Q:
Какво прави анализаторът на заплахата?
A:По принцип анализаторът на информацията за кибер заплаха е човек, който е специализиран в събирането, интерпретирането и разбирането на значението на информацията за заплахата. За разлика от отговорника за инцидент в областта на сигурността, който гледа информация за заплаха, генерирана от вътрешна система, като телеметрична система или система за наблюдение на крайната точка, анализаторът на информацията за кибер заплахата разглежда преди всичко външната информация за заплахата. Те поемат пулса на интернет, както беше. За какво говорят известни участници в заплахата? Какви нови участници в заплахата се появяват в тъмните рекламни табла за уеб и чат стаи? Кой купува и продава каква информация, инструменти и търговски кораби? Каква информация се появява в света на ботнет, който може да е от значение за отделна организация или за набор от клиенти?
Анализаторите на заплахата разузнават, че търсят индикатори, които ще насърчат разбирането за това, какви бури може да се появят над цифровия океан, но все още не са засегнали сушата, така че когато тези бури наистина пристигнат, ние можем да бъдем готови. Те са уникално разположени, за да помогнат на предприятието активно да позиционира защитните си сили и да помогнат на специалистите по вътрешна сигурност да знаят къде да търсят уязвимости или потенциални пукнатини в съществуващата киберзащита. Ако открият обсъждане на новооткрита уязвимост в IoT уред, например, могат да предупредят други специалисти по сигурността да определят дали този уред е част от корпоративната инфраструктура на IoT - и ако е така, те могат да ви помогнат да посъветвате стъпки, които могат да бъдат предприети за намаляване на риска, породен от тази уязвимост.
Важно е да се отбележи, че анализаторите за заплаха за разузнаване обикновено не търсят известни заплахи. Те не търсят неправилно конфигурирано устройство в корпоративния интернет; те държат отворени очите и ушите си за индикатори, че някой е започнал да обсъжда как да използва такова неправилно конфигурирано устройство. След като открие индикатор, че се водят подобни дискусии, тази информация може да задейства действие в рамките на предприятието, за да открие дали такива устройства са били внедрени и дали са правилно конфигурирани.
Анализаторите на заплахата от разузнаването също действат по много по-спекулативен начин. Те могат да разгледат дейностите на известен участник в заплахата - действия, които могат да изглеждат на повърхността като напълно доброкачествени - и да спекулират с мотивите, които заплашващият актьор може да има за предприемането на тези действия. Тъй като анализаторът на заплахата за разузнаване може да е наясно с други на пръв поглед несвързани дейности - политически вълнения в този регион или икономическо напрежение, нарастващо в този регион, анализаторът на заплахата е уникално позициониран да свърже точките в картина, която има истинско значение, картина, която AI система или анализатор на големи данни може да пропусне изцяло. Когато една ИИ система може просто да открие, че актьорът със заплаха стои домино на края, анализаторът на заплахата може да успее да заключи какъв ефект ще имат тези домино, когато започнат да падат - и да се подготви съответно.
