成功的分析師需要掌握的最重要的技能之一是：了解何時(shí)以及為何必須使用某些工具或產(chǎn)品。

　　HW結(jié)束了，是否感受到了分析師和分析能力的短缺？在全球范圍內(nèi)，安全分析師的需求增長都是最快的。

　　安全分析師是時(shí)間機(jī)器；安全分析師需要批判性思維；分析是人機(jī)協(xié)同的工作；組織可以培養(yǎng)分析文化……

　　這是SANS發(fā)布的《2021安全分析師需要掌握的高級(jí)技能報(bào)告》，也是一份安全分析師進(jìn)階指南。

　　隨著越來越多的組織通過建立自己的安全運(yùn)營中心（SOC）或通過參與托管安全服務(wù)來改善其安全運(yùn)營，對(duì)安全相關(guān)角色的需求比以往任何時(shí)候都高。根據(jù)Cybersecurity Ventures的職位報(bào)告，到2021年，安全相關(guān)職位空缺達(dá)到了350萬。

　　在所有安全相關(guān)職位中，安全分析師尤其短缺。美國勞工統(tǒng)計(jì)局報(bào)告稱，從2019年到2029年，僅美國信息安全分析師的需求預(yù)計(jì)將增長31％，遠(yuǎn)快于所有職位需求的平均水平。作為該領(lǐng)域收入最高的工作之一，安全分析師必須成為所有行業(yè)的大師，本質(zhì)上是“全方位防御者”，他們?cè)谕{檢測(cè)方面非常稱職，同時(shí)還具有出色的分析和溝通技巧。但是，要?jiǎng)偃芜@個(gè)角色，需要具備哪些技術(shù)和非技術(shù)技能？行業(yè)安全解決方案如何增強(qiáng)分析師的能力，使其變得更加有效？

　　SANS發(fā)布的這份報(bào)告將首先探討使安全分析師成功的原因。這個(gè)關(guān)鍵步驟通常被忽略。這可能導(dǎo)致對(duì)分析師和雇主的錯(cuò)誤期望，從而導(dǎo)致更高的人員流失和職業(yè)倦怠。報(bào)告還將研究安全分析師需要掌握的最有效技能，以有效地保護(hù)端點(diǎn)、網(wǎng)絡(luò)和云之間的組織，并與報(bào)告中提出的模型保持一致。

　　分析師是“時(shí)間機(jī)器”

　　神經(jīng)科學(xué)家Dean Buonomano在他的書《大腦是臺(tái)時(shí)光機(jī)》中，解釋了人腦如何不斷做出實(shí)時(shí)預(yù)測(cè)，不僅是“接下來會(huì)發(fā)生什么”，還包括“何時(shí)會(huì)發(fā)生”。借助記憶和認(rèn)知，我們的大腦成為了時(shí)間機(jī)器：我們可以在時(shí)間上來回移動(dòng)。

　　時(shí)間一直是戰(zhàn)爭的重要組成部分，網(wǎng)絡(luò)安全也不例外。作為全方位的防御者，安全分析師一直在堅(jiān)持不懈地戰(zhàn)斗，而時(shí)間是至關(guān)重要的因素。

　　但是，我們以產(chǎn)品為中心的行業(yè)通常會(huì)促使安全專業(yè)人員在學(xué)習(xí)工具和技術(shù)上投入過多的精力，而沒有對(duì)其分析的質(zhì)量給予足夠的重視。實(shí)際上，成功的分析師需要掌握的最重要的技能之一就是了解何時(shí)以及為何必須使用某些工具或產(chǎn)品。理解這一點(diǎn)可能會(huì)在與攻擊組織的對(duì)抗中有所幫助。

　　幸運(yùn)的是，分析人員可以使用幾種安全模型和框架來發(fā)展和提高他們的技能，其中包括：

　　1、MITER ATT＆CK?

　　MITER ATT＆CK?是所有分析人員都應(yīng)該熟悉的框架，因?yàn)樗刮覀兡軌蛄私庖烙膶?duì)手。面向企業(yè)的MITER ATT＆CK矩陣可以看作是棋盤。板上的每個(gè)方塊都可以在某一時(shí)刻與攻擊者的戰(zhàn)術(shù)、技術(shù)和規(guī)程（TTP）進(jìn)行比較?？梢哉f，像攻擊者這樣的思維可以幫助分析師預(yù)測(cè)未來，或在一定程度上預(yù)測(cè)可能的走勢(shì)，從而使他們成為更好的防御者。熟悉攻擊者的行為也可以幫助分析師理解過去發(fā)生的事情，使他們的大腦成為時(shí)間機(jī)器，在攻擊鏈中來回移動(dòng)。

　　盡管ATT＆CK提供了一種描述攻擊者行為的語言，但沒有提供描述防御者的行為和思想語言或分類法。以下模型可以幫助我們描述這些。

　　2、基于時(shí)間的安全性（TBS）

　　基于時(shí)間的安全性（TBS）提供了一種方法論，是定量和經(jīng)過數(shù)學(xué)驗(yàn)證的方法，通過回答以下問題來了解產(chǎn)品或技術(shù)提供了多少安全性：

　　1）系統(tǒng)暴露多長時(shí)間？

　　2）我們發(fā)現(xiàn)攻擊需要多長時(shí)間？

　　3）我們需要多長時(shí)間進(jìn)行回應(yīng)？

　　這個(gè)簡單的模型對(duì)于安全分析人員了解時(shí)間在日常工作中的重要性至關(guān)重要。盡管TBS可用于評(píng)估安全體系結(jié)構(gòu)的有效性，但它也將重點(diǎn)放在了分析人員作為SOC一部分的檢測(cè)和響應(yīng)過程的有效性中，指出何時(shí)需要更長的時(shí)間來檢測(cè)和響應(yīng)入侵。而不是安全措施所提供的保護(hù)時(shí)間（即，如果P <D + R），那么攻擊者將獲勝。參見圖1。

　　3、OODA（觀察-決定-行動(dòng)）循環(huán)

　　OODA（觀察-決定-行動(dòng)）循環(huán)始于1976年，當(dāng)時(shí)美國空軍上校John Boyd發(fā)表了關(guān)于在空戰(zhàn)中獲得戰(zhàn)斗優(yōu)勢(shì)的抽象概念。Boyd的關(guān)鍵概念是決策周期的概念，即現(xiàn)在著名的OODA循環(huán)（請(qǐng)參見圖2）。

　　在這種模型中，Boyd假定勝利是授予能夠做出最快反應(yīng)的戰(zhàn)斗員。攻擊者和防御者都在時(shí)間限制下運(yùn)行，但是能夠在動(dòng)態(tài)環(huán)境中做出反應(yīng)的速度比攻擊者更快的防御者可以在這種情況下獲得競(jìng)爭優(yōu)勢(shì)。再次，我們看到時(shí)間是任何安全分析師考慮的關(guān)鍵因素。循環(huán)的四個(gè)步驟是：

　　1）觀察-感知環(huán)境，收集信息并調(diào)查情況。

　　2）定向-分析收集的數(shù)據(jù)以形成假設(shè)并獲得觀點(diǎn)。

　　3）決定-根據(jù)之前階段制定針對(duì)情況的行動(dòng)計(jì)劃。

　　4）行動(dòng)-使決策付諸實(shí)施。

　　此循環(huán)的關(guān)鍵是在定向階段進(jìn)行的活動(dòng)和批判性思維，以及它是一個(gè)迭代反饋模型的事實(shí)，該模型允許分析師根據(jù)分析結(jié)果來調(diào)整決策。沒有反饋，分析師將無法根據(jù)新證據(jù)、新數(shù)據(jù)或以前的經(jīng)驗(yàn)來修改決策。

　　更少的任務(wù)和更多的批判性思維

　　安全分析師是問題解決者，解決問題需要特定的技能。分析師本質(zhì)上是一個(gè)調(diào)查員，也可以被描述為思想家，他是一個(gè)善于研究方法論而且分析能力強(qiáng)的人。調(diào)查技能在許多行業(yè)中至關(guān)重要，包括記者、統(tǒng)計(jì)學(xué)家、醫(yī)生和考古學(xué)家。他們?nèi)绾芜M(jìn)行調(diào)查，我們是否可以學(xué)習(xí)這些技能？學(xué)習(xí)任何新技能的關(guān)鍵是定義它，并將其分解為邏輯步驟，建立可以遵循和系統(tǒng)地重復(fù)的過程。調(diào)查過程也不例外，并且可以通過這種方式進(jìn)行有效解釋。

　　要了解調(diào)查過程，有必要在調(diào)查任務(wù)和研究思維（也稱創(chuàng)造性思維）之間進(jìn)行區(qū)分。調(diào)查任務(wù)涉及信息收集過程，該過程收集到創(chuàng)造性思維中（例如OODA循環(huán)），分析信息并創(chuàng)建理論或假設(shè)以制定調(diào)查計(jì)劃的過程。讓我們考慮其中每個(gè)子流程以及與之相關(guān)的技能，如下所示：

　　1、調(diào)查任務(wù)

　　這些職責(zé)在多個(gè)網(wǎng)絡(luò)安全角色中是共有的。SOC分析師、事件分析師、事件響應(yīng)者和威脅狩獵執(zhí)行與識(shí)別證據(jù)、收集信息、收集證據(jù)，以及在許多情況下保存證據(jù)相關(guān)的任務(wù)。角色之間的主要區(qū)別在于流程的開始位置。SOC分析師通常從報(bào)警開始調(diào)查，而威脅狩獵則從假設(shè)或問題開始工作，包括：

　　1）分析人員在此類別中需要掌握哪些關(guān)鍵技能？大多數(shù)與數(shù)據(jù)收集和轉(zhuǎn)換有關(guān)。編程和自動(dòng)化技能對(duì)于從網(wǎng)絡(luò)、端點(diǎn)、應(yīng)用程序和其他日志存儲(chǔ)庫（例如安全信息和事件管理/SIEM、數(shù)據(jù)聚合工具）收集數(shù)據(jù)至關(guān)重要。這些技能對(duì)于大規(guī)模處理數(shù)據(jù)也很有用。學(xué)習(xí)一種可以跨多種平臺(tái)（例如PowerShell或Python）輕松獲得的編程語言，以及系統(tǒng)命令行腳本（例如Bash），都可以提供巨大的幫助。

　　2）在網(wǎng)絡(luò)方面，具有tcpdump、Wireshark或其他網(wǎng)絡(luò)流量監(jiān)視工具捕獲流量的能力，在網(wǎng)絡(luò)可能為我們的分析增加重要證據(jù)的許多情況下會(huì)有所幫助。

　　2、研究思維

　　不幸的是，如前所述，分析人員花費(fèi)太多時(shí)間執(zhí)行調(diào)查任務(wù)，而很少花費(fèi)時(shí)間進(jìn)行批判性思維或研究性思維。想象一下，一個(gè)偵探只收集證據(jù)，卻從不分析得出結(jié)論的效率將是多么低下！這就是為什么許多分析師最終會(huì)以自動(dòng)駕駛模式運(yùn)行，而不是執(zhí)行OODA循環(huán)的重復(fù)階段的原因。

　　安全分析師必須利用研究或批判性思維?？梢酝ㄟ^開發(fā)旨在分析收集到的信息的技能，發(fā)展關(guān)于發(fā)生的事情和事件發(fā)生的方式的理論，利用上下文和直覺以及建立合理的假設(shè)來磨練批判性思維。分析師該怎么做？首先，我們必須花時(shí)間反思我們根據(jù)所見所聞所做出的決策。這意味著要有一種懷疑的心態(tài)，目的是盡可能客觀地探索所有替代方案。

　　分析師的最佳做法包括：

　　問問題。人類通過問題學(xué)習(xí)，研究人員也通過問題解決事件。多年來，來自中央情報(bào)局和執(zhí)法部門的調(diào)查人員一直在使用競(jìng)爭假設(shè)分析（ACH）模型。ACH是一種分析過程，可識(shí)別一組替代假設(shè)并評(píng)估可用數(shù)據(jù)是否與每個(gè)假設(shè)一致或不一致。數(shù)據(jù)最不一致的假設(shè)將被拒絕。

　　通過提出問題，分析師會(huì)仔細(xì)權(quán)衡證據(jù)，并考慮其他解釋或結(jié)論。這種結(jié)構(gòu)化的方法可幫助分析師克服或至少最小化許多SOC中常見的認(rèn)知限制。這種采用問題和假設(shè)的科學(xué)方法對(duì)我們?cè)S多人來說在數(shù)字取證領(lǐng)域也不是新鮮事。許多安全專家和研究人員已撰寫了有關(guān)在網(wǎng)絡(luò)安全領(lǐng)域使用此方法的文章。

　　盡管經(jīng)驗(yàn)豐富的分析師會(huì)在調(diào)查過程的早期就提出更多問題，但較新的分析師往往會(huì)做出假設(shè)并開始做出決策并采取行動(dòng)，而不會(huì)引起太多質(zhì)疑。大多數(shù)時(shí)候，調(diào)查都是從廣泛的問題開始的，最終會(huì)導(dǎo)致更具體的問題，這些問題可以帶我們?nèi)グl(fā)現(xiàn)更多的證據(jù)。這些問題使我們?cè)谡{(diào)查期間面臨不確定性情況時(shí)可以收集更多的背景信息和范圍。

　　向后推理。向后推理可以將分析師的大腦用作時(shí)間機(jī)器，以具體方式對(duì)過去的事件進(jìn)行推理，假設(shè)在攻擊的每個(gè)階段都必須發(fā)生什么才能到達(dá)安全控制臺(tái)中顯示的警報(bào)。由于后向思維只是因果關(guān)系思維的一種，因此使用諸如洛克希德·馬丁公司的Cyber KillChain?或MITER ATT＆CK之類的模型來了解攻擊的邏輯步驟，對(duì)于支持這些推斷和推論至關(guān)重要。

　　不要線性思考。據(jù)說攻擊者以圖表的方式思考，而防御者以列表的方式思考。這是指許多安全分析人員依靠靜態(tài)和線性劇本來響應(yīng)威脅這一事實(shí)。盡管響應(yīng)手冊(cè)在應(yīng)對(duì)已知威脅時(shí)會(huì)有所幫助，但很多時(shí)候分析人員面臨著從未見過或未解決過的新事件、新挑戰(zhàn)和新難題。這表明，分析師需要使用本報(bào)告中描述的工具和方法進(jìn)行批判性思考并考慮一種或多種合理的途徑。

　　注重細(xì)節(jié)，克服無意識(shí)的偏見，不要錯(cuò)過“大猩猩”。在高度動(dòng)態(tài)的環(huán)境（例如我們的網(wǎng)絡(luò)）中，很難發(fā)現(xiàn)攻擊。在認(rèn)知密集型工作中，將我們的注意力集中在某些事情上很容易，有時(shí)會(huì)錯(cuò)過完全可見但出乎意料的事件，這被稱為疏忽性失明。著名的例子是Daniel Simons和Christopher Chabris在1999年開發(fā)的“隱形大猩猩”實(shí)驗(yàn)。

　　在該實(shí)驗(yàn)中，研究參與者被要求觀看一段視頻，其中有兩支球隊(duì)，一支穿著黑襯衫，一支穿著白襯衫，正在傳球。告訴參與者統(tǒng)計(jì)穿白襯衫的球員傳球的次數(shù)。錄像中途，一只大猩猩走進(jìn)現(xiàn)場(chǎng)，站在中間，敲打他的胸部，然后退出。當(dāng)詢問研究參與者是否看到大猩猩時(shí)，超過一半的人承認(rèn)他們完全錯(cuò)過了大猩猩。

　　為了不遺漏類似的隱形大猩猩，信息安全分析師必須仔細(xì)研究他們正在研究的系統(tǒng)，并注意行為或性能的偏差或變化。在調(diào)查的每個(gè)步驟上做筆記并使用諸如ACH之類的方法可以幫助消除注意力不集中以及無意識(shí)的偏見。

　　像孩子一樣好奇而靈活。好奇心可能是分析師必須不斷培養(yǎng)和培訓(xùn)的最重要技能之一。好奇可以幫助安全分析師好奇、拉線程、探索和提出問題（而不僅僅是在自動(dòng)駕駛模式下做出反應(yīng)）。培養(yǎng)好奇心的一種方法是發(fā)展跨學(xué)科技能。許多出色的分析師沒有計(jì)算機(jī)科學(xué)或工程領(lǐng)域的正式背景，而是來自與藝術(shù)有關(guān)的其他領(lǐng)域，或者喜歡與技術(shù)無關(guān)的愛好。這為他們提供了更廣泛的體驗(yàn)，可以幫助他們通過不同的視角來感知世界，并幫助他們觀察異常。

　　孩子們也很靈活，他們不為改變主意或接受自己不了解的一切而感到羞恥，相反，他們通常足夠靈活以適應(yīng)和學(xué)習(xí)。安全分析人員還必須準(zhǔn)備好學(xué)習(xí)和適應(yīng)（再次考慮OODA循環(huán)中的迭代反饋）。就像在空戰(zhàn)中一樣，在任何領(lǐng)域中獲得優(yōu)勢(shì)的關(guān)鍵是在高度動(dòng)態(tài)的環(huán)境中的靈活性和敏捷性。

　　調(diào)查和OODA循環(huán)

　　在這一點(diǎn)上，批判性思維技巧以及諸如OODA循環(huán)和TBS之類的模型可以幫助我們成為更好的安全分析師。表1總結(jié)了安全分析人員必須有效掌握的一些頂尖技能，才能有效地跨端點(diǎn)、網(wǎng)絡(luò)和云保護(hù)其組織。當(dāng)您瀏覽該表時(shí)，請(qǐng)考慮以下問題：我需要花費(fèi)多長時(shí)間才能完成這些步驟中的每一個(gè)步驟，以及在循環(huán)中的每個(gè)點(diǎn)上需要多少粒度？

　　分析是人機(jī)協(xié)作的工作

　　《哈佛商業(yè)評(píng)論》將人工智能稱為“我們時(shí)代最重要的通用技術(shù)”，并將其與內(nèi)燃機(jī)相比，它具有重塑我們所做的一切并改變每個(gè)行業(yè)（包括網(wǎng)絡(luò)安全）的能力。然而，自動(dòng)化和當(dāng)前的AI解決方案取決于人類觀察和理解威脅，然后建立模型或編寫代碼。攻擊者通常會(huì)占據(jù)上風(fēng)的原因是人類觀察現(xiàn)象與機(jī)器幫助之間的時(shí)間差。

　　盡管周期肯定會(huì)隨著時(shí)間的推移而縮短，這些新的AI系統(tǒng)將繼續(xù)學(xué)習(xí)并與SOC的從業(yè)人員直接互動(dòng)，而不是取代他們，因此安全分析人員可以專注于人類最擅長的領(lǐng)域：直覺、上下文、道德、創(chuàng)造力和策略。機(jī)器將改善信息的搜索和收集、匯總、模式匹配、歸納和假設(shè)檢驗(yàn)，業(yè)界稱其為“人機(jī)組合”。

　　在這個(gè)新的網(wǎng)絡(luò)防御時(shí)代，對(duì)于供應(yīng)商而言，提供能夠以增強(qiáng)分析人員的認(rèn)知能力的方式幫助他們轉(zhuǎn)換數(shù)據(jù)，從他們那里獲得方向性反饋，以某種方式組織高背景數(shù)據(jù)源的解決方案將至關(guān)重要。通過觀察分析員的工作來提高分析員的績效和學(xué)習(xí)能力，例如，一個(gè)專家系統(tǒng)可以了解如何通過消除人類過去調(diào)查和消除的報(bào)警來減少實(shí)時(shí)監(jiān)控中的誤報(bào)。這些類型的解決方案將繼續(xù)使安全分析人員能夠執(zhí)行高度認(rèn)知的任務(wù)，從而導(dǎo)致更快的OODA循環(huán)、更快的檢測(cè)和響應(yīng)，并最終實(shí)現(xiàn)更有效的防御。

　　結(jié)論：分析人員不是天生的，

　　是需要開發(fā)和培養(yǎng)的

　　與許多人的看法相反，沒有人天生就是安全分析師。安全分析師本質(zhì)上是一名調(diào)查員，而調(diào)查員是關(guān)鍵的思想家。我們今天所面臨的大部分短缺是由于該行業(yè)對(duì)工具和技術(shù)的高度重視，而不是調(diào)查所需的思維過程或技能。

　　好消息是，批判性思維是一種可以學(xué)習(xí)的能力。我們可以并且應(yīng)該鼓勵(lì)這些技能的發(fā)展。正如本報(bào)告所強(qiáng)調(diào)的那樣，調(diào)查具有清晰、明確的過程，可以解釋這些過程，并取決于可以掌握的技能。TBS和OODA循環(huán)之類的安全模型是理解成功的分析師所需的心態(tài)和技能的良好起點(diǎn)。注重分析和批判性思維的動(dòng)手訓(xùn)練將有助于縮短開發(fā)這些技能所需的時(shí)間。

　　組織還可以培養(yǎng)分析文化，并通過內(nèi)部防御演習(xí)、取證挑戰(zhàn)以及模擬特定攻擊和防御場(chǎng)景并生成數(shù)據(jù)集進(jìn)行分析的分組練習(xí)來幫助提高這些技能。最后，網(wǎng)絡(luò)安全供應(yīng)商可以通過提供增強(qiáng)分析師的認(rèn)知能力并實(shí)施人機(jī)協(xié)作概念的解決方案來幫助彌補(bǔ)這一差距。