大多数人认为的安全分析人员的工作是样本分析、漏洞分析,实际上这是非常狭隘的,笔者更愿意称这类人群为威胁分析师。
威胁分析师是尖端的一线安全人员,他们直面的是攻击者的数字化武器、威胁数据,以及要分析这些威胁,直面用户进行真正的价值输出!
优秀威胁分析师需要具备哪些认知
-
天生具备好奇心
-
拥有批判性思维
-
理解演绎(deduction)和归纳(induction)的区别,知道如何使用它们
-
会运用5W/1H定律(Why、What 、Where、When、Who / How)
-
能够随时复盘,意识到自己有意识和无意识的偏见...
-
深厚的的安全知识经验认知,可以非常好的研判威胁信息的可靠性、准确性...
-
竞争性假设分析(analysis of competitive hypothesis),确定假设,列出证据...
优秀威胁分析师需要具备哪些技术特质
-
扎实的逆向分析能力,样本和漏洞分析等...
-
扎实的数据分析能力,例如可视化分析常见数据(人员、基础设施、IOC 等...)
-
威胁模式分析能力,如威胁的新兴趋势、共同特征等...
-
红队能力,熟悉攻击者的技战术才能去琢磨对手的企图,会防守的人也是真正的攻击好手...
-
网络安全基础,至少熟悉最基本的计算机网络架构
-
最重要的是良好的描述表达能力,面向不同认知的用户表述威胁
威胁分析的价值输出
-
安全运营:报告、IOC、TTP、CoA(防守方可执行的威胁响应方案)
-
安全产品:IOC、TTP、Yara 、NetFlow签名规则等
-
CSO认可的威胁分析
-
非技术类VP高管能读懂的威胁分析
-
信息安全人员能认可的威胁分析
-
针对广泛普通人对应的威胁防御方法和安全意识科普
原文始发于微信公众号(QZ的安全悟道):那些卓越的威胁分析师
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论