P:
Što radi analitičar opasnosti od prijetnji?
A:U osnovi, analitičar za cyber prijetnju je netko tko se specijalizirao za prikupljanje, tumačenje i razumijevanje značaja podataka o obavještajnim podacima. Za razliku od odgovornika na sigurnosne incidente, koji gleda informacije o prijetnji koje stvara interni sustav, poput telemetrijskog sustava ili sustava praćenja krajnjih točaka, analitičar koji se bavi cyber prijetnjama prvenstveno promatra vanjske izvještaje o prijetnji. Uzimaju puls interneta, kakav je bio. O čemu govore akteri prijetnji? Koji se novi akteri prijetnji prikazuju na tamnim oglasnim pločama i chat sobe? Tko kupuje i prodaje koje informacije, alate i trgovačke letjelice? Koje se informacije pojavljuju u botnet svijetu koje bi mogle biti relevantne za pojedinu organizaciju ili skup klijenata?
Analitičari za prijetnje traže indikatore koji će potaknuti razumijevanje onoga što oluje nastaje preko digitalnog oceana, ali još nije pogodilo kopno - tako da kad ove oluje stignu, možemo biti spremni. Oni su jedinstveno postavljeni kako bi pomogli poduzeću da proaktivno pozicionira svoju obranu i da pomognu profesionalcima unutarnje sigurnosti znati gdje tražiti ranjivosti ili potencijalne pukotine na postojećem kibernetskom zaslonu. Ako, primjerice, otkriju raspravu o novootkrivenoj ranjivosti u IoT uređaju, mogu upozoriti druge sigurnosne stručnjake da utvrde je li taj uređaj dio korporativne IoT infrastrukture - i, ako je tako, mogu vam pomoći savjetovanjem o koracima koji mogu biti poduzeti za smanjenje rizika koji predstavlja ta ranjivost.
Važno je naglasiti da analitičari obavještajnih podataka o prijetnjama obično ne traže poznate prijetnje. Ne traže nepravilno konfigurirani uređaj na korporativnom internetu; drže oči i uši otvorene kako bi pokazali da je netko počeo raspravljati o tome kako iskoristiti takav nepravilno konfiguriran uređaj. Otkrivši pokazatelj da se vode takve rasprave, ta inteligencija može pokrenuti radnju unutar poduzeća kako bi otkrila jesu li takvi uređaji raspoređeni i jesu li pravilno konfigurirani.
Analitičari prijetnji također djeluju na mnogo špekulativni način. Oni mogu gledati na aktivnosti poznatog aktera prijetnje - radnje koje bi na površini mogle biti savršeno benigne - i nagađaju o motivima koje akter prijetnje može imati za poduzimanje tih akcija. Budući da analitičar prijetnji može biti svjestan drugih naizgled nepovezanih aktivnosti - političkih nemira u ovoj regiji ili ekonomskih tenzija koje rastu u toj regiji, analitičar prijetnji opasnosti jedinstven je položaj za povezivanje točkica u sliku koja ima stvarno značenje, sliku koja AI sustav ili analitičar velikih podataka mogao bi u potpunosti propustiti. Ako AI sustav može jednostavno otkriti da akter prijetnji stoji na kraju domina, analitičar prijetnji može biti u stanju zaključiti kakav će učinak imati te domine kada počnu padati - i pripremiti se u skladu s tim.