Что делает аналитик разведки угроз?

Автор: Laura McKinney
Дата создания: 4 Апрель 2021
Дата обновления: 1 Июль 2024
Anonim
Выпуск 11. Разведка угроз в SOC: TI or not TI? — Александр Бондаренко, Николай Арефьев
Видео: Выпуск 11. Разведка угроз в SOC: TI or not TI? — Александр Бондаренко, Николай Арефьев

Содержание

Q:

Что делает аналитик разведки угроз?


A:

По сути, аналитик по киберугрозам - это тот, кто специализируется на сборе, интерпретации и понимании важности информации об угрозах. В отличие от реагирующего на инциденты безопасности, который просматривает информацию об угрозах, генерируемую внутренней системой, такой как телеметрическая система или система мониторинга конечных точек, аналитик по киберугрозам прежде всего смотрит на внешний разведка угроз. Они как будто берут пульс интернета. О чем говорят известные актеры угрозы? Какие новые актеры угроз появляются в темных электронных досках объявлений и чатах? Кто покупает и продает какую информацию, инструменты и tradecraft? Какая информация появляется в мире ботнетов, которая может иметь отношение к отдельной организации или группе клиентов?

Аналитики разведки угроз ищут индикаторы, которые будут способствовать пониманию того, какие штормы могут назревать над цифровым океаном, но еще не достигли суши - так что, когда эти штормы действительно наступят, мы можем быть готовы. Они имеют уникальную возможность помочь предприятию заблаговременно позиционировать свою защиту и помочь специалистам по внутренней безопасности знать, где искать уязвимости или потенциальные трещины в существующем киберщите. Например, если они обнаруживают обсуждение недавно обнаруженной уязвимости в устройстве IoT, они могут предупредить других специалистов по безопасности, чтобы определить, является ли это устройство частью корпоративной инфраструктуры IoT, и, если это так, они могут помочь дать рекомендации относительно возможных шагов. приняты для уменьшения риска, связанного с этой уязвимостью.


Важно отметить, что аналитики разведки угроз обычно не ищут известные угрозы. Они не ищут неправильно настроенное устройство в корпоративном интернете; они держат свои глаза и уши открытыми для индикаторов того, что кто-то начал обсуждать, как использовать такое неправильно сконфигурированное устройство. После обнаружения индикатора, что такие обсуждения имеют место, этот интеллект может инициировать действие внутри предприятия, чтобы определить, были ли такие устройства развернуты и были ли они правильно настроены.

Аналитики разведки угроз также действуют гораздо более умозрительно. Они могут посмотреть на действия известного субъекта угрозы - действия, которые могут показаться на поверхности совершенно безобидными, - и порассуждать о мотивах, которые может иметь субъект угрозы для осуществления этих действий. Поскольку аналитик разведки угроз может быть осведомлен о других, казалось бы, не связанных действиях - политических беспорядках в этом регионе или обострении экономической напряженности в этом регионе - аналитик разведки угроз обладает уникальными возможностями связать точки в картину, которая имеет реальное значение, картину, которая система искусственного интеллекта или аналитик больших данных могут пропустить полностью. В тех случаях, когда система ИИ может просто обнаружить, что субъект угрозы постоянно стоит в домино, аналитик разведки угроз может определить, какое влияние окажут эти домино, когда они начнут падать, - и подготовиться соответствующим образом.