安全分析师进阶指南：2021年需要掌握的高级技能

安全分析师进阶指南：2021年需要掌握的高级技能

成功的分析师需要掌握的最重要的技能之一是:了解何时以及为何必须使用

某些工具或产品。

HW结束了，是否感受到了分析师和分析能力的短缺？在全球范围内，安

全分析师的需求增长都是最快的。

安全分析师是时间机器；安全分析师需要批判性思维；分析是人机协同的

工作；组织可以培养分析文化……

这是SANS发布的《2021安全分析师需要掌握的高级技能报告》，也是

一份安全分析师进阶指南。

随着越来越多的组织通过建立自己的安全运营中心（SOC）或通过参与托

管安全服务来改善其安全运营，对安全相关角色的需求比以往任何时候都高。

根据CybersecurityVentures的职位报告，到2021年，安全相关职位空缺达

到了350万。

在所有安全相关职位中，安全分析师尤其短缺。美国劳工统计局报告称，

从2019年到2029年，仅美国信息安全分析师的需求预计将增长31%,远快

于所有职位需求的平均水平。作为该领域收入最高的工作之一，安全分析师必

须成为所有行业的大师，本质上是"全方位防御者"，他们在威胁检测方面非

常称职，同时还具有出色的分析和沟通技巧。但是，要胜任这个角色，需要具

备哪些技术和非技术技能？行业安全解决方案如何增强分析师的能力，使其变

得更加有效？

SANS发布的这份报告将首先探讨使安全分析师成功的原因。这个关键步

骤通常被忽略。这可能导致对分析师和雇主的错误期望，从而导致更高的人员

流失和职业倦怠。报告还将研究安全分析师需要掌握的最有效技能，以有效地

保护端点、网络和云之间的组织，并与报告中提出的模型保持一致。

一、分析师是“时间机器”

神经科学家DeanBuonoman。在他的书《大脑是台时光机》中，解释了

人脑如何不断做出实时预测，不仅是"接下来会发生什么"，还包括"何时会

发生"。借助记忆和认知，我们的大脑成为了时间机器：我们可以在时间上来

回移动。

时间一直是战争的重要组成部分，网络安全也不例外。作为全方位的防御

者，安全分析师一直在坚持不懈地战斗，而时间是至关重要的因素。

但是，我们以产品为中心的行业通常会促使安全专业人员在学习工具和技

术上投入过多的精力，而没有对其分析的质量给予足够的重视。实际上，成功

的分析师需要掌握的最重要的技能之一就是了解何时以及为何必须使用某些工

具或产品。理解这一点可能会在与攻击组织的对抗中有所帮助。

幸运的是，分析人员可以使用几种安全模型和框架来发展和提高他们的技

能，其中包括:

1、MITERATT&CK®

MITERATT&CK®是所有分析人员都应该熟悉的框架，因为它使我们能

够了解要防御的对手。面向企业的MITERATT&CK矩阵可以看作是棋盘。板

上的每个方块都可以在某一时刻与攻击者的战术、技术和规程（TTP）进行比

较。可以说，像攻击者这样的思维可以帮助分析师预测未来，或在一定程度上

预测可能的走势，从而使他们成为更好的防御者。熟悉攻击者的行为也可以帮

助分析师理解过去发生的事情，使他们的大脑成为时间机器，在攻击链中来回

移动。

尽管ATT&CK提供了一种描述攻击者行为的语言，但没有提供描述防御

者的行为和思想语言或分类法。以下模型可以帮助我们描述这些。

2、基于时间的安全性（TBS）

基于时间的安全性（TBS）提供了一种方法论，是定量和经过数学验证的

方法，通过回答以下问题来了解产品或技术提供了多少安全性：

1）系统暴露多长时间？

2）我们发现攻击需要多长时间？

3）我们需要多长时间进行回应？

这个简单的模型对于安全分析人员了解时间在日常工作中的重要性至关重

要。尽管TBS可用于评估安全体系结构的有效性，但它也将重点放在了分析人

员作为SOC一部分的检测和响应过程的有效性中，指出何时需要更长的时间来

检测和响应入侵。而不是安全措施所提供的保护时间（即，如果P<D+

那么攻击者将获胜。参见图

R）,lo

Figure1.Time-BasedSecurityModel'

3、OODA（观察-决定-行动）循环

OODA（观察-决定-行动）循环始于1976年，当时美国空军上校JohnB

oyd发表了关于在空战中获得战斗优势的抽象概念。Boyd的关键概念是决策

周期的概念，即现在著名的OODA循环（请参见图2）。

在这种模型中，Boyd假定胜利是授予能够做出最快反应的战斗员。攻击

者和防御者都在时间限制下运行，但是能够在动态环境中做出反应的速度比攻

击者更快的防御者可以在这种情况下获得竞争优势。再次，我们看到时间是任

何安全分析师考虑的关键因素。循环的四个步骤是：

1）观察-感知环境，收集信息并调查情况。

2）定向-分析收集的数据以形成假设并获得观点。

3）决定-根据之前阶段制定针对情况的行动计划。

4）行动-使决策付诸实施。

此循环的关键是在定向阶段进行的活动和批判性思维，以及它是一个迭代

反馈模型的事实，该模型允许分析师根据分析结果来调整决策。没有反馈，分

析师将无法根据新证据、新数据或以前的经验来修改决策。

二、更少的任务和更多的批判性思维

安全分析师是问题解决者，解决问题需要特定的技能。分析师本质上是一

个调查员，也可以被描述为思想家，他是一个善于研究方法论而且分析能力强

的人。调查技能在许多行业中至关重要，包括记者、统计学家、医生和考古学

家。他们如何进行调查，我们是否可以学习这些技能？学习任何新技能的关键

是定义它，并将其分解为逻辑步骤，建立可以遵循和系统地重复的过程。调查

过程也不例外，并且可以通过这种方式进行有效解释。

要了解调查过程，有必要在调杳任务和研究思维（也称创造性思维）之间

进行区分。调查任务涉及信息收集过程，该过程收集到创造性思维中（例如0

ODA循环），分析信息并创建理论或假设以制定调查计划的过程。让我们考虑

其中每个子流程以及与之相关的技能，如下所示：

1、调查任务

这些职责在多个网络安全角色中是共有的。SOC分析师、事件分析师、事

件响应者和威胁狩猎执行与识别证据、收集信息、收集证据，以及在许多情况

下保存证据相关的任务。角色之间的主要区别在于流程的开始位置。SOC分析

师通常从报警开始调查，而威胁狩猎则从假设或问题开始工作，包括：

1）分析人员在此类别中需要掌握哪些关键技能？大多数与数据收集和转换有

关。编程和自动化技能对于从网络、端点、应用程序和其他日志存储库（例如

安全信息和事件管理/SIEM、数据聚合工具）收集数据至关重要。这些技能对

于大规模处理数据也很有用。学习一种可以跨多种平台（例如PowerShell或

Python）轻松获得的编程语言,以及系统命令行脚本（例如Bash）,都可以

提供巨大的帮助。

2）在网络方面，具有tcpdump、Wireshark或其他网络流量监视工具捕获流

量的能力，在网络可能为我们的分析增加重要证据的许多情况下会有所帮助。

2、研究思维

不幸的是，如前所述，分析人员花费太多时间执行调杳任务，而很少花费

时间进行批判性思维或研究性思维。想象一下，一个侦探只收集证据，却从不

分析得出结论的效率将是多么低下！这就是为什么许多分析师最终会以自动驾

驶模式运行，而不是执行OODA循环的重复阶段的原因。

安全分析师必须利用研究或批判性思维。可以通过开发旨在分析收集到的

信息的技能，发展关于发生的事情和事件发生的方式的理论，利用上下文和直

觉以及建立合理的假设来磨练批判性思维。分析师该怎么做？首先，我们必须

花时间反思我们根据所见所闻所做出的决策。这意味着要有一种怀疑的心态，

目的是尽可能客观地探索所有替代方案。

分析师的最佳做法包括：

•问问题。人类通过问题学习，研究人员也通过问题解决事件。多年来，

来自中央情报局和执法部门的调查人员一直在使用竞争假设分析（AC

H）模型。ACH是一种分析过程,可识别一组替代假设并评估可用数据

是否与每个假设一致或不一致。数据最不一致的假设将被拒绝。

通过提出问题，分析师会仔细权衡证据，并考虑其他解释或结论。这种

结构化的方法可帮助分析师克服或至少最小化许多SOC中常见的认知限

制。这种采用问题和假设的科学方法对我们许多人来说在数字取证领域

也不是新鲜事。许多安全专家和研究人员已撰写了有关在网络安全领域

使用此方法的文章。

尽管经验丰富的分析师会在调查过程的早期就提出更多问题，但较新的

分析师往往会做出假设并开始做出决策并采取行动，而不会引起太多质

疑。大多数时候，调查都是从广泛的问题开始的，最终会导致更具体的

问题，这些问题可以带我们去发现更多的证据。这些问题使我们在调查

期间面临不确定性情况时可以收集更多的背景信息和范围。

•向后推理。向后推理可以将分析师的大脑用作时间机器，以具体方式对

过去的事件进行推理，假设在攻击的每个阶段都必须发生什么才能到达

安全控制台中显示的警报。由于后向思维只是因果关系思维的一种，因

此使用诸如洛克希德♦马丁公司的CyberKillChain®或MITERATT&C

K之类的模型来了解攻击的逻辑步骤，对于支持这些推断和推论至关重

要。

・不要线性思考。据说攻击者以图表的方式思考，而防御者以列表的方式

思考。这是指许多安全分析人员依靠静态和线性剧本来响应威胁这一事

实。尽管响应手册在应对已知威胁时会有所帮助，但很多时候分析人员

面临着从未见过或未解决过的新事件、新挑战和新难题。这表明，分析

师需要使用本报告中描述的工具和方法进行批判性思考并考虑一种或多

种合理的途径。

・注重细节，克服无意识的偏见，不要错过“大猩猩"。在高度动态的环

境（例如我们的网络）中，很难发现攻击。在认知密集型工作中，将我

们的注意力集中在某些事情上很容易，有时会错过完全可见但出乎意料

的事件，这被称为疏忽性失明。著名的例子是DanielSimons和Christ

opherChabris在1999年开发的“隐形大猩猩"实验。

在该实验中，研究参与者被要求观看一段视频，其中有两支球队，一支

穿着黑衬衫，一支穿着白衬衫，正在传球。告诉参与者统计穿白衬衫的

球员传球的次数。录像中途，一只大猩猩走进现场，站在中间，敲打他

的胸部，然后退出。当询问研究参与者是否看到大猩猩时，超过一半的

人承认他们完全错过了大猩猩。

为了不遗漏类似的隐形大猩猩，信息安全分析师必须仔细研究他们正在

研究的系统，并注意行为或性能的偏差或变化。在调查的每个步骤上做

笔记并使用诸如ACH之类的方法可以帮助消除注意力不集中以及无意

识的偏见。

・像孩子一样好奇而灵活。好奇心可能是分析师必须不断培养和培训的最

重要技能之一。好奇可以帮助安全分析师好奇、拉线程、探索和提出问

题（而不仅仅是在自动驾驶模式下做出反应）。培养好奇心的一种方法

是发展跨学科技能。许多出色的分析师没有计算机科学或工程领域的正

式背景，而是来自与艺术有关的其他领域，或者喜欢与技术无关的爱

好。这为他们提供了更广泛的体验，可以帮助他们通过不同的视角来感

知世界，并帮助他们观察异常。

孩子们也很灵活，他们不为改变主意或接受自己不了解的一切而感到羞

耻，相反，他们通常足够灵活以适应和学习。安全分析人员还必须准备

好学习和适应（再次考虑OODA循环中的迭代反馈）。就像在空战中一

样，在任何领域中获得优势的关键是在高度动态的环境中的灵活性和敏

捷性。

三、调蛰和OODA循环

在这一点上，批判性思维技巧以及诸如OODA循环和TBS之类的模型可

以帮助我们成为更好的安全分析师。表1总结了安全分析人员必须有效掌握的

一些顶尖技能，才能有效地跨端点、网络和云保护其组织。当您浏览该表时,

请考虑以下问题：我需要花费多长时间才能完成这些步骤中的每一个步骤，以

及在循环中的每个点上需要多少粒度？

nbl・1OODALoopTopSAtflls

CdtiolT»nMB!AMlyu^chniquet

andOOOAloopOMCTipUoflGMIOmtions

Everyrupp»n»0*DJUcxiwctng-Automjition皿programming

sun、M<no»conf»cKowcs"RMKKSINM

ntrwatuckrMT(•«.wlythORl

ThtinoftenonMrtmeMpointx

ocxunwficinfMiitutodour

al»ftcomMgfwnJnMwofk^clouOkm

HtMxtLKkWUoccumngrmvMtlfiKion

wcudtrMjxujuomto

jn«ndpc«i<MXutioadno«uiou5teftwtorumtwMnuMpftovny?

G(xMtM-OutR5W3naM$WMT»n«ouutnngf

皿Xfhxn«MlpoK<

WtMKM*.cioua.orWMtt»na卯r*Mx>m*vWMt

jppautionpwfomurtc*jpfMc^ruup

tooaonntMfOrmofv***oar*th*UMCI3nd«hMwitams

j3OfKMf*“田x»viMoMor

•Kautxwior

WVKXdowvtnow^boutChMn,

»W$commonoroncommoAxtMty?

10COfUfttfUMOtcutArQwams>nfi40)*tMMg?MVottne"uwncaft0M“fromw

06W«V3<kM»AMJauk»so«t»toMorentn»dm*ewil33VMK»(♦&

WKXtMr»UttO<UMp«?

log»ulconmcuomioSMfCNngAftlPMOMSflOMMHIMIPSXlMOfl

unomundrvnWMIthep«npt<tiMn<xyour»<X^C«R(dMctionjndmponvl

(Mppeneatok»aof)rbypoewMVM»jn^>refOMtCNng,we

HOWd0*5IMtotnyknotMMfttTM*aprotiMsapart,outWMAN»syatfmc*.

nottovowirw»mfMo«v

ofMMrWW<0«tMVl0f5n»p«»puttMptKMto0rthefjgNniocfMte

andtt)MeautyUMMW川

wmKhing«wwtnx(MnlmtfM40e».

wcm«V»OHIC«HmmmeMOW(>o«sMneat*tomyknowwdy9

thatcanImpactOKWonofmtthenwtswg5nuT,ho*woeummo«*Van”

(WHopuftMmxxDnsfor9Mmpla.»ngg

nuking

nntMWndMT5odMrt«nim*)upho«tSvrrio^w^

WtU(bvt*pcWMMK^OftNSjmCKtd13"togMMtoWMHIwJutnwnt

toe询

MOWmuch<UUoo<n»«<ju>MOOTOMJIM(>iof4iio»-aMKaausetone*a&

wno%»tofJAMjrtxsMcreaw/incVdmgsutfttkx(X«lpMXtetttxand

*r«05«g0TM0UrttyofmypythonandR»nanCMUFMAMtopeteoan

OfiMiUOonr«xpaM*QAeMuctna.«nd<uu

««RQ*ntKMn(»4.

txxuniMiCtnt■iturtwgftnixadour

inv»5ti0MK>a

10d»c»*3montV»UMngIMMxrno4KWVUC«0d»nc*w«Udnprow>»rofcoapeORfM)ipotWw%CM"

xuhrswMM2ggtMwhypMheMV5«oJn(todnprov*JtwcrtbrMsr054Mlry»

mtlworwnutionSS?X???!S3g»fKMK*2)V>FspraeJ

pAai».TMJanrw(ptnMCMM“5n»V*fkW9*fww*

pQtrtAi»ofw.b»»d»nM«**yonh^wrpotr*wttni#

petOKt(XVWptmKMev*Wnc.MlUM«o*jiutyVi

^cMcwnrsAMme**wrMeKtr»tmtcoun»«xi>oc«eo

avdHcttoMatnwdMm-A$)urnejstMomentto

rM^ontRUcnmgM»ao^xtandcortamgBimatf

betru*川*wtu<conctaMomyewc4nonom

后黑粽瑞士沈*111Ml-*CMR.VOWX冲fMJCQAVMKUXl.3

to»fMMdk.txrtr»m3inr«w^vrknoBthemtnal3»m«nt0f3H»

ofgdxif»rorMayingdwTsJ0WUI»-MKPyou》♦tfylnf

pjrjlytnbyjruymtoprowtfwoppoQMofvrtutyosm»orVM

ano<Mhrpo<rw$K«xr$MtocM

lu»f«M9|Lyou，・vytrtoprowUW

BmcMXxnofyourMJlyM

OwingjadWurtat-ito^uuofout

MWKltgMkXt

ActAaowngtotoyaIDurryoutyou，WAXdid12nMMqic.?AMioouaonMOH-HA*todtctww

xttomthouk]MrapM.r*«pom«Ume

m»aiMvurym<htHOWgw»ausnwotourwwentioft.

surpHMr<«ntHpwou\dneetton.MdnMpomeemucyr

MM«wrchanfRt，b*«M£MftgyourcodtagtMK-4e4*toVMMcuitomg

r*%pom«pQyeookstoth»aiutyvCi

MOOH&tOtMmMdwnxtypeofMMVUIWMtooui