分析(AN)侧重于收集信息,以确保信息资产得到充分保护,免受其他人的攻击。分析(AN)包括5个专业领域,7个工作角色。

简介

国家网络安全教育计划(NICE)是政府、学术界和私营部门之间的合作,致力于促进强大网络安全教育,培训和人才发展。为了解决网络安全教育和培训的需求,NIST发布SP800-180,该指南介绍了NICE网络安全人才框架(NCWF)。该框架由7个知识领域和32个不同的专业领域组成。
image.png
上篇文章介绍了保护和防御PR,本文介绍分析(AN)。

分析(AN)综述

分析(AN)对进入的网络安全信息进行高度专业化的审查和评估,以确定其对情报的有用性。
分析(AN)侧重于收集信息,以确保信息资产得到充分保护,免受其他人的攻击。信息收集和准备工作,使组织能够充分了解其他实体的信息和计划,以确保组织可以主动安全地避免攻击。从本质上讲,AN包含了传统情报功能的各种角色。
与经典情报功能一样,分析包含了这些工作角色,他们负责主动对抗潜在对手,收集并解释使组织领先于潜在攻击的信息。分析既可以防止未来的攻击。它还制定了计划,以获取用于针对特定对手的行动的信息。
分析(AN)执行获取有关所有对抗目标的信息所需的操作。鉴于对开展工作所需的间谍活动的理解,这一知识领域与一般情报界的内容重叠。
分析(AN)包括5个专业领域,7个工作角色。
image.png

AN-1 威胁分析 (TWA)

威胁分析(TWA) 识别和评估网络安全罪犯或外国情报机构的能力和活动; 产生调查结果,以帮助初步化或支持执法和反情报调查或活动。
涉及到的角色有:
威胁/告警分析人员 AN-TWA-001
开发网络指标,以保持对高度动态运营环境状态的态势感知。 收集,处理,分析和传播网络威胁/告警评估。
image.png
来看看其要求的几个能力:
A0080 能够为信息不完整或没有先例的问题和情况,推荐分析方法或解决方案。
A0082 能够通过虚拟团队进行有效协作。
A0087 能够集中研究工作以满足客户的决策需求。
A0088 能够在动态,快节奏的环境中有效运作。
A0089 能够在协作环境中运作,寻求与组织内部和外部的其他分析师和专家的持续咨询,以利用分析和技术专业知识。
个人感觉,这个角色与上篇提到的网络安全分析人员有点像,上篇的分析人员侧重于技术,从网络流量和工具中寻找技术证据,这个威胁分析人员可利用的信息量更大,需要定位到威胁,定位到背后的组织。

AN-2 利用分析(EXP)

利用分析人员(EXP) 分析收集的信息,以识别漏洞和潜在的利用。 他们的任务和KSA涉及具体识别可能成为利用攻击目标的弱点和漏洞。 目的是明确识别那些具有最大可能性和潜在影响的有害事件。 该领域的工作角色典型特征是威胁,也需要掌握漏洞和威胁的利用方法:
涉及到的角色有:
利用分析人员 AN-EXP-001
协作以识别可通过网络收集和/或准备活动满足的访问和收集差距。 利用所有授权资源和分析技术来渗透目标网络。
image.png

AN-3 多源分析(ASA)

多源分析(ASA) 分析来自多个来源的情报社区、学科和机构的威胁信息。 利用情报信息形成上下文, 推断可能的影响。
这是情报分析领域,不开发情报,而是管理情报。 ASA工作的目的是通过情报收集功能,合并来自所有相关来源的情报,分析威胁信息。
因此,ASA工作角色综合结果并解释结果,目的是支持有关下一步行动的决策。
涉及到的角色有:
多来源分析人员 AN-ASA-001
分析来自一个或多个来源的数据/信息,以进行环境准备,响应信息请求,并提交情报收集和生产要求,以支持规划和运营。
任务评估专家 AN-ASA-002
制定评估计划和绩效/效果指标。 根据网络活动的要求进行战略和运营效果评估。 确定系统是否按预期执行,并为确定运营有效性提供输入。这是一个新增的工作角色。
image.png

AN-4 目标(TGT)

目标(TGT) 利用一个或多个地区、国家的知识或技术。
这是一个较窄的领域,因为它将影响和风险分析功能与详细了解特定漏洞所需的知识相结合。 例如,为了确定漏洞,分析人员必须拥有一个或多个地区,国家,非国家实体和/或技术的最新知识。
目标(TGT)工作角色的目的是收集关于可能成为被利用目标的所有相关组织脆弱性的必要信息,然后可靠地分析其重要性。 必须具备对其责任范围的深入了解以及广泛的多源分析技能。
涉及到的角色有:
目标开发人员 AN-TGT-001
执行目标系统分析,构建和/或维护电子目标文件夹,包括来自环境准备和/或内部或外部情报源的输入。 与合作伙伴目标活动和情报组织合作,并找出下一步需要审核和验证的候选目标。
目标网络分析人员 AN-TGT-002
对收集和开源数据进行高级分析,以确保目标的连续性; 分析目标及其活动,形成画像; 并进一步分析以获得更多目标信息。 根据目标技术,数字网络及其上的应用程序的知识,确定目标的通信,移动,操作和生活方式。

AN-5 语言分析(LNG)

语言分析(LNG) 应用语言、文化和技术专长来支持其他地区的信息收集,分析和安全活动。
这个领域是后加的,以前的版本是没有本领域,可以看出网络无边界,网络威胁情报的收集需要多源,很多情报信息是需要语言支撑。
image.png
涉及到的角色有:
多学科语言分析师 AN-LNG-001
应用语言和文化专业知识与目标/威胁和技术知识,以处理,分析和/或传播源自语言,语音和/或图形材料的情报信息。 创建和维护特定于语言的数据库和工作辅助工具,以支持网络操作执行并确保关键知识共享。 提供外语密集型或跨学科项目的主题专业知识。

总结

分析(AN)侧重于收集信息,以确保信息资产得到充分保护,免受其他人的攻击。分析(AN)包括5个专业领域,7个工作角色。