Mit csinál egy fenyegetésértékelő elemző?

K:

Mit csinál egy fenyegetésértékelő elemző?

Alapvetõen a számítógépes fenyegetõ intelligencia elemzõ olyan személy, aki a fenyegetésekkel kapcsolatos hírszerzési információk összegyûjtésére, értelmezésére és megértésére szakosodott. A biztonsági események válaszadójával ellentétben, akik egy belső rendszer, például egy telemetriai rendszer vagy egy végpont-megfigyelő rendszer által generált fenyegetési információkat vizsgálnak, a számítógépes fenyegetések hírszerzési elemzője elsősorban a külső fenyegetésekkel kapcsolatos információkat vizsgálja. Úgy veszik az internetet, mint amilyen. Miről beszélnek az ismert fenyegető szereplők? Milyen új fenyegető szereplők jelennek meg a sötét internetes hirdetőtáblákon és a chat-szobákban? Ki vásárol és ad el mindent információt, szerszámot és kereskedelmi felszerelést? Milyen információk jelennek meg a botnet világban, amelyek relevánsak lehetnek az egyes szervezetekre vagy az ügyfelek körére?

A fenyegetés-intelligencia elemzői olyan mutatókat keresnek, amelyek elősegítik annak megértését, hogy milyen viharok támadhatnak a digitális óceán felett, de még nem értek el a szárazföldön - így amikor ezek a viharok megérkeznek, felkészültek lehetünk. Egyedülálló helyzetben vannak, hogy segítsenek egy vállalkozásnak proaktívan elhelyezni védekezését, és segítséget nyújtanak a belső biztonsági szakembereknek abban, hogy tudják, hol kell keresni a meglévő kiberhálózat sebezhetőségét vagy esetleges repedéseit. Ha például észlelnek egy újonnan felfedezett biztonsági rést az IoT-eszközben, figyelmeztethetnek más biztonsági szakembereket annak megállapítására, hogy az eszköz része a vállalati IoT-infrastruktúrának - és ha igen, akkor segítséget nyújthatnak a lehetséges lépések megfogalmazásában. azért, hogy csökkentsék a sebezhetőség kockázatát.

Fontos kiemelni, hogy a fenyegetés-intelligencia elemzői általában nem keresnek ismert veszélyeket. Nem keresnek helytelenül konfigurált készüléket a vállalati interneten; nyitva tartják a szemüket és a fülüket olyan mutatókhoz, amelyek után valaki megvitatta egy ilyen nem megfelelően konfigurált eszköz kihasználásának módját. Miután felfedezte az ilyen megbeszélések zajlását, az intelligencia fellépést válthat ki a vállalkozáson belül annak felmérésére, hogy ezeket az eszközöket telepítették-e, és hogy megfelelően vannak-e konfigurálva.

A fenyegetés intelligencia elemzői szintén sokkal spekulatívabban működnek. Megvizsgálhatják egy ismert fenyegető szereplő tevékenységét - a felszínen tökéletesen jóindulatúnak tűnő cselekedeteket -, és spekulálhatnak azokkal a motívumokkal, amelyekkel a fenyegető szereplő e cselekmények elvégzése érdekében felmerülhet. Mivel a fenyegetés-intelligencia elemzője más látszólag független tevékenységekről ismerhet - e téren a politikai nyugtalanságokon vagy a térségben növekvő gazdasági feszültségeken -, a fenyegetés hírszerzési elemzője egyedülálló helyzetben van ahhoz, hogy a pontokat egy olyan képhez kapcsolja, amelynek valódi jelentése van, az AI rendszer vagy a nagy adatelemző teljesen hiányozhat. Ha egy AI-rendszer egyszerűen észlelheti, hogy egy fenyegetés szereplője dominóhelyet áll a végén, a fenyegetés-intelligencia elemzője következtethet arra, hogy ezeknek a dominóknak milyen hatása lesz, amikor esni kezdenek - és ennek megfelelően felkészülni.