网络安全威胁情报分析工程师岗位招聘考试试卷及答案

网络安全威胁情报分析工程师岗位招聘考试试卷及答案网络安全威胁情报分析工程师岗位招聘考试试卷及答案一、填空题（共10题，每题1分，共10分）1.MITREATT&CK框架将攻击过程分为______个战术阶段。2.威胁情报按作用层次可分为战略情报、战术情报、______情报和技术情报。3.IOC的全称是______。4.WannaCry勒索软件利用的漏洞编号是______。5.常用恶意文件沙箱工具（举1个）：______。6.全球知名威胁情报共享平台（举1个）：______。7.漏洞响应窗口期通常为______天。8.SIEM的核心作用是______。9.威胁狩猎第一步是______。10.厂商未知且未修复的漏洞称为______漏洞。答案：1.142.操作3.IndicatorsofCompromise（入侵指标）4.CVE-2017-01445.CuckooSandbox（或JoeSandbox）6.MISP（或IBMX-Force）7.908.集中分析日志检测安全事件9.定义狩猎假设10.零日二、单项选择题（共10题，每题2分，共20分）1.MITREATT&CK不包含以下哪个阶段？A.初始访问B.横向移动C.漏洞扫描D.影响答案：C2.STIX2.0核心对象不包括：A.CampaignB.IndicatorC.VulnerabilityD.Firewall答案：D3.以下属于威胁actor的是：A.APT29B.Windows10C.ChromeD.Wireshark答案：A4.威胁情报价值不包括：A.提前预警B.优化防御C.降低攻击面D.直接修复漏洞答案：D5.沙箱分析主要目的是：A.修复恶意文件B.分析文件行为C.查杀病毒D.备份文件答案：B6.威胁情报生命周期第一步是：A.收集B.分析C.传播D.反馈答案：A7.CVE全称是：A.CommonVulnerabilitiesandExposuresB.CommonThreatIntelligence答案：A8.属于威胁情报平台（TIP）的是：A.SplunkB.QRadarC.RecordedFutureD.Wireshark答案：C9.威胁狩猎核心是：A.被动检测已知威胁B.主动寻找未知威胁答案：B10.零日漏洞利用方式是：A.厂商已知未修复B.厂商未知未修复答案：B三、多项选择题（共10题，每题2分，共20分，多选/少选不得分）1.威胁情报按层次分：A.战略B.战术C.操作D.技术答案：ABCD2.MITREATT&CK战术阶段包括：A.初始访问B.执行C.持久化D.权限提升答案：ABCD3.常见IOC类型：A.IP地址B.域名C.文件哈希D.漏洞编号答案：ABC4.威胁情报共享好处：A.扩大视野B.降低成本C.加快响应D.提升防御答案：ABCD5.沙箱分析优点：A.隔离分析B.还原攻击C.检测未知威胁D.清除恶意代码答案：ABC6.威胁狩猎工具：A.SplunkB.ElasticsearchC.WiresharkD.CuckooSandbox答案：ABCD7.STIX2.0关系对象：A.RelationshipB.SightingC.CampaignD.Indicator答案：AB8.威胁actor类型：A.APT组织B.脚本小子C.黑客组织D.内部威胁答案：ABCD9.漏洞利用阶段：A.发现B.验证C.利用D.修复答案：ABC10.《网络安全法》威胁情报要求：A.监测威胁B.向部门报告C.公开所有情报D.强制购买服务答案：AB四、判断题（共10题，每题2分，共20分，√/×）1.MITREATT&CK包含防御绕过阶段。（√）2.STIX2.0可标准化威胁情报。（√）3.勒索软件核心目的是窃取数据。（×，核心是加密勒索）4.威胁情报无需持续更新。（×，需更新）5.沙箱能检测所有恶意代码。（×，无法检测无文件攻击）6.情报生命周期：收集→分析→传播→反馈。（√）7.CVE是漏洞编号唯一标准。（×，还有CNNVD等）8.威胁狩猎需主动找未知威胁。（√）9.零日漏洞有官方补丁。（×，无）10.企业必须公开所有威胁情报。（×，无需公开敏感情报）五、简答题（共4题，每题5分，共20分）1.简述威胁情报核心价值答案：核心价值包括：①提前预警（识别潜在威胁，降低攻击成功率）；②优化防御（基于情报调整策略，加固薄弱点）；③加快响应（掌握攻击路径，缩短处置时间）；④辅助决策（为管理层提供威胁态势，支撑资源分配）；⑤降低风险（识别未知威胁，减少损失）。例如，通过IOC情报可快速阻断已知恶意IP，避免企业被攻击。2.MITREATT&CK框架作用答案：是攻击行为建模工具，作用：①还原真实攻击场景（描述从初始访问到目标实现的全流程）；②评估防御有效性（识别防御盲区）；③统一安全语言（便于团队协作）；④指导威胁狩猎（基于框架制定狩猎假设）；⑤支撑情报分析（关联攻击行为与actor特征）。3.威胁情报生命周期步骤答案：4个核心步骤：①收集（从公开渠道、内部日志、合作伙伴获取原始数据）；②分析（验证真实性，关联actor、漏洞，形成actionable情报）；③传播（推送给SOC、运维等团队）；④反馈（收集使用效果，优化流程）。需闭环确保情报持续有效。4.沙箱分析在情报中的应用答案：①提取IOC（分析恶意文件的网络连接、操作，生成IP、域名等）；②识别攻击技术（匹配MITREATT&CK技术）；③关联威胁actor（通过行为特征关联已知actor）；④验证未知威胁（检测无文件攻击、零日利用）；⑤辅助情报分析（提供攻击场景支撑）。六、讨论题（共2题，每题5分，共10分）1.如何平衡威胁情报共享的安全与效率？答案：从三方面入手：①规则：明确共享范围（仅合规方、非敏感情报），签署保密协议；②技术：加密传输（TLS）、匿名化处理（隐藏企业标识）、权限分级；③流程：建立情报审核（验证真实性、合规性），设置共享窗口期（避免过时）。例如，行业联盟仅共享匿名化IOC，不泄露企业内部漏洞，既提升效率又保护安全。2.威胁狩猎与威胁情报分析的关系答案：互补关系：①情报为狩猎提供方向（基于