Q:
Hvad gør en trusseludstyrsanalytiker?
EN:Grundlæggende er en cyber-trussel-efterretningsanalytiker nogen, der har specialiseret sig i at indsamle, fortolke og forstå betydningen af information om trusselsinformation. I modsætning til en sikkerhedshændelsespondent, der ser på trusselinformation genereret af et internt system, såsom et telemetrisystem eller et endepunktovervågningssystem, ser en analytiker på cybertrusselsinformation primært på ekstern trusselsinformation. De tager pulsen af internettet som det var. Hvad er kendte trusselsskuespillere, der taler om? Hvilke nye trusselaktører dukker op i mørke webopslagtavler og chatrum? Hvem køber og sælger hvilke oplysninger, værktøjer og varemærker? Hvilke oplysninger dukker op i botnetverdenen, der kan være relevant for en individuel organisation eller for et sæt klienter?
Threat intelligence analytikere er på udkig efter indikatorer, der fremmer en forståelse af, hvad storme der brygger ud over det digitale hav, men som endnu ikke har ramt land - så når disse storme kommer, kan vi være forberedt. De er unikt placeret for at hjælpe en virksomhed proaktivt med at placere sine forsvar og for at hjælpe fagfolk med intern sikkerhed ved, hvor de skal se efter sårbarheder eller potentielle revner i det eksisterende cybershield. Hvis de f.eks. Opdager diskussion af en nyligt opdaget sårbarhed i et IoT-apparat, kan de advare andre sikkerhedsfolk om at afgøre, om dette apparat er en del af virksomhedens IoT-infrastruktur - og i bekræftende fald kan de hjælpe med at rådgive om trin, der kan være taget for at reducere risikoen ved den sårbarhed.
Det er vigtigt at påpege, at analytikere af trusselsinformation ikke typisk leder efter kendte trusler. De leder ikke efter en forkert konfigureret enhed på virksomhedsinternet; de holder deres øjne og ører åbne for indikatorer for, at nogen er begyndt at diskutere, hvordan man udnytter en sådan forkert konfigureret enhed. Når man opdager en indikator for, at sådanne diskussioner finder sted, kan intelligens udløse en handling i virksomheden for at finde ud af, om sådanne enheder er blevet anvendt, og om de er konfigureret korrekt.
Threat intelligence analytikere opererer også på en meget mere spekulativ måde. De kan se på aktiviteterne hos en kendt trusselsaktør - handlinger, der kan synes på overfladen at være perfekt godartede - og spekulere i de motiver, som trusselaktøren kan have for at udføre disse handlinger. Fordi trusselintelligensanalytikeren måske er opmærksom på andre tilsyneladende ikke-relaterede aktiviteter - politisk uro i denne region eller en økonomisk spænding, der vokser i denne region, er trusseludstyrsanalytikeren unikt placeret til at forbinde prikkerne til et billede, der har reel mening, et billede, der et AI-system eller big data-analytiker går måske helt glip af. Hvor et AI-system simpelthen kan opdage, at en trusselaktør står dominoer til sidst, kan trusselsinformationen muligvis udlede, hvilken effekt disse dominoer vil have, når de begynder at falde - og forberede sig i overensstemmelse hermed.
