Аналіз загроз

Визначає та оцінює можливості та діяльність криміналістів сфери кібербезпеки або іноземних розвідувальних служб; готує висновки, які допомагають ініціалізувати або підтримувати правоохоронні та контррозвідувальні розслідування чи заходи.

Нижче наведені ролі для цього спеціального простору. Клацніть кожну роль, щоб побачити KSA (Знання, навички та здібності) та Завдання.

Аналітик загроз/попереджень

(AN-TWA-001)
Розробляє кібер-показники для забезпечення обізнаності щодо стану високодинамічного операційного середовища. Збирає, обробляє, аналізує та поширює оцінки кіберзагрози/попереджень.

Завдання

  • T0569: Відповідати на запити щодо отримання інформації.
  • T0583: Проводити предметно-тематичну експертизу з метою розробки загальної оперативної картини.
  • T0584: Підтримувати загальну картину розвідувальних заходів.
  • T0585: Проводити предметно-тематичну експертизу з метою розробки спеціальних індикаторів кібероперацій.
  • T0586: Приймати участь в узгодженні, підтвердженні і контролі вимог, планів та/або заходів зі збору даних з усіх джерел.
  • T0589: Приймати участь в процесі визначення проблем, пов’язаних зі збором даних під час розвідки.
  • T0593: Готувати резюме загроз і/або поточної ситуації в цільовому об’єкті.
  • T0597: Співпрацювати з аналітиками розвідки/організаціями, що здійснюють наведення в суміжних областях.
  • T0615: Проводити поглиблене дослідження та аналіз.
  • T0617: Проводити вузловий аналіз.
  • T0660: Розробляти вимоги до інформації, необхідні для відповідей на запити щодо отримання пріоритетних даних.
  • T0685: Оцінювати процеси прийняття рішень щодо зменшення загроз.
  • T0687: Визначати загрози, викликані уразливостями в системі стеження «Blue Force».
  • T0707: Формувати запити на отримання інформації.
  • T0708: Визначати тактику та методику загрози.
  • T0718: Виявляти недоліки і вади в розвідувальних заходах.
  • T0748: Моніторити та звітувати про зміни в місці розташування, діяльності, тактиці, можливостях, цілях і т.п. загрозливого об’єкта, які попереджають про проблеми при проведенні кібероперацій.
  • T0749: Контролювати і готувати звітні документи про підтверджені загрозливі дії.
  • T0751: Моніторити Web-сайти відкритих джерел, що містять загрозливу інформацію, яка торкається інтересів організації або партнерів.
  • T0752: Моніторити операційне середовище та готувати звітні документи про ворожу діяльність згідно встановлених керівництвом вимогам до пріоритетної інформації.
  • T0758: Здійснювати вчасно інтегровану кіберрозвідку усіх джерел та/або надавати показники і попереджати про результати розвідки (наприклад, здійснювати оцінку загроз, проводити брифінги, дослідження розвідувальних заходів, країн).
  • T0761: Проводити тематичну експертизу в інтересах і підтримка нарад і робочих груп з питань планування/розробки, при необхідності.
  • T0783: Забезпечувати поточні розвідувальні заходи в інтересах критично важливих внутрішніх/ зовнішніх зацікавлених сторін.
  • T0785: Здійснювати оцінку і зворотний зв’язок, необхідні для поліпшення результативності розвідувальних заходів, звітних матеріалів за результатами розвідки, вимог до збору даних і операцій.
  • T0786: Здійснювати обробку та аналіз інформації з метою інформування керівництва і клієнтів; розробки та уточнення цілей; забезпечення планування та проведення операцій; а також оцінки результатів операцій.
  • T0792: Здійснювати аналіз розвідувальних заходів з метою проведення навчань, планових заходів і операцій, залежних від часу їх проведення.
  • T0800: Своєчасно повідомляти про загрозливі або ворожі наміри або дії, які можуть вплинути на цілі, ресурси або можливості організації.
  • T0805: Готувати звіти на основі розвідданих про найважливіші мережевих події і вторгнення.
  • T0834: Тісно співпрацювати зі спеціалістами з планування, аналітиками розвідки і співробітниками зі збору даних з метою забезпечення точності і актуальності вимог до розвідувальних заходів і планів зі збору даних.

Знання

  • K0001: Знання концепцій і протоколів комп’ютерних мереж, а також методології забезпечення мережевої безпеки.
  • K0002: Знання процесів аналізу і зниження ризиків (наприклад, методів аналізу та зниження негативних наслідків від реалізації ризиків).
  • K0003: Знання законів, нормативних правових актів, політик і етичних норм, і як вони пов’язані з забезпеченням кібербезпеки і конфіденційності.
  • K0004: Знання принципів забезпеченням кібербезпеки і конфіденційності.
  • K0005: Знання кіберзагроз та вразливостей.
  • K0006: Знання конкретних функціональних наслідків в результаті помилок в системі безпеки.
  • K0036: Знання принципів взаємодії «людина-комп’ютер».
  • K0058: Знання методів аналізу мережевого трафіку.
  • K0108: Знання концепцій, термінології і операцій широкого спектра засобів масової комунікації (комп’ютерні і телефонні мережі, супутникові, волоконно-оптичні та бездротові).
  • K0109: Знання фізичних компонентів і архітектури ЕОМ, включаючи функції різних компонентів і периферійних пристроїв (наприклад, процесорів, мережевих адаптерів, сховищ даних).
  • K0177: Знання етапів проведення кібератак (наприклад, розвідка, перелік, отримання доступу, розширення привілеїв, утримання доступу, використання мережевих вразливостей, приховування слідів).
  • K0349: Знання типів, процесів адміністрування, функцій і системи формування контенту Web-сайтів (CMS).
  • K0362: Знання методів і способів проведення атак (розподілені атаки типу «відмова в обслуговуванні», метод грубої сили, перехоплення трафіку та ін.).
  • K0377: Знання стандартів, політик і процедур проведення класифікації та контролю.
  • K0392: Знання загальних видів зараження комп’ютерів/мереж (віруси, закладки типу «троянський кінь» та ін.), а також методів зараження (через порти, прикріплені файли та ін.).
  • K0395: Знання фундаментальних основ комп’ютерних мереж (тобто, основних компонентів комп’ютерної мережі, типів мереж і ін.).
  • K0405: Знання сучасних обчислювальних комплексів, призначених для атак типу «вторгнення».
  • K0409: Знання можливостей і репозитаріїв системи кіберрозвідки/збору інформації.
  • K0415: Знання термінології/лексики, використовуваної під час проведення кібероперацій.
  • K0417: Знання термінології передачі даних (наприклад, мережеві протоколи, Ethernet, IP, шифрування, оптичні пристрої, знімні носії).
  • K0427: Знання алгоритмів шифрування і можливостей/засобів кібербезпеки (напр., SSL, PGP).
  • K0431: Знання сучасних/перспективних технологій комунікації.
  • K0436: Знання фундаментальних концепцій, термінології/лексикону (тобто, підготовка середовища, кібератаки, відображення кібератак), принципів, можливостей, обмежень і негативних наслідків від проведення кібероперацій.
  • K0437: Знання головних компонентів Системи диспетчерського управління та збору даних (SCADA).
  • K0440: Знання засобів безпеки, що розміщуються в IP-вузлі, і того, як ці засоби впливають на використання та зниження вразливостей.
  • K0444: Знання того, як працюють Інтернет-додатки (SMTP-протокол, електронна поштова служба на базі НТТР-протоколу, інформаційний обмін між Інтернет-клієнтами, голосовий зв’язок).
  • K0445: Знання того, як сучасні цифрові і телефонні мережі впливають на проведення кібероперацій.
  • K0446: Знання того, як сучасні бездротові комунікаційні системи впливають на проведення кібероперацій.
  • K0449: Знання того, як витягувати, аналізувати і використовувати метадані.
  • K0458: Знання тематичної спрямованості розвідки.
  • K0460: Знання процесів підготовки середовища для ведення розвідки і аналогічних процесів.
  • K0464: Знання системи забезпечення розвідувальних заходів, що включає їх планування, виконання та оцінку.
  • K0469: Знання внутрішніх тактичних прийомів прогнозування і/або моделювання можливостей і реалізацій загрози.
  • K0471: Знання систем адресації в Інтернет-мережі (IP-адреси, маршрутизація на основі безкласових IP-адрес, система нумерації TCP/UDP-портів).
  • K0480: Знання шкідливого програмного забезпечення.
  • K0499: Знання системи безпеки операцій.
  • K0511: Знання організаційної ієрархії та процесів прийняття рішень в кіберсфері.
  • K0516: Знання фізичних та логічних мережевих пристроїв та інфраструктури для включення концентраторів, комутаторів, маршрутизаторів, брандмауерів та ін.
  • K0556: Знання основ телекомунікацій.
  • K0560: Знання основної структури, архітектури та проектів сучасних мереж зв’язку.
  • K0561: Знання основ захисту мережі (наприклад, шифрування, брандмауери, автентифікація, сервери-пастки, захист периметру).
  • K0565: Знання загальних мережевих та протоколів маршрутизації (наприклад, TCP/IP), служб (наприклад, веб-пошти, DNS) та способи їх взаємодії для забезпечення мережевих зв’язків.
  • K0603: Знання способів, за допомогою яких цільові або «загрозливі» об’єкти використовують Інтернет-мережу.
  • K0604: Знання загроз та/або цільових систем.
  • K0610: Знання засобів віртуалізації (ПЗ для віртуалізації, віртуальні машини)
  • K0612: Знання того, що являє собою «загроза» мережі.
  • K0614: Знання бездротових технологій зв’язку (наприклад, стільникові, супутникові, GSM-системи), включаючи базову структуру, архітектуру і призначення сучасних бездротових систем зв’язку.

Навички

  • S0194: Навичка проведення дослідження в умовах анонімності.
  • S0196: Навичка проведення дослідження з використанням Web-сайтів/сторінок, що не індексуються пошуковими системами (deep web).
  • S0203: Навичка визначення і опису всіх необхідних аспектів операційного середовища.
  • S0211: Навичка розробки або підготовки рекомендацій щодо застосування аналітичних методів або рішень для подолання проблем або ситуацій, пов’язаних з недостатністю інформації або в тих випадках, коли таких проблем і ситуацій раніше не існувало.
  • S0218: Навичка оцінки інформації на предмет її надійності, достовірності та корисності.
  • S0227: Навичка визначення альтернативних аналітичних трактувань з метою мінімізації виникнення непередбачених ситуацій.
  • S0228: Навичка визначення критично важливих компонентів цільового об’єкта для включення критично важливих компонентів цільового об’єкта до кіберпростору.
  • S0229: Навичка визначення кіберзагроз, які можуть «поставити під удар» інтереси організації та/або організації-партнера.
  • S0249: Навичка підготовки і проведення коротких інструктажів.
  • S0256: Навичка забезпечення розуміння систем цільового об’єкта або загроз шляхом ідентифікації та аналізу зв’язків фізичних, функціональних або поведінкових відносин.
  • S0278: Навичка здійснення аналізу на необхідних рівнях (наприклад, класифікація інформації та організаційний аналіз).
  • S0285: Навичка використання логічних операторів для побудови простих і складних запитів.
  • S0288: Навичка використання кількох аналітичних засобів, баз даних і технік (наприклад, програмний продукт IBM «Analyst’s Notebook», система національної розвідки США «A-Space», американська секретна БД «Anchory», програма DARPA «M3», дивергентне/конвергентне мислення, діаграми зв’язків, матриці і т.п.).
  • S0289: Навичка використання кількох пошукових систем (наприклад, «Google», «Yahoo», «LexisNexis», «DataStar») і засобів при проведенні пошуку відкритих джерел.
  • S0296: Навичка використання зворотного зв’язку з метою вдосконалення процесів, підвищення якості продуктів і послуг, що надаються.
  • S0297: Навичка використання віртуальних колективних робочих просторів і/або засобів (наприклад, інтелектуальні робочі станції, системи відеоконференцзв’язку, віртуальні переговорні «кімнати», ПЗ «SharePoint»).
  • S0303: Навичка формування, аналізу і редагування результатів кіберрозвідки/оцінки даних, здобутих з декількох джерел.

Вміння

  • A0013: Вміння впевнено і систематизовано доводити складну інформацію, концепції або ідеї в усній і письмовій формах і/або за допомогою візуальних засобів.
  • A0066: Вміння збирати точні та повні дані, які використовуються в засобах розвідки, оцінки та/або планування.
  • A0072: Вміння чітко викладати вимоги до розвідки в коректно сформульованих питаннях дослідницької роботи і змінних параметрах даних, що відслідковуються, з метою контролю запитів, що надходять.
  • A0080: Вміння розробляти або готувати рекомендації щодо застосування аналітичних методів або рішень для подолання проблем або ситуацій, пов’язаних з недостатністю інформації або в тих випадках, коли таких проблем і ситуацій раніше не існувало.
  • A0082: Вміння ефективно співпрацювати через віртуальні команди.
  • A0083: Вміння оцінювати інформацію на предмет її надійності, достовірності і актуальності.
  • A0084: Вміння оцінювати, аналізувати та синтезувати великі об’єми даних (які можуть бути фрагментованими і суперечливими) в високоефективні, єдині продукти розвідки/визначення цільових об’єктів.
  • A0087: Вміння концентрувати зусилля у дослідницькій області з метою задоволення потреб замовника в процесі прийняття рішень.
  • A0088: Вміння ефективно працювати у динамічному/швидкоплинному середовищі.
  • A0089: Вміння працювати в колективі, постійно звертаючись за консультаціями до аналітиків і експертів (внутрішніх і зовнішніх організацій) з метою підвищення якості аналітичної і технічної експертизи.
  • A0091: Вміння виявляти проблеми розвідки.
  • A0101: Вміння розпізнавати і знижувати фактор суб’єктивності, який може негативно вплинути на результати аналізу.
  • A0102: Вміння розпізнавати і знижувати негативні наслідки обману при підготовці звітних документів і проведенні аналізу.
  • A0106: Вміння критично мислити.
  • A0107: Вміння мислити як порушник.
  • A0109: Вміння використовувати кілька джерел розвідки в усіх напрямках розвідувальних заходів.