Q:
Что делает аналитик разведки угроз?
A:По сути, аналитик по киберугрозам - это тот, кто специализируется на сборе, интерпретации и понимании важности информации об угрозах. В отличие от реагирующего на инциденты безопасности, который просматривает информацию об угрозах, сгенерированную внутренней системой, такой как телеметрическая система или система мониторинга конечных точек, аналитик разведки киберугроз в первую очередь смотрит на разведку внешних угроз. Они берут пульс Интернета, как это было. О чем говорят известные актеры угрозы? Какие новые актеры угроз появляются в темных электронных досках объявлений и чатах? Кто покупает и продает какую информацию, инструменты и tradecraft? Какая информация появляется в мире ботнетов, которая может иметь отношение к отдельной организации или группе клиентов?
Аналитики разведки угроз ищут индикаторы, которые позволят понять, какие бури могут надвигаться над цифровым океаном, но еще не достигли суши - так что, когда эти штормы действительно наступят, мы можем быть готовы. Они имеют уникальную возможность помочь предприятию упреждающе позиционировать свою защиту и помочь специалистам по внутренней безопасности знать, где искать уязвимости или потенциальные трещины в существующем киберщите. Например, если они обнаруживают обсуждение недавно обнаруженной уязвимости в устройстве IoT, они могут предупредить других специалистов по безопасности, чтобы определить, является ли это устройство частью корпоративной инфраструктуры IoT, и, если это так, они могут помочь дать рекомендации относительно возможных шагов. приняты для уменьшения риска, связанного с этой уязвимостью.
Важно отметить, что аналитики разведки угроз обычно не ищут известные угрозы. Они не ищут неправильно настроенное устройство в корпоративном интернете; они держат свои глаза и уши открытыми для индикаторов того, что кто-то начал обсуждать, как использовать такое неправильно настроенное устройство. После обнаружения индикатора того, что такие обсуждения имеют место, этот интеллект может инициировать действие внутри предприятия, чтобы определить, были ли такие устройства развернуты и были ли они правильно настроены.
Аналитики разведки угроз также действуют гораздо более умозрительно. Они могут посмотреть на действия известного субъекта угрозы - действия, которые могут показаться на поверхности совершенно безобидными - и порассуждать о мотивах, которые может иметь субъект угрозы для выполнения этих действий. Поскольку аналитик разведки угроз может быть осведомлен о других, казалось бы, не связанных действиях - политических беспорядках в этом регионе или обострении экономической напряженности в этом регионе - аналитик разведки угроз обладает уникальными возможностями для соединения точек в картину, которая имеет реальное значение, картину, которая система искусственного интеллекта или аналитик больших данных могут пропустить полностью. В тех случаях, когда система ИИ может просто обнаружить, что субъект угрозы постоянно стоит в домино, аналитик разведки угроз сможет определить, какое влияние окажут эти домино, когда они начнут падать, и подготовиться соответствующим образом.