Q:
Ką daro grėsmės žvalgybos analitikas?
A:Iš esmės kibernetinės grėsmės žvalgybos analitikas yra tas, kuris specializuojasi rinkti, aiškinti ir suprasti grėsmės žvalgybos informacijos svarbą. Skirtingai nuo reagavusių į saugumo incidentus, tiriančių informaciją apie grėsmes, kurias sukuria vidinė sistema, tokia kaip telemetrijos sistema arba galinių taškų stebėjimo sistema, kibernetinių grėsmių žvalgybos analitikas pirmiausia nagrinėja išorinės grėsmės žvalgybą. Jie naudojasi interneto pulsu, kaip buvo. Apie ką kalba žinomi grėsmės veikėjai? Kokius naujus grėsmės dalyvius rodo tamsiose interneto skelbimų lentose ir pokalbių kambariuose? Kas perka ir parduoda kokią informaciją, įrankius ir prekybą? Kokia informacija iš botnet tinklo pasirodo, kuri gali būti aktuali atskirai organizacijai ar klientų grupei?
Grėsmių žvalgybos analitikai ieško rodiklių, kurie padėtų geriau suprasti, kokios audros gali kilti per skaitmeninį vandenyną, bet dar nepasklido sausumoje - kad, kai šios audros atvyks, mes galime būti pasirengę. Jie yra unikalioje padėtyje, kad padėtų įmonei aktyviai nustatyti savo gynybos būdus ir padėtų vidaus saugumo specialistams žinoti, kur ieškoti esamo kibernetinio lauko pažeidžiamumų ar galimų įtrūkimų. Pvz., Jei jie aptinka diskusiją apie naujai aptinkamą IoT prietaiso pažeidžiamumą, jie gali perspėti kitus saugos specialistus išsiaiškinti, ar tas prietaisas yra įmonės interneto infrastruktūros dalis, ir, jei taip, jie gali padėti patarti dėl galimų veiksmų. imtasi siekiant sumažinti to pažeidžiamumo keliamą riziką.
Svarbu pabrėžti, kad grėsmės žvalgybos analitikai paprastai neieško žinomų grėsmių. Korporaciniame internete jie neieško netinkamai sukonfigūruoto įrenginio; jie laiko akis ir ausis atvirus rodikliams, kad kažkas pradėjo diskutuoti, kaip išnaudoti tokį netinkamai sukonfigūruotą įrenginį. Suradus rodiklį, kad tokios diskusijos vyksta, žvalgybos duomenys gali paskatinti imtis veiksmų įmonėje, siekiant išsiaiškinti, ar tokie įrenginiai buvo įdiegti ir ar jie tinkamai sukonfigūruoti.
Grėsmės žvalgybos analitikai taip pat veikia daug spekuliatyviau. Jie gali pažvelgti į žinomo grėsmės dalyvio veiksmus - veiksmus, kurie gali atrodyti, kad paviršiuje yra visiškai gerybiniai - ir spėlioti apie motyvus, kuriuos grėsmės dalyvis gali turėti atlikdamas tuos veiksmus. Kadangi grėsmės žvalgybos analitikas gali žinoti apie kitą iš pažiūros nesusijusią veiklą - politinius neramumus šiame regione ar tame regione augančią ekonominę įtampą - grėsmės žvalgybos analitikas yra unikalioje padėtyje sujungti taškus į paveikslą, kuris turi tikrąją prasmę, paveikslą, kuris PG sistemos ar didžiųjų duomenų analitiko gali visiškai nepastebėti. Kai PG sistema gali tiesiog aptikti, kad grėsmės veikėjas nuolatos stovi domino, grėsmės žvalgybos analitikas gali nuspręsti, kokį poveikį šie dominai turės, kai pradės kristi, ir atitinkamai pasiruošti.
