安全分析師進(jìn)階指南：2021年需要掌握的高級技能

安全分析師進(jìn)階指南：2021年需要掌握的高級技能

成功的分析師需要掌握的最重要的技能之一是:了解何時(shí)以及為何必須使用

某些工具或產(chǎn)品。

HW結(jié)束了，是否感受到了分析師和分析能力的短缺？在全球范圍內(nèi)，安

全分析師的需求增長都是最快的。

安全分析師是時(shí)間機(jī)器；安全分析師需要批判性思維；分析是人機(jī)協(xié)同的

工作；組織可以培養(yǎng)分析文化……

這是SANS發(fā)布的《2021安全分析師需要掌握的高級技能報(bào)告》，也是

一份安全分析師進(jìn)階指南。

隨著越來越多的組織通過建立自己的安全運(yùn)營中心（SOC）或通過參與托

管安全服務(wù)來改善其安全運(yùn)營，對安全相關(guān)角色的需求比以往任何時(shí)候都高。

根據(jù)CybersecurityVentures的職位報(bào)告，到2021年，安全相關(guān)職位空缺達(dá)

到了350萬。

在所有安全相關(guān)職位中，安全分析師尤其短缺。美國勞工統(tǒng)計(jì)局報(bào)告稱，

從2019年到2029年，僅美國信息安全分析師的需求預(yù)計(jì)將增長31%,遠(yuǎn)快

于所有職位需求的平均水平。作為該領(lǐng)域收入最高的工作之一，安全分析師必

須成為所有行業(yè)的大師，本質(zhì)上是"全方位防御者"，他們在威脅檢測方面非

常稱職，同時(shí)還具有出色的分析和溝通技巧。但是，要勝任這個角色，需要具

備哪些技術(shù)和非技術(shù)技能？行業(yè)安全解決方案如何增強(qiáng)分析師的能力，使其變

得更加有效？

SANS發(fā)布的這份報(bào)告將首先探討使安全分析師成功的原因。這個關(guān)鍵步

驟通常被忽略。這可能導(dǎo)致對分析師和雇主的錯誤期望，從而導(dǎo)致更高的人員

流失和職業(yè)倦怠。報(bào)告還將研究安全分析師需要掌握的最有效技能，以有效地

保護(hù)端點(diǎn)、網(wǎng)絡(luò)和云之間的組織，并與報(bào)告中提出的模型保持一致。

一、分析師是“時(shí)間機(jī)器”

神經(jīng)科學(xué)家DeanBuonoman。在他的書《大腦是臺時(shí)光機(jī)》中，解釋了

人腦如何不斷做出實(shí)時(shí)預(yù)測，不僅是"接下來會發(fā)生什么"，還包括"何時(shí)會

發(fā)生"。借助記憶和認(rèn)知，我們的大腦成為了時(shí)間機(jī)器：我們可以在時(shí)間上來

回移動。

時(shí)間一直是戰(zhàn)爭的重要組成部分，網(wǎng)絡(luò)安全也不例外。作為全方位的防御

者，安全分析師一直在堅(jiān)持不懈地戰(zhàn)斗，而時(shí)間是至關(guān)重要的因素。

但是，我們以產(chǎn)品為中心的行業(yè)通常會促使安全專業(yè)人員在學(xué)習(xí)工具和技

術(shù)上投入過多的精力，而沒有對其分析的質(zhì)量給予足夠的重視。實(shí)際上，成功

的分析師需要掌握的最重要的技能之一就是了解何時(shí)以及為何必須使用某些工

具或產(chǎn)品。理解這一點(diǎn)可能會在與攻擊組織的對抗中有所幫助。

幸運(yùn)的是，分析人員可以使用幾種安全模型和框架來發(fā)展和提高他們的技

能，其中包括:

1、MITERATT&CK?

MITERATT&CK?是所有分析人員都應(yīng)該熟悉的框架，因?yàn)樗刮覀兡?/p>

夠了解要防御的對手。面向企業(yè)的MITERATT&CK矩陣可以看作是棋盤。板

上的每個方塊都可以在某一時(shí)刻與攻擊者的戰(zhàn)術(shù)、技術(shù)和規(guī)程（TTP）進(jìn)行比

較?？梢哉f，像攻擊者這樣的思維可以幫助分析師預(yù)測未來，或在一定程度上

預(yù)測可能的走勢，從而使他們成為更好的防御者。熟悉攻擊者的行為也可以幫

助分析師理解過去發(fā)生的事情，使他們的大腦成為時(shí)間機(jī)器，在攻擊鏈中來回

移動。

盡管ATT&CK提供了一種描述攻擊者行為的語言，但沒有提供描述防御

者的行為和思想語言或分類法。以下模型可以幫助我們描述這些。

2、基于時(shí)間的安全性（TBS）

基于時(shí)間的安全性（TBS）提供了一種方法論，是定量和經(jīng)過數(shù)學(xué)驗(yàn)證的

方法，通過回答以下問題來了解產(chǎn)品或技術(shù)提供了多少安全性：

1）系統(tǒng)暴露多長時(shí)間？

2）我們發(fā)現(xiàn)攻擊需要多長時(shí)間？

3）我們需要多長時(shí)間進(jìn)行回應(yīng)？

這個簡單的模型對于安全分析人員了解時(shí)間在日常工作中的重要性至關(guān)重

要。盡管TBS可用于評估安全體系結(jié)構(gòu)的有效性，但它也將重點(diǎn)放在了分析人

員作為SOC一部分的檢測和響應(yīng)過程的有效性中，指出何時(shí)需要更長的時(shí)間來

檢測和響應(yīng)入侵。而不是安全措施所提供的保護(hù)時(shí)間（即，如果P<D+

那么攻擊者將獲勝。參見圖

R）,lo

Figure1.Time-BasedSecurityModel'

3、OODA（觀察-決定-行動）循環(huán)

OODA（觀察-決定-行動）循環(huán)始于1976年，當(dāng)時(shí)美國空軍上校JohnB

oyd發(fā)表了關(guān)于在空戰(zhàn)中獲得戰(zhàn)斗優(yōu)勢的抽象概念。Boyd的關(guān)鍵概念是決策

周期的概念，即現(xiàn)在著名的OODA循環(huán)（請參見圖2）。

在這種模型中，Boyd假定勝利是授予能夠做出最快反應(yīng)的戰(zhàn)斗員。攻擊

者和防御者都在時(shí)間限制下運(yùn)行，但是能夠在動態(tài)環(huán)境中做出反應(yīng)的速度比攻

擊者更快的防御者可以在這種情況下獲得競爭優(yōu)勢。再次，我們看到時(shí)間是任

何安全分析師考慮的關(guān)鍵因素。循環(huán)的四個步驟是：

1）觀察-感知環(huán)境，收集信息并調(diào)查情況。

2）定向-分析收集的數(shù)據(jù)以形成假設(shè)并獲得觀點(diǎn)。

3）決定-根據(jù)之前階段制定針對情況的行動計(jì)劃。

4）行動-使決策付諸實(shí)施。

此循環(huán)的關(guān)鍵是在定向階段進(jìn)行的活動和批判性思維，以及它是一個迭代

反饋模型的事實(shí)，該模型允許分析師根據(jù)分析結(jié)果來調(diào)整決策。沒有反饋，分

析師將無法根據(jù)新證據(jù)、新數(shù)據(jù)或以前的經(jīng)驗(yàn)來修改決策。

二、更少的任務(wù)和更多的批判性思維

安全分析師是問題解決者，解決問題需要特定的技能。分析師本質(zhì)上是一

個調(diào)查員，也可以被描述為思想家，他是一個善于研究方法論而且分析能力強(qiáng)

的人。調(diào)查技能在許多行業(yè)中至關(guān)重要，包括記者、統(tǒng)計(jì)學(xué)家、醫(yī)生和考古學(xué)

家。他們?nèi)绾芜M(jìn)行調(diào)查，我們是否可以學(xué)習(xí)這些技能？學(xué)習(xí)任何新技能的關(guān)鍵

是定義它，并將其分解為邏輯步驟，建立可以遵循和系統(tǒng)地重復(fù)的過程。調(diào)查

過程也不例外，并且可以通過這種方式進(jìn)行有效解釋。

要了解調(diào)查過程，有必要在調(diào)杳任務(wù)和研究思維（也稱創(chuàng)造性思維）之間

進(jìn)行區(qū)分。調(diào)查任務(wù)涉及信息收集過程，該過程收集到創(chuàng)造性思維中（例如0

ODA循環(huán)），分析信息并創(chuàng)建理論或假設(shè)以制定調(diào)查計(jì)劃的過程。讓我們考慮

其中每個子流程以及與之相關(guān)的技能，如下所示：

1、調(diào)查任務(wù)

這些職責(zé)在多個網(wǎng)絡(luò)安全角色中是共有的。SOC分析師、事件分析師、事

件響應(yīng)者和威脅狩獵執(zhí)行與識別證據(jù)、收集信息、收集證據(jù)，以及在許多情況

下保存證據(jù)相關(guān)的任務(wù)。角色之間的主要區(qū)別在于流程的開始位置。SOC分析

師通常從報(bào)警開始調(diào)查，而威脅狩獵則從假設(shè)或問題開始工作，包括：

1）分析人員在此類別中需要掌握哪些關(guān)鍵技能？大多數(shù)與數(shù)據(jù)收集和轉(zhuǎn)換有

關(guān)。編程和自動化技能對于從網(wǎng)絡(luò)、端點(diǎn)、應(yīng)用程序和其他日志存儲庫（例如

安全信息和事件管理/SIEM、數(shù)據(jù)聚合工具）收集數(shù)據(jù)至關(guān)重要。這些技能對

于大規(guī)模處理數(shù)據(jù)也很有用。學(xué)習(xí)一種可以跨多種平臺（例如PowerShell或

Python）輕松獲得的編程語言,以及系統(tǒng)命令行腳本（例如Bash）,都可以

提供巨大的幫助。

2）在網(wǎng)絡(luò)方面，具有tcpdump、Wireshark或其他網(wǎng)絡(luò)流量監(jiān)視工具捕獲流

量的能力，在網(wǎng)絡(luò)可能為我們的分析增加重要證據(jù)的許多情況下會有所幫助。

2、研究思維

不幸的是，如前所述，分析人員花費(fèi)太多時(shí)間執(zhí)行調(diào)杳任務(wù)，而很少花費(fèi)

時(shí)間進(jìn)行批判性思維或研究性思維。想象一下，一個偵探只收集證據(jù)，卻從不

分析得出結(jié)論的效率將是多么低下！這就是為什么許多分析師最終會以自動駕

駛模式運(yùn)行，而不是執(zhí)行OODA循環(huán)的重復(fù)階段的原因。

安全分析師必須利用研究或批判性思維。可以通過開發(fā)旨在分析收集到的

信息的技能，發(fā)展關(guān)于發(fā)生的事情和事件發(fā)生的方式的理論，利用上下文和直

覺以及建立合理的假設(shè)來磨練批判性思維。分析師該怎么做？首先，我們必須

花時(shí)間反思我們根據(jù)所見所聞所做出的決策。這意味著要有一種懷疑的心態(tài)，

目的是盡可能客觀地探索所有替代方案。

分析師的最佳做法包括：

?問問題。人類通過問題學(xué)習(xí)，研究人員也通過問題解決事件。多年來，

來自中央情報(bào)局和執(zhí)法部門的調(diào)查人員一直在使用競爭假設(shè)分析（AC

H）模型。ACH是一種分析過程,可識別一組替代假設(shè)并評估可用數(shù)據(jù)

是否與每個假設(shè)一致或不一致。數(shù)據(jù)最不一致的假設(shè)將被拒絕。

通過提出問題，分析師會仔細(xì)權(quán)衡證據(jù)，并考慮其他解釋或結(jié)論。這種

結(jié)構(gòu)化的方法可幫助分析師克服或至少最小化許多SOC中常見的認(rèn)知限

制。這種采用問題和假設(shè)的科學(xué)方法對我們許多人來說在數(shù)字取證領(lǐng)域

也不是新鮮事。許多安全專家和研究人員已撰寫了有關(guān)在網(wǎng)絡(luò)安全領(lǐng)域

使用此方法的文章。

盡管經(jīng)驗(yàn)豐富的分析師會在調(diào)查過程的早期就提出更多問題，但較新的

分析師往往會做出假設(shè)并開始做出決策并采取行動，而不會引起太多質(zhì)

疑。大多數(shù)時(shí)候，調(diào)查都是從廣泛的問題開始的，最終會導(dǎo)致更具體的

問題，這些問題可以帶我們?nèi)グl(fā)現(xiàn)更多的證據(jù)。這些問題使我們在調(diào)查

期間面臨不確定性情況時(shí)可以收集更多的背景信息和范圍。

?向后推理。向后推理可以將分析師的大腦用作時(shí)間機(jī)器，以具體方式對

過去的事件進(jìn)行推理，假設(shè)在攻擊的每個階段都必須發(fā)生什么才能到達(dá)

安全控制臺中顯示的警報(bào)。由于后向思維只是因果關(guān)系思維的一種，因

此使用諸如洛克希德?馬丁公司的CyberKillChain?或MITERATT&C

K之類的模型來了解攻擊的邏輯步驟，對于支持這些推斷和推論至關(guān)重

要。

?不要線性思考。據(jù)說攻擊者以圖表的方式思考，而防御者以列表的方式

思考。這是指許多安全分析人員依靠靜態(tài)和線性劇本來響應(yīng)威脅這一事

實(shí)。盡管響應(yīng)手冊在應(yīng)對已知威脅時(shí)會有所幫助，但很多時(shí)候分析人員

面臨著從未見過或未解決過的新事件、新挑戰(zhàn)和新難題。這表明，分析

師需要使用本報(bào)告中描述的工具和方法進(jìn)行批判性思考并考慮一種或多

種合理的途徑。

?注重細(xì)節(jié)，克服無意識的偏見，不要錯過“大猩猩"。在高度動態(tài)的環(huán)

境（例如我們的網(wǎng)絡(luò)）中，很難發(fā)現(xiàn)攻擊。在認(rèn)知密集型工作中，將我

們的注意力集中在某些事情上很容易，有時(shí)會錯過完全可見但出乎意料

的事件，這被稱為疏忽性失明。著名的例子是DanielSimons和Christ

opherChabris在1999年開發(fā)的“隱形大猩猩"實(shí)驗(yàn)。

在該實(shí)驗(yàn)中，研究參與者被要求觀看一段視頻，其中有兩支球隊(duì)，一支

穿著黑襯衫，一支穿著白襯衫，正在傳球。告訴參與者統(tǒng)計(jì)穿白襯衫的

球員傳球的次數(shù)。錄像中途，一只大猩猩走進(jìn)現(xiàn)場，站在中間，敲打他

的胸部，然后退出。當(dāng)詢問研究參與者是否看到大猩猩時(shí)，超過一半的

人承認(rèn)他們完全錯過了大猩猩。

為了不遺漏類似的隱形大猩猩，信息安全分析師必須仔細(xì)研究他們正在

研究的系統(tǒng)，并注意行為或性能的偏差或變化。在調(diào)查的每個步驟上做

筆記并使用諸如ACH之類的方法可以幫助消除注意力不集中以及無意

識的偏見。

?像孩子一樣好奇而靈活。好奇心可能是分析師必須不斷培養(yǎng)和培訓(xùn)的最

重要技能之一。好奇可以幫助安全分析師好奇、拉線程、探索和提出問

題（而不僅僅是在自動駕駛模式下做出反應(yīng)）。培養(yǎng)好奇心的一種方法

是發(fā)展跨學(xué)科技能。許多出色的分析師沒有計(jì)算機(jī)科學(xué)或工程領(lǐng)域的正

式背景，而是來自與藝術(shù)有關(guān)的其他領(lǐng)域，或者喜歡與技術(shù)無關(guān)的愛

好。這為他們提供了更廣泛的體驗(yàn)，可以幫助他們通過不同的視角來感

知世界，并幫助他們觀察異常。

孩子們也很靈活，他們不為改變主意或接受自己不了解的一切而感到羞

恥，相反，他們通常足夠靈活以適應(yīng)和學(xué)習(xí)。安全分析人員還必須準(zhǔn)備

好學(xué)習(xí)和適應(yīng)（再次考慮OODA循環(huán)中的迭代反饋）。就像在空戰(zhàn)中一

樣，在任何領(lǐng)域中獲得優(yōu)勢的關(guān)鍵是在高度動態(tài)的環(huán)境中的靈活性和敏

捷性。

三、調(diào)蟄和OODA循環(huán)

在這一點(diǎn)上，批判性思維技巧以及諸如OODA循環(huán)和TBS之類的模型可

以幫助我們成為更好的安全分析師。表1總結(jié)了安全分析人員必須有效掌握的

一些頂尖技能，才能有效地跨端點(diǎn)、網(wǎng)絡(luò)和云保護(hù)其組織。當(dāng)您瀏覽該表時(shí),

請考慮以下問題：我需要花費(fèi)多長時(shí)間才能完成這些步驟中的每一個步驟，以

及在循環(huán)中的每個點(diǎn)上需要多少粒度？

nbl?1OODALoopTopSAtflls

CdtiolT?nMB!AMlyu^chniquet

andOOOAloopOMCTipUoflGMIOmtions

Everyrupp?n?0*DJUcxiwctng-Automjition皿programming

sun、M<no?conf?cKowcs"RMKKSINM

ntrwatuckrMT(??.wlythORl

ThtinoftenonMrtmeMpointx

ocxunwficinfMiitutodour

al?ftcomMgfwnJnMwofk^clouOkm

HtMxtLKkWUoccumngrmvMtlfiKion

wcudtrMjxujuomto

jn?ndpc?i<MXutioadno?uiou5teftwtorumtwMnuMpftovny?

G(xMtM-OutR5W3naM$WMT?n?ouutnngf

皿Xfhxn?MlpoK<

WtMKM*.cioua.orWMtt?na卯r*Mx>m*vWMt

jppautionpwfomurtc*jpfMc^ruup

tooaonntMfOrmofv***oar*th*UMCI3nd?hMwitams

j3OfKMf*“田x?viMoMor

?Kautxwior

WVKXdowvtnow^boutChMn,

?W$commonoroncommoAxtMty?

10COfUfttfUMOtcutArQwams>nfi40)*tMMg?MVottne"uwncaft0M“fromw

06W?V3<kM?AMJauk?so?t?toMorentn?dm*ewil33VMK?(?&

WKXtMr?UttO<UMp??

log?ulconmcuomioSMfCNngAftlPMOMSflOMMHIMIPSXlMOfl

unomundrvnWMIthep?npt<tiMn<xyour?<X^C?R(dMctionjndmponvl

(Mppeneatok?aof)rbypoewMVM?jn^>refOMtCNng,we

HOWd0*5IMtotnyknotMMfttTM*aprotiMsapart,outWMAN?syatfmc*.

nottovowirw?mfMo?v

ofMMrWW<0?tMVl0f5n?p??puttMptKMto0rthefjgNniocfMte

andtt)MeautyUMMW川

wmKhing?wwtnx(MnlmtfM40e?.

wcm?V?OHIC?HmmmeMOW(>o?sMneat*tomyknowwdy9

thatcanImpactOKWonofmtthenwtswg5nuT,ho*woeummo?*Van”

(WHopuftMmxxDnsfor9Mmpla.?ngg

nuking

nntMWndMT5odMrt?nim*)upho?tSvrrio^w^

WtU(bvt*pcWMMK^OftNSjmCKtd13"togMMtoWMHIwJutnwnt

toe詢

MOWmuch<UUoo<n??<ju>MOOTOMJIM(>iof4iio?-aMKaausetone*a&

wno%?tofJAMjrtxsMcreaw/incVdmgsutfttkx(X?lpMXtetttxand

*r?05?g0TM0UrttyofmypythonandR?nanCMUFMAMtopeteoan

OfiMiUOonr?xpaM*QAeMuctna.?nd<uu

??RQ*ntKMn(?4.

txxuniMiCtnt■iturtwgftnixadour

inv?5ti0MK>a

10d?c?*3montV?UMngIMMxrno4KWVUC?0d?nc*w?Udnprow>?rofcoapeORfM)ipotWw%CM"

xuhrswMM2ggtMwhypMheMV5?oJn(todnprov*JtwcrtbrMsr054Mlry?

mtlworwnutionSS?X???!S3g?fKMK*2)V>FspraeJ

pAai?.TMJanrw(ptnMCMM“5n?V*fkW9*fww*

pQtrtAi?ofw.b??d?nM?**yonh^wrpotr*wttni#

petOKt(XVWptmKMev*Wnc.MlUM?o*jiutyVi

^cMcwnrsAMme**wrMeKtr?tmtcoun??xi>oc?eo

avdHcttoMatnwdMm-A$)urnejstMomentto

rM^ontRUcnmgM?ao^xtandcortamgBimatf

betru*川*wtu<conctaMomyewc4nonom

后黑粽瑞士沈*111Ml-*CMR.VOWX沖fMJCQAVMKUXl.3

to?fMMdk.txrtr?m3inr?w^vrknoBthemtnal3?m?nt0f3H?

ofgdxif?rorMayingdwTsJ0WUI?-MKPyou》?tfylnf

pjrjlytnbyjruymtoprowtfwoppoQMofvrtutyosm?orVM

ano<Mhrpo<rw$K?xr$MtocM

lu?f?M9|Lyou，?vytrtoprowUW

BmcMXxnofyourMJlyM

OwingjadWurtat-ito^uuofout

MWKltgMkXt

ActAaowngtotoyaIDurryoutyou，WAXdid12nMMqic.?AMioouaonMOH-HA*todtctww

xttomthouk]MrapM.r*?pom?Ume

m?aiMvurym<htHOWgw?ausnwotourwwentioft.

surpHMr<?ntHpwou\dneetton.MdnMpomeemucyr

MM?wrchanfRt，b*?M￡MftgyourcodtagtMK-4e4*toVMMcuitomg

r*%pom?pQyeookstoth?aiutyvCi

MOOH&tOtMmMdwnxtypeofMMVUIWMtooui