F:
Vad gör en hotinformation?
A:I grund och botten är en cyberhotsanalytiker någon som är specialiserad på att samla in, tolka och förstå betydelsen av information om hotinformation. Till skillnad från en säkerhetshändelsesponsör, som tittar på hotinformation som genereras av ett internt system, såsom ett telemetrisystem eller ett slutpunktövervakningssystem, tittar en cyberhotsanalytiker främst på extern hotintelligens. De tar pulsen på internet, som det var. Vad är kända hotaktörer som pratar om? Vilka nya hotaktörer dyker upp i mörka anslagstavlor och chattrum på webben? Vem köper och säljer vilken information, verktyg och varumärke? Vilken information dyker upp i botnetvärlden som kan vara relevant för en enskild organisation eller för en uppsättning klienter?
Analyser för hotintelligens letar efter indikatorer som kommer att främja en förståelse för vilka stormar som bryter ut över det digitala havet men ännu inte har drabbat land - så att när dessa stormar kommer, kan vi vara beredda. De är unikt placerade för att hjälpa ett företag att proaktivt placera sina försvar och för att hjälpa personal inom intern säkerhet vet var de ska leta efter sårbarheter eller potentiella sprickor i det befintliga cybershield. Om de upptäcker diskussioner om en nyupptäckt sårbarhet i en IoT-enhet, till exempel, kan de varna andra säkerhetsarbetare för att avgöra om den apparaten är en del av företagets IoT-infrastruktur - och i så fall kan de hjälpa dig att ge råd om steg som kan vara taget för att minska risken med den sårbarheten.
Det är viktigt att påpeka att analytiker för hotintelligens inte vanligtvis letar efter kända hot. De letar inte efter en felaktigt konfigurerad enhet på företagets internet. de håller ögonen och öronen öppna för indikatorer om att någon har börjat diskutera hur man utnyttjar en sådan felaktigt konfigurerad enhet. När man upptäcker en indikator för att sådana diskussioner äger rum, kan intelligens utlösa en åtgärd inom företaget för att upptäcka om sådana enheter har distribuerats och om de har konfigurerats korrekt.
Analyser för hotintelligens fungerar också på ett mycket mer spekulativt sätt. De kan titta på aktiviteterna hos en känd hotaktör - handlingar som kan tyckas på ytan för att vara perfekt godartade - och spekulera i de motiv som hotaktören kan ha för att utföra dessa åtgärder. Eftersom hoten om efterlysningsanalytiker kan vara medveten om andra till synes oberoende aktiviteter - politisk orolighet i denna region eller en ekonomisk spänning som växer i den regionen - är hotintelligensanalytiker unikt placerade för att koppla prickarna till en bild som har verklig mening, en bild som ett AI-system eller big data-analytiker kanske missar helt. Där ett AI-system helt enkelt kan upptäcka att en hotaktör står dominoer i slutet, kan hoten om intelligensanalyser kunna dra slutsatsen vilken effekt dessa dominoer kommer att ha när de börjar falla - och förbereda sig därefter.
