Mandiant是一家專門從事網(wǎng)絡(luò)安全領(lǐng)域的公司，總部位于美國(guó)。該公司成立于2004年，主要提供網(wǎng)絡(luò)安全咨詢、威脅情報(bào)、事件響應(yīng)和網(wǎng)絡(luò)安全產(chǎn)品等服務(wù)。Mandiant以其在網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)知識(shí)和技術(shù)實(shí)力而聞名，曾參與調(diào)查和解決多起重大網(wǎng)絡(luò)安全事件，包括對(duì)網(wǎng)絡(luò)攻擊的調(diào)查、數(shù)字取證和威脅情報(bào)分析等。Mandiant公司大家可能不熟悉，但提起Fireye，大家一定知道，當(dāng)初很多黑客一旦遇到Fireye的防御系統(tǒng)，基本放棄。FireEye和Mandiant之間存在著密切的關(guān)系，可以說(shuō)是關(guān)聯(lián)密切的兩家公司。簡(jiǎn)單來(lái)說(shuō)，Mandiant是FireEye的一部分，但也有一些復(fù)雜的歷史和業(yè)務(wù)關(guān)系。FireEye在2013年收購(gòu)了Mandiant。在此之后，Mandiant成為FireEye的子公司，繼續(xù)保持其在網(wǎng)絡(luò)安全咨詢、威脅情報(bào)和事件響應(yīng)等領(lǐng)域的獨(dú)立運(yùn)作。FireEye將Mandiant的專業(yè)知識(shí)和技術(shù)整合到自己的產(chǎn)品和服務(wù)中，進(jìn)一步提升了其在網(wǎng)絡(luò)安全領(lǐng)域的實(shí)力和競(jìng)爭(zhēng)力。然而，2020年底，F(xiàn)ireEye宣布計(jì)劃將Mandiant分拆出來(lái)，使其成為一家獨(dú)立的上市公司。這意味著Mandiant將再次成為一個(gè)獨(dú)立的實(shí)體，不再是FireEye的子公司。

Mandiant公司有很多好東西，感興趣的朋友可以訪問其開源站點(diǎn)

https://github.com/mandiant/red_team_tool_countermeasures

        2012 年的卡內(nèi)基梅隆大學(xué)、2015 年的情報(bào)與國(guó)家安全聯(lián)盟（INSA）都試圖提出有關(guān)網(wǎng)絡(luò)威脅情報(bào)（CTI）分析人員的能力框架。以此規(guī)范網(wǎng)絡(luò)威脅情報(bào)分析人員所需要掌握的基礎(chǔ)知識(shí)、基本技能與個(gè)人能力（KSA）。2022年5月23號(hào)Mandiant發(fā)布了一個(gè)全面的網(wǎng)絡(luò)威脅情報(bào)（CTI）分析師核心能力框架，該框架可以理解為在CTI學(xué)科基礎(chǔ)上進(jìn)一步確定和細(xì)化了CTI分析師成長(zhǎng)的基本知識(shí)、素質(zhì)和能力（KSA），原文里寫了非常詳細(xì)和具體的指標(biāo)性內(nèi)容讓讀者去參考，感興趣的可以直接查看原文，今天我想通過自己的理解來(lái)解讀一下。

該框架將個(gè)人能力分為4方面，解決問題、專業(yè)成效、技術(shù)素養(yǎng)和熟悉網(wǎng)絡(luò)威脅。

Mandiant 認(rèn)為網(wǎng)絡(luò)威脅情報(bào)分析人員的個(gè)人能力有四個(gè)方面：

• 研究解決問題
• 保持專業(yè)高效
• 技術(shù)基礎(chǔ)牢固
• 熟悉網(wǎng)絡(luò)威脅

1.網(wǎng)絡(luò)威脅情報(bào)分析師核心能力框架

1.1研究解決問題

1.1.1批判性思維

批判性思維是一種認(rèn)知過程，使分析員能夠客觀評(píng)估信息，生成有堅(jiān)實(shí)依據(jù)的判斷，并制定富有洞察力的建議。在網(wǎng)絡(luò)安全背景下，這項(xiàng)能力尤為重要，分析員需在此過程中駕馭復(fù)雜的威脅環(huán)境，評(píng)價(jià)情報(bào)來(lái)源的可靠性，并確保其工作與組織的使命、愿景和目標(biāo)相吻合。

具體而言，具備批判性思維的網(wǎng)絡(luò)威脅情報(bào)分析員應(yīng)具備以下能力：

1. 運(yùn)用情報(bào)生命周期：遵循情報(bào)收集、分析、傳遞、反饋等各階段的標(biāo)準(zhǔn)流程，確保情報(bào)工作的系統(tǒng)性和完整性。
2. 識(shí)別一、二、三階效應(yīng)：理解某一事件或決策可能帶來(lái)的直接、間接及長(zhǎng)遠(yuǎn)影響，進(jìn)行多層級(jí)、全方位的考量。
3. 評(píng)估情報(bào)源信譽(yù)：根據(jù)情報(bào)源的可靠性、信息獲取層級(jí)及情報(bào)獲取渠道的特性，判斷情報(bào)的真實(shí)性和可信度。
4. 運(yùn)用歸納與演繹推理：在處理數(shù)據(jù)集和供應(yīng)商報(bào)告時(shí)，能運(yùn)用從特殊到一般（歸納推理）和從一般到特殊（演繹推理）的方法，以邏輯嚴(yán)密的方式解讀數(shù)據(jù)。
5. 應(yīng)用結(jié)構(gòu)化分析技術(shù)（SATs）和同行評(píng)審：借助結(jié)構(gòu)化分析方法（如矩陣分析、假設(shè)樹、情境分析等）降低固有的認(rèn)知偏見，同時(shí)通過同行間的審查和討論進(jìn)一步確保分析的客觀性和準(zhǔn)確性。
6. 構(gòu)建與評(píng)估競(jìng)爭(zhēng)性假設(shè)：能提出多種可能的解釋或預(yù)測(cè)，并基于證據(jù)進(jìn)行比較、驗(yàn)證，確保結(jié)論的全面性和穩(wěn)健性。

批判性思維還包括創(chuàng)新思維和趨勢(shì)預(yù)測(cè)能力，要求分析員具備跳出常規(guī)、構(gòu)思新穎解決方案和分析框架的能力，這對(duì)于研究、數(shù)據(jù)收集及有效溝通至關(guān)重要。

1.1.2研究與分析

研究與分析能力體現(xiàn)在分析員能否根據(jù)利益相關(guān)者的需求，制定情報(bào)要求，并在收集管理框架內(nèi)對(duì)數(shù)據(jù)集和工具進(jìn)行優(yōu)先級(jí)排序。研究工作運(yùn)用邏輯與嚴(yán)謹(jǐn)?shù)耐评恚瑥募夹g(shù)與非技術(shù)數(shù)據(jù)源中發(fā)掘新線索、建立新聯(lián)系，最終得出明確的分析結(jié)論。網(wǎng)絡(luò)威脅情報(bào)研究涵蓋廣泛的領(lǐng)域，如提取入侵指標(biāo)、識(shí)別具有相似特征的文件、追蹤網(wǎng)絡(luò)威脅團(tuán)伙使用的惡意基礎(chǔ)設(shè)施等。分析工作則涉及對(duì)研究結(jié)果的解讀與整合。

在研究與分析過程中，分析員應(yīng)：

• 理解各類入侵指標(biāo)（IOCs）的用途及局限性：包括原子指標(biāo)（如IP地址、URL）、計(jì)算指標(biāo)（如哈希值、正則表達(dá)式）以及行為指標(biāo)（如異常網(wǎng)絡(luò)行為模式）。
• 確定如何豐富現(xiàn)有數(shù)據(jù)集：識(shí)別所需數(shù)據(jù)類型、獲取途徑及整合方法。
• 具備惡意軟件分析、網(wǎng)絡(luò)流量檢測(cè)和日志事件數(shù)據(jù)分類能力：能深入剖析惡意代碼、監(jiān)控網(wǎng)絡(luò)通信狀況、高效處理日志信息。

為充實(shí)現(xiàn)有情報(bào)收集并深化對(duì)網(wǎng)絡(luò)威脅團(tuán)伙的認(rèn)識(shí)，分析員應(yīng)具備以下研究技能：

• 挖掘、解釋、提取并存儲(chǔ)來(lái)自內(nèi)部、商業(yè)和開源數(shù)據(jù)集的相關(guān)內(nèi)容，這些數(shù)據(jù)集包括：

• 被動(dòng)DNS（pDNS）記錄：如PassiveTotal/RiskIQ、Domain Tools提供的數(shù)據(jù)。
• Netflow數(shù)據(jù)：如Team Cymru Augury提供的互聯(lián)網(wǎng)流量數(shù)據(jù)。
• 互聯(lián)網(wǎng)掃描數(shù)據(jù)：如Shodan、Censys.io提供的公開服務(wù)掃描結(jié)果。
• 惡意軟件庫(kù)：如VirusTotal、HybridAnalysis、any.run中的樣本。
• 網(wǎng)絡(luò)流量：如通過Packet Captures（PCAP）捕獲的數(shù)據(jù)。
• 沙盒提交：對(duì)可疑文件或行為的隔離測(cè)試結(jié)果。
• 基于主機(jī)的系統(tǒng)事件日志：記錄系統(tǒng)運(yùn)行狀況及異常事件。

分析技能則包括查詢數(shù)據(jù)集、構(gòu)建邏輯數(shù)據(jù)模型與標(biāo)簽系統(tǒng)、對(duì)非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行規(guī)范化處理、解讀數(shù)據(jù)以揭示隨時(shí)間變化的趨勢(shì)和模式。研究與分析技能還要求分析員能檢查各種技術(shù)工件，無(wú)論是基于主機(jī)（如腳本和編譯的惡意軟件）還是基于網(wǎng)絡(luò)（如基礎(chǔ)設(shè)施關(guān)系和域名結(jié)構(gòu)）。熟悉Python等腳本語(yǔ)言、SQL查詢、Jupyter或Zeppelin等數(shù)據(jù)分析環(huán)境、Tableau或PowerBI等可視化工具，以及快速處理數(shù)據(jù)集的其他工具，都將極大助力研究與分析工作。此外，強(qiáng)大的統(tǒng)計(jì)推理能力也是必不可少的，包括對(duì)假設(shè)檢驗(yàn)、統(tǒng)計(jì)顯著性、條件概率、抽樣和偏差等概念的理解。

研究與分析能力還受益于語(yǔ)言能力、文化背景和地域知識(shí)的豐富。

1.1.3調(diào)查型思維

調(diào)查型思維意味著分析員能理解復(fù)雜挑戰(zhàn)，并開發(fā)出創(chuàng)新解決方案。這種思維方式要求深入理解網(wǎng)絡(luò)威脅行為者及其戰(zhàn)術(shù)、技術(shù)和程序（TTP），掌握現(xiàn)有的網(wǎng)絡(luò)威脅情報(bào)框架、工具和IT系統(tǒng)。調(diào)查型思維要求保持開放態(tài)度，判斷現(xiàn)有結(jié)構(gòu)、框架或工具是否需要改進(jìn)，或是否需要針對(duì)對(duì)手技戰(zhàn)術(shù)創(chuàng)新開發(fā)新的工具和方法。此外，調(diào)查型思維有助于分析員培養(yǎng)直覺，從海量信息中識(shí)別關(guān)鍵信號(hào)。與批判性思維相比，調(diào)查型思維更注重將研究與分析相結(jié)合，識(shí)別并糾正認(rèn)知和邏輯偏見，同時(shí)運(yùn)用結(jié)構(gòu)化分析技術(shù)來(lái)克服這些偏見。

1.2保持專業(yè)高效

1.2.1溝通能力

具備通過撰寫完成的情報(bào)（FINTEL）產(chǎn)品、幻燈片演示、電子郵件、Confluence 或 SharePoint 頁(yè)面、內(nèi)部工單以及簡(jiǎn)報(bào)等不同形式，有效地向各類受眾呈現(xiàn)分析結(jié)論、研究成果與方法的能力。采用“關(guān)鍵點(diǎn)前置”（Bottom-Line Up-Front, BLUF）和執(zhí)行摘要這兩種有效方式來(lái)展示分析發(fā)現(xiàn)。

核心原則之一是識(shí)別并適應(yīng)不同的溝通風(fēng)格，這包括針對(duì)不同受眾選擇合適的媒介、語(yǔ)言、信息傳達(dá)方式、節(jié)奏以及偏好，這些受眾可能從戰(zhàn)略層面的高管到高度專業(yè)的技術(shù)實(shí)踐者，如檢測(cè)工程師和安全架構(gòu)師不等。此外，還包括與媒體及外部聯(lián)絡(luò)伙伴合作?？衫矛F(xiàn)有的網(wǎng)絡(luò)威脅情報(bào)（CTI）框架，以圖形化方式描繪組織威脅模型、入侵活動(dòng)、對(duì)手操作流程以及技術(shù)性與非技術(shù)性對(duì)手特征之間的關(guān)系。例如：

• 以網(wǎng)絡(luò)威脅概況展現(xiàn)組織面臨的實(shí)際威脅
• 采用以CTI為中心的殺傷鏈展現(xiàn)對(duì)手的操作手法
• 通過聚類分析入侵活動(dòng)來(lái)定義入侵集或活動(dòng)組
• 使用標(biāo)準(zhǔn)化術(shù)語(yǔ)構(gòu)建對(duì)手工作流、劇本和狩獵包
• 利用Maltego、MISP或其他鏈接分析工具、工作臺(tái)或超圖，揭示對(duì)手工具、基礎(chǔ)設(shè)施、身份與疑似關(guān)聯(lián)之間的聯(lián)系

清晰地使用概率性語(yǔ)言表達(dá)判斷至關(guān)重要，這樣可以使判斷與事實(shí)和直接觀察脫鉤。同樣重要的是使用精確語(yǔ)言以確保傳達(dá)意圖，避免引發(fā)不必要的恐慌。運(yùn)用AIMS（受眾、意圖、信息、故事）等敘事框架有助于分析師傳達(dá)評(píng)估結(jié)果。

最后，了解信息共享標(biāo)準(zhǔn)及利益相關(guān)群體至關(guān)重要。這包括使用Structured Threat Information Expression（STIX）4或JavaScript Object Notation（JSON）等技術(shù)標(biāo)準(zhǔn)，通過Trusted Automated eXchange of Intelligence Information（TAXII）5或其他渠道在機(jī)器間交換信息，參與行業(yè)特定的信息共享團(tuán)體以及公私合營(yíng)的信息共享與分析中心和組織（ISACs和ISAOs）。熟悉用于對(duì)抗網(wǎng)絡(luò)行動(dòng)的網(wǎng)絡(luò)安全政策和執(zhí)法機(jī)制，如下線、制裁、起訴、突擊檢查以及公共預(yù)警和宣傳運(yùn)動(dòng)等。

1.2.2團(tuán)隊(duì)協(xié)作與情緒智能

具備與同僚和領(lǐng)導(dǎo)層有效互動(dòng)的能力，營(yíng)造一個(gè)接納多元背景、技能、知識(shí)和經(jīng)驗(yàn)的協(xié)作文化，共同識(shí)別并解答關(guān)鍵情報(bào)問題（KIQs）。借助個(gè)體的獨(dú)特特性，團(tuán)隊(duì)能提供同伴輔導(dǎo)和學(xué)習(xí)機(jī)會(huì)，填補(bǔ)知識(shí)與技能空白，同時(shí)建立團(tuán)結(jié)互信的文化。能夠與利益相關(guān)方合作，獲取關(guān)于業(yè)務(wù)運(yùn)營(yíng)、信息缺口和決策過程的信息，有助于指導(dǎo)威脅情報(bào)工作并提升成效。

情緒智能包括培養(yǎng)良好的判斷力和情境意識(shí)，理解何時(shí)以及如何與同僚、領(lǐng)導(dǎo)或客戶互動(dòng)，并認(rèn)識(shí)到不良行為對(duì)組織的影響。情緒智能的四個(gè)核心技能分別是自我認(rèn)知、自我控制、社會(huì)認(rèn)知和關(guān)系管理。

1.2.3商業(yè)洞察力

理解組織的使命、愿景、目標(biāo)，以及商業(yè)決策如何影響組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)暴露。例如，潛在的合并與收購(gòu)或在新地理區(qū)域擴(kuò)大運(yùn)營(yíng)范圍等決策。戰(zhàn)略方向的轉(zhuǎn)變可能導(dǎo)致組織重新評(píng)估對(duì)商業(yè)秘密和知識(shí)產(chǎn)權(quán)的風(fēng)險(xiǎn)。網(wǎng)絡(luò)威脅分析師可能需要就風(fēng)險(xiǎn)暴露的變化提供凈評(píng)估，并重新審視那些具有意圖、能力和機(jī)會(huì)威脅組織的網(wǎng)絡(luò)團(tuán)體。組織領(lǐng)導(dǎo)層的公開言論也可能帶來(lái)網(wǎng)絡(luò)風(fēng)險(xiǎn)。CTI分析師應(yīng)能理解并評(píng)估威脅情報(bào)對(duì)業(yè)務(wù)的可衡量?jī)r(jià)值。

了解組織結(jié)構(gòu)和內(nèi)部政治如何影響網(wǎng)絡(luò)安全合作與決策至關(guān)重要。商業(yè)洞察力包括理解組織各組成部分使用的詞匯、術(shù)語(yǔ)和思考框架，使分析師能夠以更符合利益相關(guān)者關(guān)切的方式闡述發(fā)現(xiàn)，比如在風(fēng)險(xiǎn)背景下表述威脅、說(shuō)明實(shí)施特定網(wǎng)絡(luò)安全措施的投資回報(bào)率或提出預(yù)算需求。理想情況下，敏銳的商業(yè)洞察力意味著能在情報(bào)生命周期的每個(gè)階段找到與業(yè)務(wù)的契合點(diǎn)。

1.3技術(shù)基礎(chǔ)牢固

1.3.1企業(yè)IT網(wǎng)絡(luò)能力

具備理解操作系統(tǒng)原理的能力，涵蓋以下方面：

• 系統(tǒng)架構(gòu)中的設(shè)計(jì)決策及其對(duì)文件存儲(chǔ)、內(nèi)存管理和網(wǎng)絡(luò)連接的影響
• 內(nèi)部和域連接工作站與服務(wù)器上身份、訪問權(quán)限和授權(quán)的管理、分配與維護(hù)方式
• 如何向用戶賬戶和進(jìn)程分配安全角色和屬性
• 操作系統(tǒng)事件日志中存儲(chǔ)的原生信息
• 用戶憑據(jù)、遠(yuǎn)程連接和共享驅(qū)動(dòng)器映射的存儲(chǔ)方式
• 內(nèi)核在安全策略執(zhí)行中的作用
• 系統(tǒng)之間如何通信，以及不同類型通信所使用的協(xié)議（如RDP、SSH、SMB、FTP、DNS和HTTP(S)）
• 向集中式日志平臺(tái)轉(zhuǎn)發(fā)事件的功能

理解圍繞企業(yè)網(wǎng)絡(luò)設(shè)計(jì)的商業(yè)決策：

• 為何企業(yè)網(wǎng)絡(luò)通常選擇虛擬環(huán)境而非物理工作站和服務(wù)器
• 為何特定操作系統(tǒng)因其滿足業(yè)務(wù)需求而被優(yōu)先選用
• 技術(shù)進(jìn)步和云服務(wù)的采用如何增強(qiáng)業(yè)務(wù)功能，以及擴(kuò)展網(wǎng)絡(luò)邊界對(duì)安全的影響

1.3.2技術(shù)素養(yǎng)

掌握與網(wǎng)絡(luò)安全防御措施、過程、技術(shù)和崗位相關(guān)的核心概念、組件和約定。關(guān)鍵在于了解行業(yè)最佳實(shí)踐和框架，如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）的網(wǎng)絡(luò)安全框架（CSF），以及防御手段和技術(shù)如何至少對(duì)應(yīng)五種網(wǎng)絡(luò)安全階段之一（識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)）。

1.關(guān)鍵概念

• 訪問控制
• 身份和訪問管理
• 多因素認(rèn)證
• 需知原則
• 網(wǎng)絡(luò)分段
• 公鑰基礎(chǔ)設(shè)施（PKI）
• 對(duì)稱與非對(duì)稱加密應(yīng)用場(chǎng)景
• 基于簽名和基于行為的檢測(cè)（如Yara和Snort）
• 模糊哈希算法（如SSDeep）
• 威脅狩獵與事件響應(yīng)
• 紅隊(duì)、紫隊(duì)與主動(dòng)防御
• 零信任架構(gòu)

關(guān)鍵計(jì)劃、流程與政策文檔：

• 業(yè)務(wù)連續(xù)性計(jì)劃（BCP）
• 災(zāi)難恢復(fù)計(jì)劃（DRP）
• 事件響應(yīng)（IR）計(jì)劃

系統(tǒng)配置、標(biāo)準(zhǔn)化與賬戶管理：

• IT資產(chǎn)庫(kù)存管理
• 配置管理與黃金鏡像
• 特權(quán)賬戶管理

2.安全相關(guān)技術(shù)

• 網(wǎng)絡(luò)與邊界設(shè)備

• 防火墻
• 郵件檢查與沙箱
• 入侵檢測(cè)與預(yù)防系統(tǒng)（IDS/IPS）
• Netflow收集器

• 終端

• 防病毒軟件
• 終端檢測(cè)與響應(yīng)（EDR）
• 擴(kuò)展檢測(cè)與響應(yīng)（XDR）

• 集中式日志收集及相關(guān)技術(shù)

• 安全信息與事件管理系統(tǒng)（SIEM）
• 用戶實(shí)體行為分析（UEBA）
• 安全編排、自動(dòng)化與響應(yīng)（SOAR）

1.3.3組織內(nèi)網(wǎng)絡(luò)安全角色與職責(zé)

理解網(wǎng)絡(luò)安全及其相關(guān)崗位的角色、職責(zé)以及組織內(nèi)各職能間的相互作用：

• 安全運(yùn)營(yíng)中心（SOC）一級(jí)監(jiān)控臺(tái)分析師
• SOC二級(jí)分析師與事件響應(yīng)者
• SOC三級(jí)分析師與團(tuán)隊(duì)負(fù)責(zé)人
• 法證分析師
• 反向工程師
• 漏洞分析師
• 安全架構(gòu)師
• 檢測(cè)工程師
• 紅隊(duì)
• 藍(lán)隊(duì)
• 紫隊(duì)
• 監(jiān)管、風(fēng)險(xiǎn)管理和合規(guī)（GRC）
• 首席隱私官
• IT支持與服務(wù)臺(tái)

對(duì)于分析師而言，建立明確的RACI（負(fù)責(zé)、問責(zé)、咨詢、告知）矩陣和服務(wù)等級(jí)協(xié)議（SLAs）有助于澄清與跨職能網(wǎng)絡(luò)安全合作伙伴之間關(guān)于同行評(píng)審、情報(bào)產(chǎn)品開發(fā)和請(qǐng)求補(bǔ)充信息的期望與責(zé)任。

1.4熟悉網(wǎng)絡(luò)威脅

1.4.1攻擊行動(dòng)驅(qū)動(dòng)力

具備刻畫攻擊性網(wǎng)絡(luò)計(jì)劃的組織構(gòu)成、構(gòu)成崗位及其影響能力發(fā)展和達(dá)成任務(wù)目標(biāo)的運(yùn)營(yíng)決策能力。此類決策點(diǎn)包括將有限資源用于外包網(wǎng)絡(luò)計(jì)劃的部分元素，購(gòu)買運(yùn)營(yíng)工具、聘請(qǐng)承包商支持或購(gòu)買犯罪能力。其他決策點(diǎn)包括根據(jù)法律權(quán)限強(qiáng)迫個(gè)人和公司支持此類計(jì)劃，以及創(chuàng)建運(yùn)營(yíng)前哨公司。

該能力的第二個(gè)原則是識(shí)別國(guó)家、犯罪分子和意識(shí)形態(tài)動(dòng)機(jī)黑客進(jìn)行網(wǎng)絡(luò)行動(dòng)背后的深層動(dòng)機(jī)、歷史背景及其相關(guān)意義。這包括國(guó)家利用網(wǎng)絡(luò)行動(dòng)作為治國(guó)工具，以實(shí)現(xiàn)地緣政治目標(biāo)，從進(jìn)行間諜活動(dòng)以竊取敵對(duì)國(guó)雙邊或多邊立場(chǎng)的外交或軍事信息，到為談判做準(zhǔn)備，再到網(wǎng)絡(luò)賦能的影響力行動(dòng)以及在軍事行動(dòng)前后的破壞性攻擊。

深入理解和平時(shí)期可接受行動(dòng)及其在戰(zhàn)時(shí)的轉(zhuǎn)變至關(guān)重要。此外，分析師應(yīng)能識(shí)別那些踩踏可接受使用界限、推動(dòng)現(xiàn)有規(guī)范的行動(dòng)，如影響世界水資源匱乏地區(qū)水凈化能力的行動(dòng)。

同樣，該能力的關(guān)鍵原則是能夠追溯敵對(duì)行動(dòng)的歷史和發(fā)展，按網(wǎng)絡(luò)威脅團(tuán)體區(qū)分。大量歷史實(shí)例有助于描繪網(wǎng)絡(luò)行動(dòng)使用和驅(qū)動(dòng)力的演變，使分析師能夠識(shí)別趨勢(shì)線和威脅團(tuán)體之間的偏離。這也包括根據(jù)國(guó)家長(zhǎng)期目標(biāo)或?qū)?zhàn)術(shù)情況的響應(yīng)來(lái)預(yù)測(cè)目標(biāo)選擇，而非僅識(shí)別潛在的目標(biāo)機(jī)會(huì)。

1.4.2網(wǎng)絡(luò)威脅熟練度

具備識(shí)別并應(yīng)用適當(dāng)?shù)腃TI（網(wǎng)絡(luò)威脅情報(bào)）術(shù)語(yǔ)和框架來(lái)跟蹤和傳達(dá)對(duì)手能力或活動(dòng)的能力。該能力還涉及理解網(wǎng)絡(luò)威脅術(shù)語(yǔ)的演變、各種CTI框架發(fā)展的理由以及它們幫助CTI社區(qū)解決了哪些問題。網(wǎng)絡(luò)威脅被定義為行動(dòng)者意圖/動(dòng)機(jī)、能力和機(jī)會(huì)的函數(shù)，其中重點(diǎn)放在威脅行動(dòng)者能力上。

• 漏洞與利用：

• 通用漏洞評(píng)分系統(tǒng)（CVSS）：
• 通用漏洞與暴露（CVE）系統(tǒng)：
• 軟件漏洞類別：
• 并非所有漏洞都可被利用：
• 零日和N日漏洞：
• 利用開發(fā)與漏洞武器化：
• 利用與感染鏈：
• 補(bǔ)丁管理生命周期：
• 利用采購(gòu)灰色市場(chǎng)：
• 漏洞賞金計(jì)劃的作用：

• 惡意軟件：

• 解釋惡意軟件執(zhí)行鏈，從第一階段投放器到啟動(dòng)器再到后滲透工具：
• 解釋對(duì)手如何通過命令與控制（C2）服務(wù)器與惡意軟件交互：
• 解釋惡意軟件如何與C2服務(wù)器通信：
• 解釋使用腳本與編譯惡意軟件的實(shí)用性差異：
• 識(shí)別模塊化惡意軟件或構(gòu)建器使用：
• 惡意軟件即服務(wù)市場(chǎng)：

• 基礎(chǔ)設(shè)施：

• 惡意軟件和利用交付所用基礎(chǔ)設(shè)施與C2和數(shù)據(jù)泄露所用基礎(chǔ)設(shè)施的差異：
• 托管服務(wù)的選擇與偏好：
• 托管提供商提供的隱私保護(hù)或基于歐盟隱私指令的隱私保護(hù)：
• 動(dòng)態(tài)DNS：

• 歸屬、入侵聚類與命名約定：

• 入侵活動(dòng)的特征：
• 創(chuàng)建入侵集簇以表征活動(dòng)類型：
• 識(shí)別并區(qū)分入侵活動(dòng)的獨(dú)特、新穎屬性以及作為歸屬與聚類支持的錨定功能的常見屬性：
• 供應(yīng)商對(duì)網(wǎng)絡(luò)團(tuán)體入侵活動(dòng)的命名約定，以及為什么供應(yīng)商通常不借用彼此已有的名稱：
• 如何映射各種供應(yīng)商名稱以識(shí)別相似網(wǎng)絡(luò)威脅團(tuán)體的威脅活動(dòng)：

• CTI框架：

• FAIR（信息風(fēng)險(xiǎn)因素分析）或VERIS（事件記錄與共享詞匯）用于威脅建模：
• 洛克希德·馬丁網(wǎng)絡(luò)殺傷鏈、Mandiant針對(duì)性攻擊生命周期或統(tǒng)一網(wǎng)絡(luò)殺傷鏈，以視覺方式描繪對(duì)手行動(dòng)的各個(gè)離散階段：
• 鉆石模型用于入侵分析的聚類、跟蹤與分組：
• MITRE ATT&CK框架，包含對(duì)手操作TTPs：
• MITRE ATT&CK Navigator，用于創(chuàng)建時(shí)間限定的對(duì)手TTPs劇本：

1.4.3威脅行動(dòng)者與TTPs

具備辨識(shí)跨網(wǎng)絡(luò)威脅團(tuán)體的供應(yīng)商命名約定、其國(guó)家或犯罪附屬關(guān)系，以及理解某些團(tuán)體在網(wǎng)絡(luò)行動(dòng)中采用的戰(zhàn)術(shù)、技術(shù)和程序（TTPs）的能力。該能力的關(guān)鍵原則是，分析師應(yīng)能識(shí)別網(wǎng)絡(luò)殺傷鏈上的關(guān)鍵指標(biāo)，以確定對(duì)手操作工作流和偏好。這些偏好也考慮了運(yùn)營(yíng)基礎(chǔ)設(shè)施的托管服務(wù)選擇和網(wǎng)絡(luò)匿名化技術(shù)。

分析師應(yīng)能列舉初始訪問向量的范圍，并識(shí)別各種威脅團(tuán)體表現(xiàn)出的操作偏好，從魚叉式網(wǎng)絡(luò)釣魚到使用被黑網(wǎng)站進(jìn)行載荷交付，再到在目標(biāo)物理位置附近進(jìn)行近距離訪問操作。同樣，分析師應(yīng)理解對(duì)手常用的內(nèi)部偵察命令，用于進(jìn)行系統(tǒng)、網(wǎng)絡(luò)和文件發(fā)現(xiàn)。這包括理解橫向移動(dòng)技術(shù)，如使用代理鏈、修改IP表、端口或反向轉(zhuǎn)發(fā)，以及每種方法的優(yōu)缺點(diǎn)。

分析師應(yīng)能解釋為什么威脅團(tuán)體通常只在受害者網(wǎng)絡(luò)中保持少數(shù)立足點(diǎn)，幾乎完全依賴受害者網(wǎng)絡(luò)中的單一系統(tǒng)進(jìn)行數(shù)據(jù)暫存，并在利用、信標(biāo)發(fā)送、交互操作和數(shù)據(jù)泄露中使用不同的C2服務(wù)器。同樣，分析師應(yīng)熟悉為什么網(wǎng)絡(luò)操作員更傾向于使用惡意軟件而非直接與遠(yuǎn)程shell交互的原因。最后，分析師應(yīng)能解釋為什么和如何威脅團(tuán)體采用網(wǎng)絡(luò)混淆技術(shù)，如協(xié)議隧道、主機(jī)反取證技術(shù)和惡意軟件內(nèi)部的主機(jī)混淆。

參考鏈接：

https://www.mandiant.com/sites/default/files/2022-05/cti-analyst-core-competencies-framework-v1.pdf