网络安全威胁情报分析师岗位招聘考试试卷及答案

网络安全威胁情报分析师岗位招聘考试试卷及答案一、填空题（共10题，每题1分）1.威胁情报按作用域可分为战略情报、战术情报和______情报。2.STIX全称为______。3.IOC指的是______（英文全称）。4.威胁情报生命周期包括采集、处理、分析、______和反馈。5.常见勒索软件家族如______（举1例）。6.TTPs全称为______（英文全称）。7.开源威胁情报的英文缩写是______。8.威胁情报平台英文缩写是______。9.CVE全称为______。10.常见恶意软件传播载体包括邮件附件、钓鱼链接和______。二、单项选择题（共10题，每题2分）1.以下不属于战术威胁情报的是？A.某勒索软件传播技术B.某行业整体威胁趋势C.某漏洞利用payloadD.恶意IP活动特征2.STIX2.0中描述入侵指标的对象是？A.CampaignB.IndicatorC.ThreatActorD.Vulnerability3.属于内部威胁情报来源的是？A.公共漏洞库B.企业防火墙日志C.开源情报平台D.政府威胁公告4.威胁狩猎的主要目的是？A.修复入侵B.发现未知威胁C.收集外部情报D.生成报告5.属于勒索软件家族的是？A.WannaCryB.EternalBlueC.Log4jD.Heartbleed6.威胁情报平台不具备的功能是？A.情报存储B.关联分析C.自动修复漏洞D.情报分发7.属于TTPs中“技术”的是？A.攻击某行业战略B.钓鱼邮件获凭证C.控制核心服务器D.长期潜伏8.不属于开源威胁情报的是？A.公共漏洞报告B.黑客论坛公开信息C.内部聊天记录D.政府威胁预警9.验证IoC的方法不包括？A.沙箱分析B.信誉查询C.漏洞扫描D.人工排查10.知名APT组织是？A.LazarusGroupB.MicrosoftSecurityC.GoogleTAGD.KasperskyLab三、多项选择题（共10题，每题2分）1.威胁情报按来源分为？A.OSINTB.商业情报C.内部情报D.政府情报2.属于IoC的是？A.恶意IPB.恶意文件哈希C.钓鱼URLD.CVE编号3.STIX2.0主要对象包括？A.CampaignB.ThreatActorC.IndicatorD.Vulnerability4.威胁情报分析方法包括？A.关联分析B.趋势分析C.行为分析D.漏洞扫描5.勒索软件攻击步骤包括？A.渗透系统B.加密文件C.索要赎金D.泄露数据6.威胁情报平台关键功能包括？A.情报整合B.关联分析C.可视化D.自动响应7.APT攻击特征包括？A.针对性强B.持续时间长C.隐蔽性高D.用零日漏洞8.威胁情报采集来源包括？A.网络日志B.终端日志C.OSINTD.商业feed9.网络钓鱼类型包括？A.邮件钓鱼B.网站钓鱼C.短信钓鱼D.社交工程钓鱼10.威胁情报应用场景包括？A.威胁狩猎B.事件响应C.风险评估D.安全加固四、判断题（共10题，每题2分）1.威胁情报仅需关注外部威胁，无需考虑内部。（）2.STIX是唯一的威胁情报交换标准。（）3.IoC是入侵留下的可观测证据。（）4.战略威胁情报针对具体攻击技术。（）5.开源威胁情报完全免费，无任何成本。（）6.威胁情报平台可自动修复所有漏洞。（）7.APT通常由国家支持组织实施。（）8.勒索软件唯一目的是获取赎金。（）9.威胁狩猎基于已知IoC检测。（）10.威胁情报分析无需行业背景知识。（）五、简答题（共4题，每题5分）1.简述威胁情报生命周期及各阶段核心任务。2.说明IoC与TTPs的区别及联系。3.威胁情报平台（TIP）的核心价值是什么？4.开源威胁情报（OSINT）的常见来源及应用场景。六、讨论题（共2题，每题5分）1.如何平衡威胁情报的“时效性”与“准确性”？结合实际场景说明。2.威胁情报分析师在APT攻击响应中的作用是什么？举例说明。---答案部分一、填空题答案1.操作2.StructuredThreatInformationExpression3.IndicatorsofCompromise4.分发5.WannaCry（或Conti、LockBit等）6.Tactics,Techniques,andProcedures7.OSINT8.TIP9.CommonVulnerabilitiesandExposures10.漏洞利用工具包二、单项选择题答案1.B2.B3.B4.B5.A6.C7.B8.C9.C10.A三、多项选择题答案1.ABCD2.ABC3.ABCD4.ABC5.ABCD6.ABCD7.ABCD8.ABCD9.ABCD10.ABCD四、判断题答案1.×2.×3.√4.×5.×6.×7.√8.×9.×10.×五、简答题答案1.威胁情报生命周期：①采集：收集内外部威胁数据（日志、开源情报等）；②处理：清洗去重、格式统一；③分析：关联数据、识别TTPs/IoC；④分发：推送给安全团队（SOC、EDR等）；⑤反馈：收集应用效果优化情报。各阶段环环相扣，保障情报实用与时效。2.区别：IoC是入侵可观测证据（恶意IP、哈希），用于检测已知入侵；TTPs是攻击者战术（目标）、技术（方法）、流程（步骤），用于识别攻击模式。联系：TTPs衍生IoC（如钓鱼技术产生钓鱼URL）；分析IoC可反推TTPs，发现未知威胁。3.TIP核心价值：①整合多源情报，避免信息孤岛；②关联分析，识别隐藏威胁；③自动化分发，快速同步安全工具；④可视化展示态势，辅助决策；⑤闭环管理，优化情报质量。提升检测效率与响应速度。4.OSINT来源：公共漏洞库、黑客论坛、政府公告、安全厂商博客。应用场景：漏洞预警、威胁趋势分析、攻击组织识别、内部安全评估。成本低、覆盖广，是情报重要补充。六、讨论题答案1.平衡方法：①采集：选实时更新源（MITREATT&CK），设验证机制（沙箱分析）；②分析：自动化初筛（IoC信誉查询）+人工复核高风险情报；③分发：时效性情报先预警，再补准确信息；④反馈：收集误报/漏报优化规则。例如，新钓鱼URL先通过信誉库快速验证，再人工检查内容，避免延迟或误报。2.分析师作用：①溯源：通过IoC关联T