Q:
Wat doet een analist van dreigingsinformatie?
EEN:Fundamenteel is een analist van cyber-bedreigingsinformatie iemand die gespecialiseerd is in het verzamelen, interpreteren en begrijpen van de betekenis van informatie over bedreigingsinformatie. In tegenstelling tot een beveiligingsincident-responder, die kijkt naar bedreigingsinformatie die is gegenereerd door een intern systeem, zoals een telemetriesysteem of een eindpuntbewakingssysteem, kijkt een analist van cyber-dreigingsinformatie vooral naar externe dreigingsinformatie. Ze nemen als het ware de polsslag van het internet. Waar hebben bekende dreigingsactoren het over? Welke nieuwe dreigingsactoren verschijnen op donkere web bulletinboards en chatrooms? Wie koopt en verkoopt welke informatie, hulpmiddelen en ambacht? Welke informatie duikt op in de botnetwereld die relevant kan zijn voor een individuele organisatie of voor een set klanten?
Analisten van dreigingsinformatie zoeken naar indicatoren die inzicht zullen geven in welke stormen er over de digitale oceaan kunnen uitbranden maar nog niet land hebben getroffen - zodat we kunnen worden voorbereid wanneer deze stormen aankomen. Ze zijn uniek gepositioneerd om een onderneming te helpen proactief zijn verdediging te positioneren en om interne beveiligingsprofessionals te helpen weten waar ze kwetsbaarheden of mogelijke scheuren in het bestaande cybershield moeten zoeken. Als ze bijvoorbeeld een nieuw ontdekte kwetsbaarheid in een IoT-apparaat detecteren, kunnen ze andere beveiligingsprofessionals waarschuwen om te bepalen of dat apparaat deel uitmaakt van de IoT-infrastructuur van het bedrijf - en, als dat zo is, kunnen ze helpen bij het adviseren over stappen die kunnen worden genomen om het risico van die kwetsbaarheid te verminderen.
Het is belangrijk om erop te wijzen dat analisten van dreigingsinformatie doorgaans niet op zoek zijn naar bekende bedreigingen. Ze zijn niet op zoek naar een onjuist geconfigureerd apparaat op het internet van het bedrijf; ze houden hun ogen en oren open voor indicatoren dat iemand is begonnen te discussiëren over het exploiteren van een dergelijk onjuist geconfigureerd apparaat. Bij het ontdekken van een indicator dat dergelijke discussies plaatsvinden, kan die intelligentie een actie binnen de onderneming veroorzaken om te ontdekken of dergelijke apparaten zijn geïmplementeerd en of ze correct zijn geconfigureerd.
Analyse van dreigingsinformatie werkt ook op een veel speculatievere manier. Ze kunnen kijken naar de activiteiten van een bekende dreigingsacteur - acties die op het eerste gezicht volkomen goedaardig lijken - en speculeren over de motieven die de dreigingsacteur zou kunnen hebben om die acties te ondernemen. Omdat de analist van dreigingsinformatie zich bewust kan zijn van andere schijnbaar niet-gerelateerde activiteiten - politieke onrust in deze regio of een economische spanning die in die regio groeit - is de analist van dreigingsinformatie uniek geplaatst om de stippen te verbinden tot een afbeelding met een echte betekenis, een afbeelding die een AI-systeem of big data-analist kan volledig missen. Waar een AI-systeem eenvoudig kan detecteren dat een bedreigingsacteur domino's overeind staat, kan de analist van de dreigingsinformatie misschien afleiden welk effect die domino's zullen hebben wanneer ze beginnen te vallen - en zich daarop voorbereiden.
