Mandiant网络威胁情报分析师核心能力框架【解读】

近期Mandiant发布了一个全面的网络威胁情报（CTI）分析师核心能力框架，该框架作为网络威胁情报学科识别、建立、培养和保留人才的指南。我们对该指南进行了全面的翻译和解读，并在资源组和知识组内进行了分享。

该框架将威胁情报分析师的能力分为四个支柱：

1. Problem Solving（解决问题）

2. Professional  Effectiveness（专业成效）

3. Technical Literacy（技术素养）

4. Cyber Threat Proficiency（网络威胁熟悉程度）

目录摘要：

Problem Solving（解决问题）

• 批判性思维和发散思维

• 威胁研究和分析能力

• 探究心态

Professional  Effectiveness（专业成效）

• 卓越的沟通能力

• 团队合作意识和良好的情商
  

• 一定的商业头脑

Technical Literacy（技术素养）

• 熟悉企业IT网络

• 理解网络安全生态系统

• 明确组织机构的网络安全角色和责任

Cyber Threat Proficiency（精通网络威胁）

• 预判对手攻击行动的意图和计划

• 掌握威胁情报分析能力体系

• 具备深厚的威胁角色和技战术知识及经验认知

细节摘要：

批判性思维还包括发散思维的能力，为研究设计创造性的解决方案和分析框架，进行数据收集和有效沟通。批判性思维也是创新和趋势预测的基本先决条件。

能够以情报需求的形式捕捉利益相关者的需求，并在收集管理框架内根据这些需求对数据集和工具进行优先排序。研究使用逻辑和合理的推理进行调查和使用非技术数据源，以发现新的线索，确定新的联系，并得出明确的分析结论。

分析技能包括查询数据集的能力，开发逻辑数据模式和标签，对非结构化数据进行规范化和应用结构化，并解释调查结果以确定一段时间内的趋势和模式。研究和分析技能还包括检查技术工件的能力，无论它们是否基于主机（如脚本和编译的恶意软件）或基于网络（如基础设施关系和域名结构）。

探究心态与批判性思维不同，它将”研究和分析“、”识别和说明认知“、”逻辑偏见“以及采用”SATs（structured analytic techniques ，情报术语，结构化分析技术）“方法结合起来克服偏见。

BLUF（军事术语，最重要军情的意思）和Executive Summary（商业术语，执行摘要的意思）是展示分析结果的两种有效方法。

情商包括培养良好的判断力和情景意识，以了解何时和怎样与同行、领导或客户接触，同时了解不当举止对于团队的影响。情商的四个核心技能是自我意识、自我控制、社会意识和关系管理。

能够了解一个组织机构的使命、愿景、目标以及商业决策可能的安全风险。这类决策的例子包括预期的合并和收购或扩大业务范围到一个新领域。战略方向的转变可能促使一个组织重新评估商业秘密和知识产权的风险。

能够理解围绕商业决策进行的企业网络设计。例如为什么企业网络经常使用虚拟环境而不是物理工作站和服务器？为什么某些操作系统比其他操作系统更受欢迎，可以满足业务需求。

能够识别与网络防御措施和网络安全流程、技术和工作角色相关的核心概念、组成部分和惯例。一个核心原则是了解行业最佳实践和框架。

能够理解网络安全和与网络安全相关的工作角色、责任以及组织内各种职能之间相互作用。

能够描述攻击行动计划背后的敌方组织构成，人员职能等，评估其对目标实施攻击能够造成潜在影响的攻击策略。

网络威胁被定义为行为者意图/动机、能力和机会的集合。

分析师应该能够解释威胁组织为什么和到底如何采用混淆规避技术，如协议隧道，基于主机的反取证技术，以及恶意软件内部的混淆技术。

.....