1. 项目概述一个为网络安全分析师量身打造的技能库最近在GitHub上看到一个挺有意思的项目叫Liberty91LTD/cti-skills。光看这个名字可能很多刚入行的朋友会有点懵cti是啥skills又具体指什么简单来说这是一个专注于网络威胁情报领域的开源技能树与知识库。它不是教你如何写代码而是告诉你作为一名合格的网络威胁情报分析师你需要知道什么、会做什么、以及如何系统地学习和成长。我自己在安全行业摸爬滚打十几年从渗透测试做到应急响应再到后来专注于威胁情报分析深知这个领域的知识体系有多么庞杂和分散。新手入门往往像无头苍蝇面对海量的工具、报告、概念和攻击手法不知道从哪里下手。而cti-skills这个项目就像一位经验丰富的导师为你绘制了一张清晰的地图告诉你通往专业分析师的道路上有哪些必经的站点每个站点需要掌握哪些核心技能。这个项目非常适合以下几类人网络安全专业的学生或应届生想了解威胁情报这个细分领域具体做什么需要哪些知识储备。希望从其他安全岗位如SOC、渗透测试转型到威胁情报的分析师需要一个系统性的知识框架来填补技能缺口。已经在从事威胁情报工作但感觉知识体系不够系统化的从业者可以用来查漏补缺构建更完整的知识图谱。安全团队的负责人或导师可以为团队的新人制定培养计划提供一个结构化的学习路径。接下来我就结合自己的经验对这个项目进行深度拆解并补充大量在实际工作中会用到的细节、工具和避坑指南希望能帮你真正理解并运用好这个“技能地图”。2. 核心领域与技能框架拆解2.1 网络威胁情报的核心价值与分类在深入技能树之前我们必须先搞清楚网络威胁情报到底是什么。很多人把它简单理解为“收集IOC”这实在是太片面了。CTI的核心价值在于将原始的、杂乱的安全数据如日志、恶意样本、网络流量转化为可行动的、对决策有支持作用的知识。根据情报的用途和受众通常分为四个层级战略情报面向高层管理者如CISO、CEO关注长期的、宏观的威胁趋势、攻击者动机如地缘政治、经济犯罪、以及对业务可能造成的整体风险。产出物可能是季度性的威胁态势报告。作战情报面向安全运营团队如SOC提供关于特定攻击团伙APT组织、其常用战术、技术与程序用于优化检测规则、调整防御策略。比如某个APT组织最近开始使用一种新的鱼叉式钓鱼邮件模板作战情报就需要及时同步这个信息。战术情报这是最“接地气”的一层直接面向一线分析师和自动化系统。核心就是可观测指标例如恶意域名、IP地址、文件哈希、攻击中使用的特定URL路径等。这些IOC可以直接导入安全设备防火墙、IDS、SIEM进行实时拦截和告警。技术情报深入到恶意软件本身的分析包括其代码结构、通信协议、漏洞利用方式、持久化机制等。这部分通常由恶意软件分析师或逆向工程师负责为战术情报提供更底层的支撑。cti-skills项目构建的技能框架基本覆盖了从战术到作战并触及战略和技术层面的所需能力是一个比较全面的入门到进阶指南。2.2 项目技能树结构解析虽然我无法直接看到项目最新的详细目录但基于这类开源技能库的通用模式和我对CTI领域的理解其核心模块无外乎以下几大块基础能力层这是所有安全工作的基石。包括对计算机网络TCP/IP, DNS, HTTP/S、操作系统Windows/Linux日志、进程、注册表、以及基础安全概念加密、哈希、数字证书的扎实理解。没有这些看任何网络流量或日志都会像看天书。核心技能层这是CTI分析师的“武器库”。数据收集与开源情报如何从公开渠道社交媒体、技术论坛、代码仓库、证书透明度日志高效地获取信息。这里不仅是用Google搜索更涉及一些高级搜索语法、特定工具如theHarvester,Maltego的使用以及对暗网和 Telegram 等平台信息源的了解需在法律和公司政策允许范围内。指标管理与分析如何处理海量的IOC。这涉及到IOC的标准化格式如STIX/TAXII、管理平台如MISP、OpenCTI的使用以及如何对IOC进行聚类、关联分析判断其有效性是否已经失效或被安全厂商广泛标记。恶意软件分析基础不一定要求能逆向复杂的病毒但至少要会使用沙箱如Any.Run, Hybrid Analysis进行动态行为分析会使用基础静态分析工具如strings,PEiD,YARA规则编写来提取IOC和了解样本基本信息。攻击者追踪与归因这是CTI工作中最具挑战性也最有趣的部分。如何通过攻击基础设施域名注册信息、服务器配置、恶意代码风格代码混淆方式、API调用习惯、以及TTPs来关联不同的攻击事件甚至尝试指向特定的攻击组织。这需要极强的逻辑思维和情报拼接能力。辅助与软技能层决定了分析师能走多远。报告撰写与沟通能否将复杂的分析结果用清晰、简洁的语言写成不同受众技术同事、管理层能看懂的报告。一张好的攻击链图有时比十页文字更有效。编程与自动化用Python或PowerShell写脚本来自动化重复性工作如批量查询IP信誉、从PDF报告中提取IOC是提升效率的关键。法律与伦理在情报收集过程中必须严格遵守相关法律法规和公司政策明确公私界限保护个人隐私。注意技能树是路径不是 checklist。不要试图一次性学完所有内容。建议采用“T型”发展策略先广度了解横再在1-2个自己感兴趣的领域深度钻研竖例如专精于恶意软件分析或攻击者追踪。3. 关键技能点深度实操指南3.1 开源情报收集实战技巧OSINT是CTI工作的起点。很多人以为就是“百度一下”其实里面有大量技巧。1. 搜索引擎高级操作符以Google为例site:限定在特定网站搜索。例如site:github.com mimikatz找Github上关于mimikatz的项目。filetype:搜索特定文件类型。例如filetype:pdf “Emotet” report找关于Emotet的PDF报告。“exact phrase”精确匹配短语。-排除关键词。例如jupyter -notebook搜索jupyter但排除notebook。*通配符。例如“password *” leaked。related:找相似网站。例如related:threatpost.com找类似Threatpost的威胁情报网站。2. 利用证书透明度日志攻击者经常为他们的钓鱼域名申请SSL证书。证书透明度日志CT Logs是公开的我们可以利用它来发现与已知恶意域名使用相同邮箱或组织注册的新域名。工具如crt.sh或CertSpotter非常有用。实操假设我们发现一个钓鱼域名phish-example.com其证书申请邮箱是evilregistrar.com。我们可以去crt.sh搜索evilregistrar.com可能会发现一批同属一个攻击者注册的其他尚未被发现的域名。3. 社交媒体与代码仓库情报攻击者有时会在Twitter、Telegram或Reddit上炫耀或者在GitHub、GitLab上不小心泄露配置信息、攻击脚本。技巧关注一些安全研究员和威胁情报公司的账号。使用GitHub Dorks进行搜索例如extension:json “aws_access_key”可能找到泄露了AWS密钥的配置文件。4. 工具链推荐theHarvester: 收集子域名、邮箱、主机名等信息。Maltego: 图形化的信息收集和关联分析工具功能强大但需要学习。SpiderFoot: 自动化的OSINT收集框架支持数百种数据源。Shodan/Censys: 搜索联网设备可用于发现攻击者暴露的C2服务器、脆弱服务等。实操心得OSINT收集时一定要做好信息源记录。每条情报都要注明来源、获取时间。因为网络信息变化快今天有效的线索明天可能就消失了。同时要交叉验证单一来源的信息不可尽信。3.2 从IOC到TTP构建你的分析思维新手分析师常犯的错误是沉迷于收集IOC列表却不知如何运用。真正的价值在于理解IOC背后的战术、技术与程序。案例推演假设我们从某威胁报告中获得一个IOC恶意域名download.update-center[.]com。1. 基础分析whois查询可能是隐私保护注册时间很近。DNS历史记录查看该域名是否解析过其他IP使用SecurityTrails或ViewDNS。IP信誉查询查询当前解析的IP如185.xxx.xxx.xxx是否在黑名单中用VirusTotal,AbuseIPDB。2. 深入关联与TTP提炼仅仅封掉这个域名是不够的。我们需要思考攻击链这个域名是用来做什么的是钓鱼页面的托管地还是恶意软件的下载服务器关联样本在VirusTotal或Hybrid Analysis中搜索这个域名看看有哪些恶意样本曾与之通信。下载一两个样本进行分析。样本分析对关联的恶意样本进行静态/动态分析。静态发现它使用PowerShell执行一段经过Base64编码的命令去下载第二个载荷。动态在沙箱中看到它最终在内存中加载了Cobalt Strike的Beacon。提炼TTPTactic 执行TA0002。Technique 通过PowerShell执行T1059.001。Procedure 使用Base64编码混淆PowerShell命令从download.update-center[.]com下载Cobalt Strike载荷并进行无文件内存注入。产出你产出的不再仅仅是一个域名IOC而是一条可行动的威胁情报“警惕使用Base64编码PowerShell命令从新注册域名下载载荷的攻击行为其最终载荷可能是Cobalt Strike。建议监控powershell.exe -enc命令行参数并对访问*.update-center[.]com的流量进行告警。”3. 使用ATTCK框架进行映射将上述分析结果映射到MITRE ATTCK框架中。这能让你的分析结果标准化易于与其他团队沟通并方便在SIEM中配置对应的检测规则如Sigma规则。3.3 恶意软件分析入门与YARA规则编写对于CTI分析师深度逆向不是必须但基础分析能力至关重要。1. 快速静态分析流程文件信息使用file,ExifTool查看文件类型、编译时间戳。字符串提取strings malware.exe | grep -i “http\|https\|.dll\|regsvr32”快速查找可能的URL、加载的DLL或可疑命令。哈希值计算MD5, SHA1, SHA256用于在VirusTotal等平台查询已有分析报告。PE文件分析使用PEview或PE-bear查看导入表引用了哪些系统DLL和API如Wininet.dll可能用于网络通信Advapi32.dll可能用于操作注册表。2. 动态沙箱分析将样本上传到Any.Run,Hybrid Analysis,CAPE Sandbox等在线沙箱。重点关注进程树样本创建了哪些子进程如cmd.exe - powershell.exe网络活动连接了哪些IP和端口发起了哪些DNS查询文件操作在系统哪些位置创建、修改、删除了文件注册表操作修改了哪些自启动项内存行为是否在内存中解密并执行了另一段代码3. 编写你的第一条YARA规则YARA是一种模式匹配工具用于识别和分类恶意软件。CTI分析师常用它来为同家族样本或特定攻击活动编写检测规则。rule APT32_PhishingDoc_2024 { meta: author “YourName” description “Detects APT32 phishing document with specific macro code” reference “https://example.com/report” date “2024-10-27” strings: $s1 “Auto_Open” nocase $s2 “WScript.Shell” nocase $s3 “powershell -enc” wide ascii $hex1 { 4D 5A } // MZ文件头用于检测可能释放的PE文件 condition: filesize 2MB and uint16(0) 0x5A4D and // 是DOC文件实际是复合文档但这里简化示例 all of ($s*) and $hex1 at 0 }规则解释meta 规则的元信息便于管理。strings 定义要匹配的字符串或十六进制模式。nocase忽略大小写wide匹配Unicode字符串。condition 匹配条件。这里要求文件小于2MB具有MZ头可能是内嵌的PE并且包含所有定义的字符串。注意事项YARA规则要尽量精准避免误报。多使用and组合条件并加入文件大小、文件类型等限制。可以从简单的、高置信度的特征开始写起。4. 威胁情报平台的选型与实战个人学习和小型团队可能用文本文件和Excel管理IOC就够了。但一旦规模扩大就必须使用专业的威胁情报平台。4.1 主流开源平台对比MISP vs OpenCTI特性MISPOpenCTI核心定位IOC共享与协作平台成熟、社区活跃。威胁情报知识图谱平台基于STIX2强调查询与关联。数据模型自有格式为主支持STIX1/2。原生STIX2与ATTCK框架集成度极高。上手难度相对简单功能直观。概念更复杂学习曲线较陡峭。可视化基础图表和关系图。知识图谱可视化是强项能直观展示攻击者、恶意软件、攻击手法之间的关系。自动化有丰富的API和扩展模块自动化能力强。API完善但生态相对MISP年轻。适用场景急需一个稳定、可靠的IOC共享和分发中心。需要深度分析、关联复杂威胁事件构建组织内部情报知识库。个人建议对于刚起步的团队或个人从MISP开始。它的安装部署有Docker镜像和概念理解更容易能快速解决IOC管理和共享的问题。当你的分析工作越来越深入需要处理复杂的攻击活动归因时再考虑迁移或并用OpenCTI。4.2 MISP快速上手与核心概念假设你使用Docker部署了一个MISP实例。1. 核心概念事件 一次独立的安全事件或威胁活动的所有相关信息集合。例如“2024年10月针对金融业的钓鱼活动”。属性 事件下的具体数据点即IOC。如一个IP地址、一个域名、一个文件哈希。标签 给事件或属性打上的标记用于分类和过滤。如tlp:white,phishing,apt29。星系与聚类 MISP预置的威胁情报模型如ATTCK、恶意软件分类可以关联到事件或属性上进行标准化描述。2. 一次完整的情报录入与分析流程创建事件 填写事件名称、威胁等级、分析员、TLP标签等。添加属性 手动添加或通过“自由文本导入”批量粘贴IOC。MISP会自动识别类型IP、域名、哈希等。丰富情报 点击“丰富”按钮MISP会自动调用内部或外部插件如VirusTotal查询、Whois查询来补充该属性的上下文信息。打标签与关联 给属性打上type:osint,category:Payload delivery等标签。使用“关联星系”功能将其链接到ATTCK中的T1105: Ingress Tool Transfer。发布与共享 在组织内部发布或通过MISP社区同步功能在信任的团体间共享仅共享TLP:AMBER或GREEN的内容。3. 自动化实践使用MISP的API和PyMISP库可以轻松实现自动化。自动同步 从公开的MISP实例或STIX/TAXII源拉取情报。自动推送 将特定标签如to_ids:true的IOC自动推送到防火墙、SIEM或EDR。自动丰富 编写自定义脚本当有新域名属性添加时自动查询其DNS记录和证书信息并添加为相关属性。# 示例使用PyMISP搜索最近关于“Cobalt Strike”的事件 from pymisp import PyMISP import json misp_url ‘https://your-misp-instance.com misp_key ‘YOUR_API_KEY’ misp_verifycert False # 如果是自签名证书 misp PyMISP(misp_url, misp_key, misp_verifycert) # 搜索事件 result misp.search(controller‘events’, eventinfo‘Cobalt Strike’) for event in result[‘response’]: print(f“Event ID: {event[‘Event’][‘id’]}, Title: {event[‘Event’][‘info’]}”) # 可以进一步处理事件中的属性5. 从分析到产出报告撰写与沟通心法技术分析能力决定你的下限而报告撰写与沟通能力决定你的上限。一份好的威胁情报报告是价值传递的最终载体。5.1 报告的金字塔结构不同受众需要不同颗粒度的报告。遵循金字塔结构顶层执行摘要 1-2段话面向管理层。说清楚“谁在什么时间用什么方式攻击了谁或可能攻击造成了/可能造成什么影响我们建议做什么”。避免技术细节。中层主体分析 面向安全运营和技术团队。详细阐述攻击链、使用的TTPs、具体的IOC、关联分析过程、置信度评估。底层附录与数据 包含完整的IOC列表、YARA规则、Sigma检测规则、参考链接等供需要深入调查的人员使用。5.2 让报告“活”起来的技巧时间线图 对于复杂攻击事件一张清晰的攻击时间线图比大段文字描述直观得多。可以使用Draw.io或Timeline.js来制作。攻击链图 使用洛克希德·马丁的杀伤链或MITRE ATTCK框架来可视化攻击者的每一步行动。这能帮助防御方清晰地看到自己的防御缺口。IOC表格 提供结构化的、机器可读的IOC表格CSV、JSON格式并注明类型、值、首次发现时间和相关上下文。检测建议 不要只给“现象”要给出“药方”。针对你分析的TTP提供具体的检测思路。例如“建议在SIEM中监控schtasks /create命令中包含/sc hourly或间隔小于1小时的异常任务创建行为。”“以下YARA规则可用于检测该家族的新变种...”“以下Sigma规则可用于在端点日志中检测此行为...”置信度与影响评估 明确说明你对这份情报的把握有多大高、中、低以及如果攻击成功对业务可能造成的影响财务损失、数据泄露、系统中断等。5.3 沟通中的常见陷阱与应对陷阱一陷入技术细节。跟业务部门汇报时还在讲DLL注入的原理。应对提前想好他们关心什么会不会导致业务中断会不会泄露客户数据我们需要额外花钱吗陷阱二制造恐慌或盲目乐观。将未经充分验证的低置信度情报当作确凿事实发布或者对高风险威胁轻描淡写。应对始终基于证据说话明确标注置信度并提出分阶段的应对建议。陷阱三没有后续跟进。报告发出就完事了。应对建立反馈机制。一周后可以询问运营团队“上周提到的那个钓鱼域名在代理日志里还有出现吗” 这既能验证情报效果也能体现你的责任心。威胁情报工作是一个需要持续学习、不断实践和精进沟通的领域。cti-skills项目提供了一个优秀的框架但真正的技能需要在真实的网络攻防对抗和一次次的分析报告中磨练。从今天起尝试用这个框架去分析一篇公开的威胁报告动手搭建一个自己的MISP实验环境写一条简单的YARA规则你就在这条路上迈出了坚实的第一步。记住好奇心、逻辑思维和持续分享是成为一名优秀威胁情报分析师最重要的品质。