成功的分析師需要掌握的最重要的技能之一是：了解何時以及為何必須使用某些工具或產品。

　　HW結束了，是否感受到了分析師和分析能力的短缺？在全球范圍內，安全分析師的需求增長都是最快的。

　　安全分析師是時間機器；安全分析師需要批判性思維；分析是人機協同的工作；組織可以培養分析文化……

　　這是SANS發布的《2021安全分析師需要掌握的高級技能報告》，也是一份安全分析師進階指南。

　　隨著越來越多的組織通過建立自己的安全運營中心（SOC）或通過參與托管安全服務來改善其安全運營，對安全相關角色的需求比以往任何時候都高。根據Cybersecurity Ventures的職位報告，到2021年，安全相關職位空缺達到了350萬。

　　在所有安全相關職位中，安全分析師尤其短缺。美國勞工統計局報告稱，從2019年到2029年，僅美國信息安全分析師的需求預計將增長31％，遠快于所有職位需求的平均水平。作為該領域收入最高的工作之一，安全分析師必須成為所有行業的大師，本質上是“全方位防御者”，他們在威脅檢測方面非常稱職，同時還具有出色的分析和溝通技巧。但是，要勝任這個角色，需要具備哪些技術和非技術技能？行業安全解決方案如何增強分析師的能力，使其變得更加有效？

　　SANS發布的這份報告將首先探討使安全分析師成功的原因。這個關鍵步驟通常被忽略。這可能導致對分析師和雇主的錯誤期望，從而導致更高的人員流失和職業倦怠。報告還將研究安全分析師需要掌握的最有效技能，以有效地保護端點、網絡和云之間的組織，并與報告中提出的模型保持一致。

　　分析師是“時間機器”

　　神經科學家Dean Buonomano在他的書《大腦是臺時光機》中，解釋了人腦如何不斷做出實時預測，不僅是“接下來會發生什么”，還包括“何時會發生”。借助記憶和認知，我們的大腦成為了時間機器：我們可以在時間上來回移動。

　　時間一直是戰爭的重要組成部分，網絡安全也不例外。作為全方位的防御者，安全分析師一直在堅持不懈地戰斗，而時間是至關重要的因素。

　　但是，我們以產品為中心的行業通常會促使安全專業人員在學習工具和技術上投入過多的精力，而沒有對其分析的質量給予足夠的重視。實際上，成功的分析師需要掌握的最重要的技能之一就是了解何時以及為何必須使用某些工具或產品。理解這一點可能會在與攻擊組織的對抗中有所幫助。

　　幸運的是，分析人員可以使用幾種安全模型和框架來發展和提高他們的技能，其中包括：

　　1、MITER ATT＆CK?

　　MITER ATT＆CK?是所有分析人員都應該熟悉的框架，因為它使我們能夠了解要防御的對手。面向企業的MITER ATT＆CK矩陣可以看作是棋盤。板上的每個方塊都可以在某一時刻與攻擊者的戰術、技術和規程（TTP）進行比較。可以說，像攻擊者這樣的思維可以幫助分析師預測未來，或在一定程度上預測可能的走勢，從而使他們成為更好的防御者。熟悉攻擊者的行為也可以幫助分析師理解過去發生的事情，使他們的大腦成為時間機器，在攻擊鏈中來回移動。

　　盡管ATT＆CK提供了一種描述攻擊者行為的語言，但沒有提供描述防御者的行為和思想語言或分類法。以下模型可以幫助我們描述這些。

　　2、基于時間的安全性（TBS）

　　基于時間的安全性（TBS）提供了一種方法論，是定量和經過數學驗證的方法，通過回答以下問題來了解產品或技術提供了多少安全性：

　　1）系統暴露多長時間？

　　2）我們發現攻擊需要多長時間？

　　3）我們需要多長時間進行回應？

　　這個簡單的模型對于安全分析人員了解時間在日常工作中的重要性至關重要。盡管TBS可用于評估安全體系結構的有效性，但它也將重點放在了分析人員作為SOC一部分的檢測和響應過程的有效性中，指出何時需要更長的時間來檢測和響應入侵。而不是安全措施所提供的保護時間（即，如果P <D + R），那么攻擊者將獲勝。參見圖1。

　　3、OODA（觀察-決定-行動）循環

　　OODA（觀察-決定-行動）循環始于1976年，當時美國空軍上校John Boyd發表了關于在空戰中獲得戰斗優勢的抽象概念。Boyd的關鍵概念是決策周期的概念，即現在著名的OODA循環（請參見圖2）。

　　在這種模型中，Boyd假定勝利是授予能夠做出最快反應的戰斗員。攻擊者和防御者都在時間限制下運行，但是能夠在動態環境中做出反應的速度比攻擊者更快的防御者可以在這種情況下獲得競爭優勢。再次，我們看到時間是任何安全分析師考慮的關鍵因素。循環的四個步驟是：

　　1）觀察-感知環境，收集信息并調查情況。

　　2）定向-分析收集的數據以形成假設并獲得觀點。

　　3）決定-根據之前階段制定針對情況的行動計劃。

　　4）行動-使決策付諸實施。

　　此循環的關鍵是在定向階段進行的活動和批判性思維，以及它是一個迭代反饋模型的事實，該模型允許分析師根據分析結果來調整決策。沒有反饋，分析師將無法根據新證據、新數據或以前的經驗來修改決策。

　　更少的任務和更多的批判性思維

　　安全分析師是問題解決者，解決問題需要特定的技能。分析師本質上是一個調查員，也可以被描述為思想家，他是一個善于研究方法論而且分析能力強的人。調查技能在許多行業中至關重要，包括記者、統計學家、醫生和考古學家。他們如何進行調查，我們是否可以學習這些技能？學習任何新技能的關鍵是定義它，并將其分解為邏輯步驟，建立可以遵循和系統地重復的過程。調查過程也不例外，并且可以通過這種方式進行有效解釋。

　　要了解調查過程，有必要在調查任務和研究思維（也稱創造性思維）之間進行區分。調查任務涉及信息收集過程，該過程收集到創造性思維中（例如OODA循環），分析信息并創建理論或假設以制定調查計劃的過程。讓我們考慮其中每個子流程以及與之相關的技能，如下所示：

　　1、調查任務

　　這些職責在多個網絡安全角色中是共有的。SOC分析師、事件分析師、事件響應者和威脅狩獵執行與識別證據、收集信息、收集證據，以及在許多情況下保存證據相關的任務。角色之間的主要區別在于流程的開始位置。SOC分析師通常從報警開始調查，而威脅狩獵則從假設或問題開始工作，包括：

　　1）分析人員在此類別中需要掌握哪些關鍵技能？大多數與數據收集和轉換有關。編程和自動化技能對于從網絡、端點、應用程序和其他日志存儲庫（例如安全信息和事件管理/SIEM、數據聚合工具）收集數據至關重要。這些技能對于大規模處理數據也很有用。學習一種可以跨多種平臺（例如PowerShell或Python）輕松獲得的編程語言，以及系統命令行腳本（例如Bash），都可以提供巨大的幫助。

　　2）在網絡方面，具有tcpdump、Wireshark或其他網絡流量監視工具捕獲流量的能力，在網絡可能為我們的分析增加重要證據的許多情況下會有所幫助。

　　2、研究思維

　　不幸的是，如前所述，分析人員花費太多時間執行調查任務，而很少花費時間進行批判性思維或研究性思維。想象一下，一個偵探只收集證據，卻從不分析得出結論的效率將是多么低下！這就是為什么許多分析師最終會以自動駕駛模式運行，而不是執行OODA循環的重復階段的原因。

　　安全分析師必須利用研究或批判性思維。可以通過開發旨在分析收集到的信息的技能，發展關于發生的事情和事件發生的方式的理論，利用上下文和直覺以及建立合理的假設來磨練批判性思維。分析師該怎么做？首先，我們必須花時間反思我們根據所見所聞所做出的決策。這意味著要有一種懷疑的心態，目的是盡可能客觀地探索所有替代方案。

　　分析師的最佳做法包括：

　　問問題。人類通過問題學習，研究人員也通過問題解決事件。多年來，來自中央情報局和執法部門的調查人員一直在使用競爭假設分析（ACH）模型。ACH是一種分析過程，可識別一組替代假設并評估可用數據是否與每個假設一致或不一致。數據最不一致的假設將被拒絕。

　　通過提出問題，分析師會仔細權衡證據，并考慮其他解釋或結論。這種結構化的方法可幫助分析師克服或至少最小化許多SOC中常見的認知限制。這種采用問題和假設的科學方法對我們許多人來說在數字取證領域也不是新鮮事。許多安全專家和研究人員已撰寫了有關在網絡安全領域使用此方法的文章。

　　盡管經驗豐富的分析師會在調查過程的早期就提出更多問題，但較新的分析師往往會做出假設并開始做出決策并采取行動，而不會引起太多質疑。大多數時候，調查都是從廣泛的問題開始的，最終會導致更具體的問題，這些問題可以帶我們去發現更多的證據。這些問題使我們在調查期間面臨不確定性情況時可以收集更多的背景信息和范圍。

　　向后推理。向后推理可以將分析師的大腦用作時間機器，以具體方式對過去的事件進行推理，假設在攻擊的每個階段都必須發生什么才能到達安全控制臺中顯示的警報。由于后向思維只是因果關系思維的一種，因此使用諸如洛克希德·馬丁公司的Cyber KillChain?或MITER ATT＆CK之類的模型來了解攻擊的邏輯步驟，對于支持這些推斷和推論至關重要。

　　不要線性思考。據說攻擊者以圖表的方式思考，而防御者以列表的方式思考。這是指許多安全分析人員依靠靜態和線性劇本來響應威脅這一事實。盡管響應手冊在應對已知威脅時會有所幫助，但很多時候分析人員面臨著從未見過或未解決過的新事件、新挑戰和新難題。這表明，分析師需要使用本報告中描述的工具和方法進行批判性思考并考慮一種或多種合理的途徑。

　　注重細節，克服無意識的偏見，不要錯過“大猩猩”。在高度動態的環境（例如我們的網絡）中，很難發現攻擊。在認知密集型工作中，將我們的注意力集中在某些事情上很容易，有時會錯過完全可見但出乎意料的事件，這被稱為疏忽性失明。著名的例子是Daniel Simons和Christopher Chabris在1999年開發的“隱形大猩猩”實驗。

　　在該實驗中，研究參與者被要求觀看一段視頻，其中有兩支球隊，一支穿著黑襯衫，一支穿著白襯衫，正在傳球。告訴參與者統計穿白襯衫的球員傳球的次數。錄像中途，一只大猩猩走進現場，站在中間，敲打他的胸部，然后退出。當詢問研究參與者是否看到大猩猩時，超過一半的人承認他們完全錯過了大猩猩。

　　為了不遺漏類似的隱形大猩猩，信息安全分析師必須仔細研究他們正在研究的系統，并注意行為或性能的偏差或變化。在調查的每個步驟上做筆記并使用諸如ACH之類的方法可以幫助消除注意力不集中以及無意識的偏見。

　　像孩子一樣好奇而靈活。好奇心可能是分析師必須不斷培養和培訓的最重要技能之一。好奇可以幫助安全分析師好奇、拉線程、探索和提出問題（而不僅僅是在自動駕駛模式下做出反應）。培養好奇心的一種方法是發展跨學科技能。許多出色的分析師沒有計算機科學或工程領域的正式背景，而是來自與藝術有關的其他領域，或者喜歡與技術無關的愛好。這為他們提供了更廣泛的體驗，可以幫助他們通過不同的視角來感知世界，并幫助他們觀察異常。

　　孩子們也很靈活，他們不為改變主意或接受自己不了解的一切而感到羞恥，相反，他們通常足夠靈活以適應和學習。安全分析人員還必須準備好學習和適應（再次考慮OODA循環中的迭代反饋）。就像在空戰中一樣，在任何領域中獲得優勢的關鍵是在高度動態的環境中的靈活性和敏捷性。

　　調查和OODA循環

　　在這一點上，批判性思維技巧以及諸如OODA循環和TBS之類的模型可以幫助我們成為更好的安全分析師。表1總結了安全分析人員必須有效掌握的一些頂尖技能，才能有效地跨端點、網絡和云保護其組織。當您瀏覽該表時，請考慮以下問題：我需要花費多長時間才能完成這些步驟中的每一個步驟，以及在循環中的每個點上需要多少粒度？

　　分析是人機協作的工作

　　《哈佛商業評論》將人工智能稱為“我們時代最重要的通用技術”，并將其與內燃機相比，它具有重塑我們所做的一切并改變每個行業（包括網絡安全）的能力。然而，自動化和當前的AI解決方案取決于人類觀察和理解威脅，然后建立模型或編寫代碼。攻擊者通常會占據上風的原因是人類觀察現象與機器幫助之間的時間差。

　　盡管周期肯定會隨著時間的推移而縮短，這些新的AI系統將繼續學習并與SOC的從業人員直接互動，而不是取代他們，因此安全分析人員可以專注于人類最擅長的領域：直覺、上下文、道德、創造力和策略。機器將改善信息的搜索和收集、匯總、模式匹配、歸納和假設檢驗，業界稱其為“人機組合”。

　　在這個新的網絡防御時代，對于供應商而言，提供能夠以增強分析人員的認知能力的方式幫助他們轉換數據，從他們那里獲得方向性反饋，以某種方式組織高背景數據源的解決方案將至關重要。通過觀察分析員的工作來提高分析員的績效和學習能力，例如，一個專家系統可以了解如何通過消除人類過去調查和消除的報警來減少實時監控中的誤報。這些類型的解決方案將繼續使安全分析人員能夠執行高度認知的任務，從而導致更快的OODA循環、更快的檢測和響應，并最終實現更有效的防御。

　　結論：分析人員不是天生的，

　　是需要開發和培養的

　　與許多人的看法相反，沒有人天生就是安全分析師。安全分析師本質上是一名調查員，而調查員是關鍵的思想家。我們今天所面臨的大部分短缺是由于該行業對工具和技術的高度重視，而不是調查所需的思維過程或技能。

　　好消息是，批判性思維是一種可以學習的能力。我們可以并且應該鼓勵這些技能的發展。正如本報告所強調的那樣，調查具有清晰、明確的過程，可以解釋這些過程，并取決于可以掌握的技能。TBS和OODA循環之類的安全模型是理解成功的分析師所需的心態和技能的良好起點。注重分析和批判性思維的動手訓練將有助于縮短開發這些技能所需的時間。

　　組織還可以培養分析文化，并通過內部防御演習、取證挑戰以及模擬特定攻擊和防御場景并生成數據集進行分析的分組練習來幫助提高這些技能。最后，網絡安全供應商可以通過提供增強分析師的認知能力并實施人機協作概念的解決方案來幫助彌補這一差距。