Mandiant是一家專門從事網絡安全領域的公司，總部位于美國。該公司成立于2004年，主要提供網絡安全咨詢、威脅情報、事件響應和網絡安全產品等服務。Mandiant以其在網絡安全領域的專業知識和技術實力而聞名，曾參與調查和解決多起重大網絡安全事件，包括對網絡攻擊的調查、數字取證和威脅情報分析等。Mandiant公司大家可能不熟悉，但提起Fireye，大家一定知道，當初很多黑客一旦遇到Fireye的防御系統，基本放棄。FireEye和Mandiant之間存在著密切的關系，可以說是關聯密切的兩家公司。簡單來說，Mandiant是FireEye的一部分，但也有一些復雜的歷史和業務關系。FireEye在2013年收購了Mandiant。在此之后，Mandiant成為FireEye的子公司，繼續保持其在網絡安全咨詢、威脅情報和事件響應等領域的獨立運作。FireEye將Mandiant的專業知識和技術整合到自己的產品和服務中，進一步提升了其在網絡安全領域的實力和競爭力。然而，2020年底，FireEye宣布計劃將Mandiant分拆出來，使其成為一家獨立的上市公司。這意味著Mandiant將再次成為一個獨立的實體，不再是FireEye的子公司。

Mandiant公司有很多好東西，感興趣的朋友可以訪問其開源站點

https://github.com/mandiant/red_team_tool_countermeasures

        2012 年的卡內基梅隆大學、2015 年的情報與國家安全聯盟（INSA）都試圖提出有關網絡威脅情報（CTI）分析人員的能力框架。以此規范網絡威脅情報分析人員所需要掌握的基礎知識、基本技能與個人能力（KSA）。2022年5月23號Mandiant發布了一個全面的網絡威脅情報（CTI）分析師核心能力框架，該框架可以理解為在CTI學科基礎上進一步確定和細化了CTI分析師成長的基本知識、素質和能力（KSA），原文里寫了非常詳細和具體的指標性內容讓讀者去參考，感興趣的可以直接查看原文，今天我想通過自己的理解來解讀一下。

該框架將個人能力分為4方面，解決問題、專業成效、技術素養和熟悉網絡威脅。

Mandiant 認為網絡威脅情報分析人員的個人能力有四個方面：

• 研究解決問題
• 保持專業高效
• 技術基礎牢固
• 熟悉網絡威脅

1.網絡威脅情報分析師核心能力框架

1.1研究解決問題

1.1.1批判性思維

批判性思維是一種認知過程，使分析員能夠客觀評估信息，生成有堅實依據的判斷，并制定富有洞察力的建議。在網絡安全背景下，這項能力尤為重要，分析員需在此過程中駕馭復雜的威脅環境，評價情報來源的可靠性，并確保其工作與組織的使命、愿景和目標相吻合。

具體而言，具備批判性思維的網絡威脅情報分析員應具備以下能力：

1. 運用情報生命周期：遵循情報收集、分析、傳遞、反饋等各階段的標準流程，確保情報工作的系統性和完整性。
2. 識別一、二、三階效應：理解某一事件或決策可能帶來的直接、間接及長遠影響，進行多層級、全方位的考量。
3. 評估情報源信譽：根據情報源的可靠性、信息獲取層級及情報獲取渠道的特性，判斷情報的真實性和可信度。
4. 運用歸納與演繹推理：在處理數據集和供應商報告時，能運用從特殊到一般（歸納推理）和從一般到特殊（演繹推理）的方法，以邏輯嚴密的方式解讀數據。
5. 應用結構化分析技術（SATs）和同行評審：借助結構化分析方法（如矩陣分析、假設樹、情境分析等）降低固有的認知偏見，同時通過同行間的審查和討論進一步確保分析的客觀性和準確性。
6. 構建與評估競爭性假設：能提出多種可能的解釋或預測，并基于證據進行比較、驗證，確保結論的全面性和穩健性。

批判性思維還包括創新思維和趨勢預測能力，要求分析員具備跳出常規、構思新穎解決方案和分析框架的能力，這對于研究、數據收集及有效溝通至關重要。

1.1.2研究與分析

研究與分析能力體現在分析員能否根據利益相關者的需求，制定情報要求，并在收集管理框架內對數據集和工具進行優先級排序。研究工作運用邏輯與嚴謹的推理，從技術與非技術數據源中發掘新線索、建立新聯系，最終得出明確的分析結論。網絡威脅情報研究涵蓋廣泛的領域，如提取入侵指標、識別具有相似特征的文件、追蹤網絡威脅團伙使用的惡意基礎設施等。分析工作則涉及對研究結果的解讀與整合。

在研究與分析過程中，分析員應：

• 理解各類入侵指標（IOCs）的用途及局限性：包括原子指標（如IP地址、URL）、計算指標（如哈希值、正則表達式）以及行為指標（如異常網絡行為模式）。
• 確定如何豐富現有數據集：識別所需數據類型、獲取途徑及整合方法。
• 具備惡意軟件分析、網絡流量檢測和日志事件數據分類能力：能深入剖析惡意代碼、監控網絡通信狀況、高效處理日志信息。

為充實現有情報收集并深化對網絡威脅團伙的認識，分析員應具備以下研究技能：

• 挖掘、解釋、提取并存儲來自內部、商業和開源數據集的相關內容，這些數據集包括：

• 被動DNS（pDNS）記錄：如PassiveTotal/RiskIQ、Domain Tools提供的數據。
• Netflow數據：如Team Cymru Augury提供的互聯網流量數據。
• 互聯網掃描數據：如Shodan、Censys.io提供的公開服務掃描結果。
• 惡意軟件庫：如VirusTotal、HybridAnalysis、any.run中的樣本。
• 網絡流量：如通過Packet Captures（PCAP）捕獲的數據。
• 沙盒提交：對可疑文件或行為的隔離測試結果。
• 基于主機的系統事件日志：記錄系統運行狀況及異常事件。

分析技能則包括查詢數據集、構建邏輯數據模型與標簽系統、對非結構化數據進行規范化處理、解讀數據以揭示隨時間變化的趨勢和模式。研究與分析技能還要求分析員能檢查各種技術工件，無論是基于主機（如腳本和編譯的惡意軟件）還是基于網絡（如基礎設施關系和域名結構）。熟悉Python等腳本語言、SQL查詢、Jupyter或Zeppelin等數據分析環境、Tableau或PowerBI等可視化工具，以及快速處理數據集的其他工具，都將極大助力研究與分析工作。此外，強大的統計推理能力也是必不可少的，包括對假設檢驗、統計顯著性、條件概率、抽樣和偏差等概念的理解。

研究與分析能力還受益于語言能力、文化背景和地域知識的豐富。

1.1.3調查型思維

調查型思維意味著分析員能理解復雜挑戰，并開發出創新解決方案。這種思維方式要求深入理解網絡威脅行為者及其戰術、技術和程序（TTP），掌握現有的網絡威脅情報框架、工具和IT系統。調查型思維要求保持開放態度，判斷現有結構、框架或工具是否需要改進，或是否需要針對對手技戰術創新開發新的工具和方法。此外，調查型思維有助于分析員培養直覺，從海量信息中識別關鍵信號。與批判性思維相比，調查型思維更注重將研究與分析相結合，識別并糾正認知和邏輯偏見，同時運用結構化分析技術來克服這些偏見。

1.2保持專業高效

1.2.1溝通能力

具備通過撰寫完成的情報（FINTEL）產品、幻燈片演示、電子郵件、Confluence 或 SharePoint 頁面、內部工單以及簡報等不同形式，有效地向各類受眾呈現分析結論、研究成果與方法的能力。采用“關鍵點前置”（Bottom-Line Up-Front, BLUF）和執行摘要這兩種有效方式來展示分析發現。

核心原則之一是識別并適應不同的溝通風格，這包括針對不同受眾選擇合適的媒介、語言、信息傳達方式、節奏以及偏好，這些受眾可能從戰略層面的高管到高度專業的技術實踐者，如檢測工程師和安全架構師不等。此外，還包括與媒體及外部聯絡伙伴合作。可利用現有的網絡威脅情報（CTI）框架，以圖形化方式描繪組織威脅模型、入侵活動、對手操作流程以及技術性與非技術性對手特征之間的關系。例如：

• 以網絡威脅概況展現組織面臨的實際威脅
• 采用以CTI為中心的殺傷鏈展現對手的操作手法
• 通過聚類分析入侵活動來定義入侵集或活動組
• 使用標準化術語構建對手工作流、劇本和狩獵包
• 利用Maltego、MISP或其他鏈接分析工具、工作臺或超圖，揭示對手工具、基礎設施、身份與疑似關聯之間的聯系

清晰地使用概率性語言表達判斷至關重要，這樣可以使判斷與事實和直接觀察脫鉤。同樣重要的是使用精確語言以確保傳達意圖，避免引發不必要的恐慌。運用AIMS（受眾、意圖、信息、故事）等敘事框架有助于分析師傳達評估結果。

最后，了解信息共享標準及利益相關群體至關重要。這包括使用Structured Threat Information Expression（STIX）4或JavaScript Object Notation（JSON）等技術標準，通過Trusted Automated eXchange of Intelligence Information（TAXII）5或其他渠道在機器間交換信息，參與行業特定的信息共享團體以及公私合營的信息共享與分析中心和組織（ISACs和ISAOs）。熟悉用于對抗網絡行動的網絡安全政策和執法機制，如下線、制裁、起訴、突擊檢查以及公共預警和宣傳運動等。

1.2.2團隊協作與情緒智能

具備與同僚和領導層有效互動的能力，營造一個接納多元背景、技能、知識和經驗的協作文化，共同識別并解答關鍵情報問題（KIQs）。借助個體的獨特特性，團隊能提供同伴輔導和學習機會，填補知識與技能空白，同時建立團結互信的文化。能夠與利益相關方合作，獲取關于業務運營、信息缺口和決策過程的信息，有助于指導威脅情報工作并提升成效。

情緒智能包括培養良好的判斷力和情境意識，理解何時以及如何與同僚、領導或客戶互動，并認識到不良行為對組織的影響。情緒智能的四個核心技能分別是自我認知、自我控制、社會認知和關系管理。

1.2.3商業洞察力

理解組織的使命、愿景、目標，以及商業決策如何影響組織的網絡風險暴露。例如，潛在的合并與收購或在新地理區域擴大運營范圍等決策。戰略方向的轉變可能導致組織重新評估對商業秘密和知識產權的風險。網絡威脅分析師可能需要就風險暴露的變化提供凈評估，并重新審視那些具有意圖、能力和機會威脅組織的網絡團體。組織領導層的公開言論也可能帶來網絡風險。CTI分析師應能理解并評估威脅情報對業務的可衡量價值。

了解組織結構和內部政治如何影響網絡安全合作與決策至關重要。商業洞察力包括理解組織各組成部分使用的詞匯、術語和思考框架，使分析師能夠以更符合利益相關者關切的方式闡述發現，比如在風險背景下表述威脅、說明實施特定網絡安全措施的投資回報率或提出預算需求。理想情況下，敏銳的商業洞察力意味著能在情報生命周期的每個階段找到與業務的契合點。

1.3技術基礎牢固

1.3.1企業IT網絡能力

具備理解操作系統原理的能力，涵蓋以下方面：

• 系統架構中的設計決策及其對文件存儲、內存管理和網絡連接的影響
• 內部和域連接工作站與服務器上身份、訪問權限和授權的管理、分配與維護方式
• 如何向用戶賬戶和進程分配安全角色和屬性
• 操作系統事件日志中存儲的原生信息
• 用戶憑據、遠程連接和共享驅動器映射的存儲方式
• 內核在安全策略執行中的作用
• 系統之間如何通信，以及不同類型通信所使用的協議（如RDP、SSH、SMB、FTP、DNS和HTTP(S)）
• 向集中式日志平臺轉發事件的功能

理解圍繞企業網絡設計的商業決策：

• 為何企業網絡通常選擇虛擬環境而非物理工作站和服務器
• 為何特定操作系統因其滿足業務需求而被優先選用
• 技術進步和云服務的采用如何增強業務功能，以及擴展網絡邊界對安全的影響

1.3.2技術素養

掌握與網絡安全防御措施、過程、技術和崗位相關的核心概念、組件和約定。關鍵在于了解行業最佳實踐和框架，如美國國家標準與技術研究所（NIST）的網絡安全框架（CSF），以及防御手段和技術如何至少對應五種網絡安全階段之一（識別、保護、檢測、響應和恢復）。

1.關鍵概念

• 訪問控制
• 身份和訪問管理
• 多因素認證
• 需知原則
• 網絡分段
• 公鑰基礎設施（PKI）
• 對稱與非對稱加密應用場景
• 基于簽名和基于行為的檢測（如Yara和Snort）
• 模糊哈希算法（如SSDeep）
• 威脅狩獵與事件響應
• 紅隊、紫隊與主動防御
• 零信任架構

關鍵計劃、流程與政策文檔：

• 業務連續性計劃（BCP）
• 災難恢復計劃（DRP）
• 事件響應（IR）計劃

系統配置、標準化與賬戶管理：

• IT資產庫存管理
• 配置管理與黃金鏡像
• 特權賬戶管理

2.安全相關技術

• 網絡與邊界設備

• 防火墻
• 郵件檢查與沙箱
• 入侵檢測與預防系統（IDS/IPS）
• Netflow收集器

• 終端

• 防病毒軟件
• 終端檢測與響應（EDR）
• 擴展檢測與響應（XDR）

• 集中式日志收集及相關技術

• 安全信息與事件管理系統（SIEM）
• 用戶實體行為分析（UEBA）
• 安全編排、自動化與響應（SOAR）

1.3.3組織內網絡安全角色與職責

理解網絡安全及其相關崗位的角色、職責以及組織內各職能間的相互作用：

• 安全運營中心（SOC）一級監控臺分析師
• SOC二級分析師與事件響應者
• SOC三級分析師與團隊負責人
• 法證分析師
• 反向工程師
• 漏洞分析師
• 安全架構師
• 檢測工程師
• 紅隊
• 藍隊
• 紫隊
• 監管、風險管理和合規（GRC）
• 首席隱私官
• IT支持與服務臺

對于分析師而言，建立明確的RACI（負責、問責、咨詢、告知）矩陣和服務等級協議（SLAs）有助于澄清與跨職能網絡安全合作伙伴之間關于同行評審、情報產品開發和請求補充信息的期望與責任。

1.4熟悉網絡威脅

1.4.1攻擊行動驅動力

具備刻畫攻擊性網絡計劃的組織構成、構成崗位及其影響能力發展和達成任務目標的運營決策能力。此類決策點包括將有限資源用于外包網絡計劃的部分元素，購買運營工具、聘請承包商支持或購買犯罪能力。其他決策點包括根據法律權限強迫個人和公司支持此類計劃，以及創建運營前哨公司。

該能力的第二個原則是識別國家、犯罪分子和意識形態動機黑客進行網絡行動背后的深層動機、歷史背景及其相關意義。這包括國家利用網絡行動作為治國工具，以實現地緣政治目標，從進行間諜活動以竊取敵對國雙邊或多邊立場的外交或軍事信息，到為談判做準備，再到網絡賦能的影響力行動以及在軍事行動前后的破壞性攻擊。

深入理解和平時期可接受行動及其在戰時的轉變至關重要。此外，分析師應能識別那些踩踏可接受使用界限、推動現有規范的行動，如影響世界水資源匱乏地區水凈化能力的行動。

同樣，該能力的關鍵原則是能夠追溯敵對行動的歷史和發展，按網絡威脅團體區分。大量歷史實例有助于描繪網絡行動使用和驅動力的演變，使分析師能夠識別趨勢線和威脅團體之間的偏離。這也包括根據國家長期目標或對戰術情況的響應來預測目標選擇，而非僅識別潛在的目標機會。

1.4.2網絡威脅熟練度

具備識別并應用適當的CTI（網絡威脅情報）術語和框架來跟蹤和傳達對手能力或活動的能力。該能力還涉及理解網絡威脅術語的演變、各種CTI框架發展的理由以及它們幫助CTI社區解決了哪些問題。網絡威脅被定義為行動者意圖/動機、能力和機會的函數，其中重點放在威脅行動者能力上。

• 漏洞與利用：

• 通用漏洞評分系統（CVSS）：
• 通用漏洞與暴露（CVE）系統：
• 軟件漏洞類別：
• 并非所有漏洞都可被利用：
• 零日和N日漏洞：
• 利用開發與漏洞武器化：
• 利用與感染鏈：
• 補丁管理生命周期：
• 利用采購灰色市場：
• 漏洞賞金計劃的作用：

• 惡意軟件：

• 解釋惡意軟件執行鏈，從第一階段投放器到啟動器再到后滲透工具：
• 解釋對手如何通過命令與控制（C2）服務器與惡意軟件交互：
• 解釋惡意軟件如何與C2服務器通信：
• 解釋使用腳本與編譯惡意軟件的實用性差異：
• 識別模塊化惡意軟件或構建器使用：
• 惡意軟件即服務市場：

• 基礎設施：

• 惡意軟件和利用交付所用基礎設施與C2和數據泄露所用基礎設施的差異：
• 托管服務的選擇與偏好：
• 托管提供商提供的隱私保護或基于歐盟隱私指令的隱私保護：
• 動態DNS：

• 歸屬、入侵聚類與命名約定：

• 入侵活動的特征：
• 創建入侵集簇以表征活動類型：
• 識別并區分入侵活動的獨特、新穎屬性以及作為歸屬與聚類支持的錨定功能的常見屬性：
• 供應商對網絡團體入侵活動的命名約定，以及為什么供應商通常不借用彼此已有的名稱：
• 如何映射各種供應商名稱以識別相似網絡威脅團體的威脅活動：

• CTI框架：

• FAIR（信息風險因素分析）或VERIS（事件記錄與共享詞匯）用于威脅建模：
• 洛克希德·馬丁網絡殺傷鏈、Mandiant針對性攻擊生命周期或統一網絡殺傷鏈，以視覺方式描繪對手行動的各個離散階段：
• 鉆石模型用于入侵分析的聚類、跟蹤與分組：
• MITRE ATT&CK框架，包含對手操作TTPs：
• MITRE ATT&CK Navigator，用于創建時間限定的對手TTPs劇本：

1.4.3威脅行動者與TTPs

具備辨識跨網絡威脅團體的供應商命名約定、其國家或犯罪附屬關系，以及理解某些團體在網絡行動中采用的戰術、技術和程序（TTPs）的能力。該能力的關鍵原則是，分析師應能識別網絡殺傷鏈上的關鍵指標，以確定對手操作工作流和偏好。這些偏好也考慮了運營基礎設施的托管服務選擇和網絡匿名化技術。

分析師應能列舉初始訪問向量的范圍，并識別各種威脅團體表現出的操作偏好，從魚叉式網絡釣魚到使用被黑網站進行載荷交付，再到在目標物理位置附近進行近距離訪問操作。同樣，分析師應理解對手常用的內部偵察命令，用于進行系統、網絡和文件發現。這包括理解橫向移動技術，如使用代理鏈、修改IP表、端口或反向轉發，以及每種方法的優缺點。

分析師應能解釋為什么威脅團體通常只在受害者網絡中保持少數立足點，幾乎完全依賴受害者網絡中的單一系統進行數據暫存，并在利用、信標發送、交互操作和數據泄露中使用不同的C2服務器。同樣，分析師應熟悉為什么網絡操作員更傾向于使用惡意軟件而非直接與遠程shell交互的原因。最后，分析師應能解釋為什么和如何威脅團體采用網絡混淆技術，如協議隧道、主機反取證技術和惡意軟件內部的主機混淆。

參考鏈接：

https://www.mandiant.com/sites/default/files/2022-05/cti-analyst-core-competencies-framework-v1.pdf