Q:
Що робить аналітик загрози розвідки?
A:По суті, аналітик розвідки щодо кіберзагроз - це той, хто спеціалізується на збиранні, інтерпретації та розумінні значущості інформації про загрозу. На відміну від відповідача за інцидент із безпекою, який дивиться на інформацію про загрозу, породжену внутрішньою системою, наприклад, телеметричною системою або системою моніторингу кінцевих точок, аналітик розвідувальної інформації про кіберзагрози в першу чергу дивиться на зовнішню інформацію про загрозу. Вони приймають пульс в Інтернеті, як би там не було. Про що говорять відомі актори погрози? Які нові учасники загрози з’являються у темних веб-дошках оголошень та в чатах? Хто купує та продає яку інформацію, інструменти та торговельний апарат? Яка інформація з’являється у світі ботнетів, яка може бути актуальною для окремої організації або для набору клієнтів?
Аналітики з питань загрози шукають індикаторів, які сприятимуть розумінню того, які бурі можуть вибухати над цифровим океаном, але ще не потрапили на сушу - так що коли ці бурі дійдуть, ми можемо бути готовими. Вони мають унікальну позицію, щоб допомогти підприємству активно позиціонувати свої захисні засоби та допомогти фахівцям із внутрішньої безпеки знати, де шукати вразливості чи потенційні тріщини на існуючому кіберштейні. Якщо вони виявляють обговорення недавно виявленої вразливості в пристрої IoT, наприклад, вони можуть попередити інших фахівців із безпеки, щоб визначити, чи цей пристрій є частиною корпоративної інфраструктури IoT - і, якщо це так, вони можуть допомогти порадити про кроки, які можуть бути прийняті для зменшення ризику, спричиненого цією вразливістю.
Важливо зазначити, що аналітики розвідки про загрози зазвичай не шукають відомих загроз. Вони не шукають неправильно налаштований пристрій у корпоративному Інтернеті; вони тримають очі і вуха відкритими для індикаторів, що хтось почав обговорювати, як використовувати такий неправильно налаштований пристрій. Виявивши показник того, що такі дискусії проводяться, ця розвідка може викликати дії в межах підприємства, щоб виявити, чи були такі пристрої розгорнуті та чи правильно налаштовані.
Аналітики із загрози розвідки також діють набагато більш спекулятивно. Вони можуть розглянути діяльність відомого суб'єкта погрози - дії, які можуть виявитися на поверхні абсолютно доброякісними, - та розмірковувати над мотивами, які може мати суб'єкт погрози для здійснення цих дій. Оскільки аналітику розвідки про загрози, можливо, відомо про інші, здавалося б, не пов’язані між собою дії - політичні заворушення в цьому регіоні або економічне напруження, що зростає в цьому регіоні, - аналітик розвідки про загрози має унікальне положення для з'єднання крапок у картину, яка має реальний сенс, картину, яка система ІІ або аналітик великих даних може повністю пропустити. Якщо система ШІ може просто виявити, що суб'єкт погрози стоїть на домінуванні, аналітик погроз може виявити, який ефект матимуть ці доміно, коли вони почнуть падати - і підготуватися відповідно.
