Î:
Ce face un analist al informațiilor de amenințare?
A:Fundamental, un analist al informațiilor despre amenințarea cibernetică este cineva care este specializat în colectarea, interpretarea și înțelegerea semnificației informațiilor privind informațiile despre amenințări. Spre deosebire de un respondent de incidente de securitate, care analizează informațiile despre amenințări generate de un sistem intern, cum ar fi un sistem de telemetrie sau un sistem de monitorizare a punctelor finale, un analist de informații despre amenințarea cibernetică se uită în primul rând la informațiile privind amenințările externe . Ei iau pulsul internetului, așa cum era. Despre ce vorbesc actorii amenințători? Ce actori noi amenințări apar în tabelele de anunțuri și camerele de chat întunecate? Cine cumpără și vinde ce informații, instrumente și tradecraft? Ce informații apar în lumea botnet-ului care ar putea fi relevante pentru o organizație individuală sau pentru un set de clienți?
Analiștii informațiilor despre amenințări caută indicatori care să încurajeze înțelegerea ce pot produce furtunile în oceanul digital, dar încă nu au lovit pământul - astfel încât atunci când sosesc aceste furtuni, putem fi pregătiți. Sunt poziționate în mod unic pentru a ajuta o întreprindere să își poziționeze în mod proactiv apărările și pentru a ajuta profesioniștii din securitatea internă să știe unde să caute vulnerabilități sau fisuri potențiale din cybershield-ul existent. Dacă detectează o discuție cu privire la o vulnerabilitate recent descoperită într-un aparat IoT, de exemplu, pot avertiza alți profesioniști din securitate pentru a stabili dacă acel aparat face parte din infrastructura IoT corporativă - și, dacă da, pot ajuta la sfătuirea unor pași care pot fi luat pentru a reduce riscul prezentat de vulnerabilitatea respectivă.
Este important să subliniem că analiștii informațiilor despre amenințări nu caută în mod obișnuit amenințări cunoscute. Nu caută un dispozitiv necorespunzător configurat pe internetul corporativ; își țin ochii și urechile deschise pentru indicatorii că cineva a început să discute despre modul de exploatare a unui astfel de dispozitiv configurat necorespunzător. La descoperirea unui indicator că astfel de discuții au loc, acea informație poate declanșa o acțiune în cadrul întreprinderii pentru a descoperi dacă astfel de dispozitive au fost implementate și dacă au fost configurate corect.
Analiștii informațiilor despre amenințări operează, de asemenea, într-o manieră mult mai speculativă. Aceștia pot privi activitățile unui actor cunoscut de amenințare - acțiuni care ar putea apărea la suprafață pentru a fi perfect benigne - și pot specula asupra motivelor pe care le-ar putea avea actorul amenințător pentru întreprinderea acțiunilor respective. Deoarece analistul informațiilor despre amenințări poate fi conștient de alte activități aparent nelegate - tulburări politice în această regiune sau tensiune economică în creștere în acea regiune - analistul de informații despre amenințări este poziționat în mod unic pentru a conecta punctele într-o imagine care are un sens real, o imagine care un sistem AI sau un analist de date mari ar putea lipsi în întregime. În cazul în care un sistem AI poate detecta pur și simplu că un actor amenință stă pe domino-uri la sfârșit, analistul de informații despre amenințări poate fi capabil să deduce ce efect vor avea acele domino-uri atunci când încep să cadă - și să se pregătească în consecință.
