Q:
Co dělá analytik hrozeb?
A:Analytik počítačové hrozby je v zásadě někdo, kdo se specializuje na shromažďování, interpretaci a porozumění významu informací o hrozbách. Na rozdíl od bezpečnostního incidentu, který se dívá na informace o hrozbách generované interním systémem, jako je telemetrický systém nebo systém sledování koncových bodů, analytik zpravodajských informací o kybernetických hrozbách primárně sleduje externí zpravodajství o hrozbách. Berou pulz internetu, jak to bylo. O čem jsou známé herci ohrožení? Jaké nové hrozby se objevují v temných webových vývěskách a chatovacích místnostech? Kdo kupuje a prodává jaké informace, nástroje a řemeslo? Jaké informace se objevují ve světě botnetů, které by mohly být relevantní pro jednotlivou organizaci nebo pro skupinu klientů?
Analytici hrozeb hledají ukazatele, které podporují pochopení toho, jaké bouře se mohou vařit nad digitálním oceánem, ale ještě nezasáhly pevninu - takže až tyto bouře dorazí, můžeme být připraveni. Jsou jedinečně umístěny, aby pomáhaly podniku aktivně umisťovat jeho obranu a pomáhaly odborníkům interní bezpečnosti vědět, kde hledat zranitelnosti nebo potenciální trhliny v existujícím kybernetickém štítu. Pokud například zjistí diskusi o nově objevené zranitelnosti v zařízení IoT, mohou upozornit další odborníky na bezpečnost, aby určili, zda je toto zařízení součástí podnikové infrastruktury IoT - a pokud ano, mohou pomoci poradit v krocích, které mohou být přijato ke snížení rizika, které tato zranitelnost představuje.
Je důležité zdůraznit, že analytici o hrozbách obvykle nehledají známé hrozby. Nehledají nesprávně nakonfigurované zařízení na firemním internetu; drží oči a uši otevřené, aby ukazovaly, že někdo začal diskutovat o tom, jak využít takové nesprávně nakonfigurované zařízení. Po objevení indikátoru, že takové diskuse probíhají, může inteligence vyvolat v rámci podniku akci, aby zjistila, zda taková zařízení byla nasazena a zda byla správně nakonfigurována.
Analytici hrozebních zpráv také pracují mnohem spekulativněji. Mohou se podívat na činnosti známého subjektu ohrožení - činnosti, které se mohou na povrchu jevit, aby byly naprosto neškodné - a spekulovat o motivech, které by subjekt ohrožení mohl mít pro provedení těchto akcí. Protože analytik hrozebních zpravodajů si může být vědom dalších zdánlivě nesouvisejících aktivit - politických nepokojů v tomto regionu nebo ekonomického napětí v tomto regionu - analytik hrozebních zpravodajů má jedinečnou pozici, aby spojil tečky s obrázkem, který má skutečný význam, obrazem, který AI systému nebo velkému datovému analytikovi by mohl úplně chybět. Pokud systém AI může jednoduše zjistit, že aktér hrozby stojí na konci domino, analytik hrozby může být schopen odvodit, jaký účinek budou mít tyto domino, když začnou padat - a podle toho se připravit.