP、SSH、SMB、FTP、DNS和HTTP(S)
• 轉發事件到集中日志平臺的功能

    能夠理解圍繞企業網絡設計的業務決策：

• 為什么企業網絡經常在物理工作站和服務器上使用虛擬化環境
• 為什么某些操作系統比其他操作系統更能滿足業務需求
• 技術進步和云計算服務產品的采用如何增強業務功能和擴大網絡邊界后的的安全后果

網絡安全生態系統

    識別與網絡防御措施和網絡安全流程、技術和工作角色相關的核心概念、組件和約定。其核心宗旨是了解行業最佳實踐和框架，如美國國家科學技術研究所(NIST)的網絡安全框架(CSF)，五個網絡防御階段(識別、保護、檢測、響應和恢復)中至少一個的防御方法和技術。

   關鍵概念：

• 訪問控制
• 身份和訪問管理
• 多因子認證
• Need-to-know
• 網絡分段
• 公鑰基礎設施(PKI)
• 對稱和非對稱加密
• 基于特征和基于行為的檢測。例如：Yara和Snort
• 模糊哈希算法。例如：SSDeep
• 威脅狩獵和事件響應
• 紅隊、紫隊和主動網絡防御
• 關鍵計劃、流程、策略文檔
• 業務連續性計劃(BCP)
• 災難恢復計劃(DRP)
• 事件響應(IR)計劃

   系統配置、標準化和賬戶管理:

• IT資產管理
• 配置管理和黃金映像（golden image）
• 特權賬戶管理

   安全周邊技術：

• 網絡和邊界設備

- 防火墻

- 郵件檢查和沙箱

- 入侵檢測防御系統(IDS/IPS)

- Netflow采集器

• 端點

- 殺毒

- 端點檢測和響應

- 擴展檢測和響應(XDR)

• 日志集中收集及相關技術

- 安全事件管理系統（SIEM）

- 用戶實體行為分析(UEBA)

- 安全編排、自動化和響應(SOAR)

組織的網絡安全角色和責任

    能夠理解網絡安全和網絡安全相關的工作角色、職責，以及組織內不同職能之間的相互關系。

• 安全操作中心(SOC)一級觀察層分析師
• SOC二級分析師和事件響應人員
• SOC三級分析師和團隊領導
• 取證分析
• 逆向工程
• 漏洞分析
• 安全架構
• 檢測工程師
• 紅隊
• 藍隊
• 紫隊
• 治理、風險管理和合規(GRC)
• IT支持和幫助臺（help desk）

    對于分析師來說，建立RACI(負責、問責、咨詢和知情)矩陣和服務水平協議(SLA)可以明確期望和責任，滿足同行評審、情報產品開發和跨職能網絡防御合作伙伴對額外信息的請求。

精通網絡威脅 

攻擊視角運營

    把組織構成定義為攻擊性網絡程序，工作職能和運營決策影響了能力開發，對完成使命目標有潛在影響。這些決策點包括分配有限的資源，將網絡項目的要素外包，購買操作工具，尋求承包商支持，或購買犯罪能力。其他的決策要點包括根據法律機構強迫個人和公司支持這類項目，以及創建可運營的幌子公司。

    這種能力的次要原則是確定為什么民族國家、犯罪分子和意識形態驅動的黑客進行網絡行動背后的基本動機，他們的歷史背景和相關意義。這包括將網絡行動作為治國方略工具的民族國家，為了實現地緣政治目標，從間諜活動、竊取有關敵方雙邊或多邊立場的外交或軍事信息，到通過網絡影響行動，再到軍事行動之前和期間的破壞性攻擊。

    對和平時期可接受的行動以及戰爭時期這種轉變的深刻理解至關重要。此外，分析人員應該能夠識別可接受使用范圍的操作，并推動現有規范包括那些在世界缺水地區影響水凈化能力的操作。

    同樣，這個能力的一個關鍵原則是有能力敘述每個網絡威脅團伙的敵對行動和諜報技術的歷史和演變。大量的歷史實例可以幫助繪制網絡行動的使用演變和推動因素，使分析師能夠確定威脅組織之間的趨勢線和偏差。這也包括基于國家關系預測針對性工作的能力，長久的目標或應對戰術情況，以及識別潛在的機會目標。

威脅的概念和框架

    能夠識別和應用適當的網絡威脅情報術語和框架，跟蹤和溝通對手的能力或活動。該能力還包括理解網絡威脅術語的演變，各種網絡威脅情報框架開發背后的原因，以及它們幫助網絡威脅情報社區克服了哪些問題。網絡威脅被定義為一個行動者的意圖/動機的體現。這個能力主要集中在威脅行為者的能力上。

• 漏洞利用

- 通用漏洞評分系統(CVSS)

- 通用漏洞和暴露系統(CVE)

- 軟件漏洞分類

- 并非所有漏洞都能被利用

- 零日和N日漏洞

- 漏洞開發開發和武器化

- 利用和感染鏈

- 補丁管理生命周期

- 漏洞程序采購灰色市場

- 漏洞賞金程序的角色

• 惡意軟件

- 能夠解釋惡意軟件執行鏈，從投放階段到啟用漏洞后利用工具

- 能夠解釋對手如何通過命令和控制(C2)服務器與惡意軟件交互

- 解釋惡意軟件如何與C2服務器通信

- 與編譯惡意軟件相比，解釋使用腳本效果的差異

- 識別模塊化惡意軟件或使用構建器的能力

- 惡意軟件即服務市場

• 基礎設施

- 惡意軟件使用基礎設施、使用C2服務器、數據泄露之間的區別

- 選擇和偏好的托管服務

- 托管提供商提供的隱私保護或基于歐盟隱私指令

- 動態DNS

• 屬性、入侵集群和命名約定

- 入侵行為特征

- 創建入侵集來區分活動類型

- 能夠識別和區分獨特的、新穎的入侵活動和常見的錨定功能，以支持歸因和聚類工作

- 網絡團體入侵活動的廠商命名約定，以及廠商為何不經常互相借用現有名稱

- 如何對應各種廠商名稱，以識別類似的網絡威脅團伙的威脅活動

• 網絡威脅情報框架

- 信息風險因素分析(FAIR)或威脅建模的事件記錄和事件共享詞匯(VERIS)

- 洛克希德·馬丁公司的網絡殺傷鏈、Mandiant針對性攻擊生命周期或統一網絡殺傷鏈，以直觀地描繪對手行動的階段

- 菱形入侵分析模型，用于集合、跟蹤和分組入侵活動

- MITRE ATT&CK框架

- MITRE ATT&CK Navigator創建對手TTP時間界定手冊

威脅行為者和TTP

    能夠識別網絡威脅團伙使用的命名約定，他們的民族國家或犯罪組織，并理解某些團伙在網絡行動中使用的戰術、技術和程序(TTP)。這一能力的一個關鍵原則是分析師能夠識別網絡殺傷鏈上的關鍵指標，用于確定對手的操作流程和偏好。這種偏好還考慮了運行基礎設施和網絡匿名化技術的托管提供商選擇。

    分析人員應該能夠列舉出初始訪問方式的范圍，并識別出各種威脅團伙如何表現出操作偏好，從魚叉式釣魚到使用被入侵的網站進行有效載荷投放，再到在目標物理位置附近進行近距離訪問操作。同樣地，分析人員應該了解對手用來執行系統、網絡和文件的發現等的偵察命令。這包括理解橫向移動技術，如使用代理鏈、修改IP表、端口或反向轉發，以包括每種技術的優點和缺點。

    分析人員應該能夠解釋，為什么威脅團伙往往只在受害者的網絡中維持少量立腳點，幾乎完全依賴受害者網絡中的一個單一系統進行數據處理，并對不同的漏洞，使用不同的命令和控制服務器、信標、交互操作。同樣，分析師也應該了解網絡操作者為何寧愿使用惡意軟件，而不是直接與遠程shell交互。最后，分析人員應該能夠解釋為什么以及威脅團伙如何使用基于網絡的混淆，如協議隧道、基于主機的反取證技術，以及基于主機的惡意軟件內部混淆。