J:
Ko dara draudu izlūkošanas analītiķis?
A:Būtībā kiberdraudējumu izlūkošanas analītiķis ir persona, kas specializējas draudu izlūkošanas informācijas vākšanā, interpretēšanā un izpratnē. Atšķirībā no reaģēšanas gadījumiem, kas saistīti ar drošības incidentiem, kurš meklē informāciju par draudiem, ko rada iekšēja sistēma, piemēram, telemetrijas sistēma vai galapunkta uzraudzības sistēma, kiberdraudējumu izlūkošanas analītiķis galvenokārt aplūko ārējo draudu izlūkdatus. Viņi ņem interneta impulsu, it kā tas būtu. Par ko runā zināmie draudu dalībnieki? Kādi jauni draudu dalībnieki parādās tumšos tīmekļa ziņojumu dēļos un tērzēšanas istabās? Kas pērk un pārdod kādu informāciju, rīkus un tirdzniecības izstrādājumus? Kāda informācija robottīklu pasaulē parādās, kas varētu attiekties uz atsevišķu organizāciju vai klientu kopumu?
Draudu izlūkdatu analītiķi meklē rādītājus, kas veicinās izpratni par to, kādas vētras varētu izcelties virs digitālā okeāna, bet vēl nav sasniegušas sauszemes robežu - lai tad, kad šīs vētras ieradīsies, mēs būtu sagatavoti. Viņi ir unikāli novietoti, lai palīdzētu uzņēmumam proaktīvi pozicionēt tā aizsargspējas un palīdzētu iekšējās drošības speciālistiem zināt, kur meklēt ievainojamības vai iespējamās plaisas esošajā kiberaizsardzībā. Piemēram, ja viņi atklāj diskusiju par IoT ierīcē nesen atklātu ievainojamību, viņi var brīdināt citus drošības speciālistus, lai noteiktu, vai šī ierīce ir daļa no IoT korporatīvās infrastruktūras, un, ja tā, viņi var palīdzēt ieteikt pasākumus, kas varētu būt veikti, lai samazinātu risku, ko rada šī neaizsargātība.
Ir svarīgi norādīt, ka draudu izlūkošanas analītiķi parasti nemeklē zināmos draudus. Viņi korporatīvajā internetā nemeklē nepareizi konfigurētu ierīci; viņi tur acis un ausis atvērtus rādītājiem, ka kāds ir sācis apspriest, kā izmantot šādu nepareizi konfigurētu ierīci. Atklājot indikatoru, ka šādas diskusijas notiek, šī inteliģence uzņēmumā var izraisīt darbību, lai atklātu, vai šādas ierīces ir ieviestas un vai tās ir pareizi konfigurētas.
Draudu izlūkošanas analītiķi darbojas arī daudz spekulatīvāk. Viņi var aplūkot zināma draudu dalībnieka darbības - darbības, kuras uz virsmas var šķist pilnīgi labdabīgas - un spekulēt par motīviem, kādi draudu skartajam varētu būt šo darbību veikšanai. Tā kā draudu izlūkošanas analītiķis var zināt par citām šķietami nesaistītām darbībām - politiskiem nemieriem šajā reģionā vai šajā reģionā augošu ekonomisku spriedzi - draudu izlūkošanas analītiķim ir unikālas iespējas savienot punktus attēlā, kam ir patiesa nozīme, attēlā, kas AI sistēma vai lielo datu analītiķis varētu pilnībā pietrūkt. Gadījumos, kad AI sistēma var vienkārši atklāt, ka draudu dalībnieks pastāvīgi atrodas domino, draudu izlūkošanas analītiķis var izsecināt, kāda ietekme būs šiem domino, kad tie sāk krist, un attiecīgi sagatavoties.
