Inhoud
Q:
Wat doet een analist van dreigingsinformatie?
EEN:
Fundamenteel is een analist van cyber-dreigingsinformatie iemand die gespecialiseerd is in het verzamelen, interpreteren en begrijpen van de betekenis van informatie over dreigingsinformatie. In tegenstelling tot een beveiligingsincident-responder, die naar bedreigingsinformatie kijkt die is gegenereerd door een intern systeem, zoals een telemetriesysteem of een eindpuntbewakingssysteem, kijkt een analist van cyber-dreigingsinformatie vooral naar extern informatie over dreigingen. Ze nemen als het ware de polsslag van het internet. Waar hebben bekende dreigingsactoren het over? Welke nieuwe dreigingsactoren verschijnen op donkere web bulletinboards en chatrooms? Wie koopt en verkoopt welke informatie, gereedschappen en handel? Welke informatie duikt op in de botnetwereld die relevant kan zijn voor een individuele organisatie of voor een set klanten?
Analisten van dreigingsinformatie zoeken naar indicatoren die inzicht zullen geven in welke stormen er over de digitale oceaan kunnen uitbranden maar nog niet land hebben getroffen - zodat we kunnen worden voorbereid wanneer deze stormen aankomen. Ze zijn uniek gepositioneerd om een onderneming te helpen proactief zijn verdediging te positioneren en om interne beveiligingsprofessionals te helpen weten waar te zoeken naar kwetsbaarheden of mogelijke scheuren in het bestaande cybershield. Als ze bijvoorbeeld een nieuw ontdekte kwetsbaarheid in een IoT-apparaat detecteren, kunnen ze andere beveiligingsprofessionals waarschuwen om te bepalen of dat apparaat deel uitmaakt van de IoT-infrastructuur van het bedrijf - en als dat het geval is, kunnen ze helpen bij het adviseren over stappen die genomen om het risico van die kwetsbaarheid te verminderen.
Het is belangrijk om erop te wijzen dat analisten van dreigingsinformatie doorgaans niet op zoek zijn naar bekende bedreigingen. Ze zijn niet op zoek naar een onjuist geconfigureerd apparaat op het internet van het bedrijf; ze houden hun ogen en oren open voor indicatoren dat iemand is begonnen met het bespreken van het exploiteren van een dergelijk onjuist geconfigureerd apparaat. Bij het ontdekken van een indicator dat dergelijke discussies plaatsvinden, kan die intelligentie een actie binnen de onderneming veroorzaken om te ontdekken of dergelijke apparaten zijn geïmplementeerd en of ze correct zijn geconfigureerd.
Analyse van dreigingsinformatie werkt ook op een veel speculatievere manier. Ze kunnen kijken naar de activiteiten van een bekende dreigingsacteur - acties die op het eerste gezicht volkomen goedaardig lijken - en speculeren over de motieven die de dreigingsacteur zou kunnen hebben om die acties te ondernemen. Omdat de analist van de dreigingsinformatie zich misschien bewust is van andere schijnbaar niet-gerelateerde activiteiten - politieke onrust in deze regio of een economische spanning die in die regio groeit - is de analist van de dreigingsinformatie uniek geplaatst om de stippen te verbinden tot een afbeelding met een echte betekenis, een afbeelding die een AI-systeem of big data-analist kan volledig missen. Waar een AI-systeem eenvoudig kan detecteren dat een bedreigingsacteur domino's overeind staat, kan de analist van de dreigingsinformatie misschien afleiden welk effect die domino's zullen hebben wanneer ze beginnen te vallen - en zich daarop voorbereiden.