Q:
Que fait un analyste du renseignement sur les menaces?
UNE:Fondamentalement, un analyste du renseignement sur les cybermenaces est une personne spécialisée dans la collecte, l'interprétation et la compréhension de l'importance des informations sur les menaces. Contrairement à un intervenant en cas d'incident de sécurité, qui examine les informations sur les menaces générées par un système interne, comme un système de télémétrie ou un système de surveillance des points de terminaison, un analyste du renseignement sur les menaces informatiques examine principalement les renseignements sur les menaces externes . Ils prennent le pouls d'Internet, pour ainsi dire. De quoi parlent les acteurs des menaces connus? Quels nouveaux acteurs de menace apparaissent dans les tableaux d'affichage et les forums de discussion sur le Web? Qui achète et vend quelles informations, quels outils et quels métiers? Quelles informations apparaissent dans le monde du botnet qui pourraient être pertinentes pour une organisation individuelle ou pour un ensemble de clients?
Les analystes du renseignement sur les menaces recherchent des indicateurs qui permettront de comprendre quelles tempêtes peuvent se propager au-dessus de l'océan numérique mais n'ont pas encore touché la terre - de sorte que lorsque ces tempêtes arrivent, nous pouvons être préparés. Ils sont particulièrement bien placés pour aider une entreprise à positionner ses défenses de manière proactive et pour aider les professionnels de la sécurité interne à savoir où rechercher les vulnérabilités ou les fissures potentielles dans le cybershield existant. S'ils détectent une discussion sur une vulnérabilité récemment découverte dans une appliance IoT, par exemple, ils peuvent alerter d'autres professionnels de la sécurité pour déterminer si cette appliance fait partie de l'infrastructure IoT de l'entreprise - et, si tel est le cas, ils peuvent vous conseiller sur les étapes qui peuvent être prises pour réduire le risque posé par cette vulnérabilité.
Il est important de souligner que les analystes du renseignement sur les menaces ne recherchent généralement pas les menaces connues. Ils ne recherchent pas un appareil mal configuré sur Internet d'entreprise; ils gardent les yeux et les oreilles ouverts pour voir si quelqu'un a commencé à discuter de la façon d'exploiter un appareil aussi mal configuré. Lors de la découverte d'un indicateur que de telles discussions ont lieu, cette intelligence peut déclencher une action au sein de l'entreprise pour découvrir si de tels appareils ont été déployés et s'ils ont été correctement configurés.
Les analystes du renseignement sur les menaces fonctionnent également de manière beaucoup plus spéculative. Ils peuvent examiner les activités d'un acteur de menace connu - des actions qui peuvent sembler parfaitement bénignes à première vue - et spéculer sur les motifs que l'acteur de menace pourrait avoir pour entreprendre ces actions. Parce que l'analyste du renseignement sur les menaces peut être au courant d'autres activités apparemment sans rapport - troubles politiques dans cette région ou une tension économique croissante dans cette région - l'analyste du renseignement sur les menaces est particulièrement bien placé pour relier les points dans une image qui a un sens réel, une image qui un système d'IA ou un analyste de Big Data pourrait manquer complètement. Lorsqu'un système d'IA peut simplement détecter qu'un acteur de la menace met fin aux dominos, l'analyste du renseignement sur les menaces peut être en mesure de déduire l'effet que ces dominos auront lorsqu'ils commenceront à tomber - et de se préparer en conséquence.