那些卓越的威胁分析师

大多数人认为的安全分析人员的工作是样本分析、漏洞分析，实际上这是非常狭隘的，笔者更愿意称这类人群为威胁分析师。

威胁分析师是尖端的一线安全人员，他们直面的是攻击者的数字化武器、威胁数据，以及要分析这些威胁，直面用户进行真正的价值输出！

优秀威胁分析师需要具备哪些认知

• 天生具备好奇心

• 拥有批判性思维

• 理解演绎(deduction)和归纳(induction)的区别，知道如何使用它们

• 会运用5W/1H定律（Why、What 、Where、When、Who /  How）

• 能够随时复盘，意识到自己有意识和无意识的偏见...

• 深厚的的安全知识经验认知，可以非常好的研判威胁信息的可靠性、准确性...

• 竞争性假设分析（analysis of competitive hypothesis），确定假设，列出证据...
  

优秀威胁分析师需要具备哪些技术特质

• 扎实的逆向分析能力，样本和漏洞分析等...

• 扎实的数据分析能力，例如可视化分析常见数据（人员、基础设施、IOC 等...）

• 威胁模式分析能力，如威胁的新兴趋势、共同特征等...

• 红队能力，熟悉攻击者的技战术才能去琢磨对手的企图，会防守的人也是真正的攻击好手...

• 网络安全基础，至少熟悉最基本的计算机网络架构

• 最重要的是良好的描述表达能力，面向不同认知的用户表述威胁
  

威胁分析的价值输出

• 安全运营：报告、IOC、TTP、CoA（防守方可执行的威胁响应方案）

• 安全产品：IOC、TTP、Yara 、NetFlow签名规则等

• CSO认可的威胁分析

• 非技术类VP高管能读懂的威胁分析

• 信息安全人员能认可的威胁分析

• 针对广泛普通人对应的威胁防御方法和安全意识科普

原文始发于微信公众号（QZ的安全悟道）：那些卓越的威胁分析师