Q:
Hva gjør en trusselinformasjonsanalytiker?
EN:I utgangspunktet er en cyber-trussel etterretningsanalytiker noen som spesialiserer seg på å samle inn, tolke og forstå betydningen av informasjon om trusselinformasjon. I motsetning til en sikkerhetshendelsesperson, som ser på trusselinformasjon generert av et internt system, for eksempel et telemetriesystem eller et endepunktovervåkingssystem, ser en analytiker på nettet av trussel etterlysning først og fremst på ekstern trusselinformasjon. De tar pulsen på internett, som det var. Hva er kjente trusselaktører som snakker om? Hvilke nye trusselaktører dukker opp i mørke nettbaserte oppslagstavler og chatterom? Hvem kjøper og selger hvilken informasjon, verktøy og varemerke? Hvilken informasjon dukker opp i botnetverdenen som kan være relevant for en individuell organisasjon eller for et sett med klienter?
Analyser av trusselintelligens leter etter indikatorer som vil fremme forståelse for hva stormer som brygger ut over det digitale havet, men som ennå ikke har truffet land - slik at når disse stormene kommer, kan vi være forberedt. De er unikt posisjonert for å hjelpe en bedrift proaktivt med å plassere sine forsvar og for å hjelpe fagfolk innen intern sikkerhet vite hvor de skal se etter sårbarheter eller potensielle sprekker i det eksisterende cybershield. Hvis de for eksempel oppdager diskusjon om et nylig oppdaget sårbarhet i et IoT-apparat, kan de varsle andre sikkerhetspersoner om å bestemme om det apparatet er en del av bedriftens IoT-infrastruktur - og i så fall kan de hjelpe deg med å gi råd om trinn som kan være tatt for å redusere risikoen for den sårbarheten.
Det er viktig å påpeke at trusselinformasjonsanalytikere ikke vanligvis leter etter kjente trusler. De leter ikke etter en feil konfigurert enhet på bedriftsinternet; de holder øynene og ørene åpne for indikatorer om at noen har begynt å diskutere hvordan man kan utnytte en slik feil konfigurert enhet. Ved å oppdage en indikator på at slike diskusjoner finner sted, kan intelligens utløse en handling i virksomheten for å oppdage om slike enheter har blitt distribuert og om de er riktig konfigurert.
Trusselintelligensanalytikere opererer også på en mye mer spekulativ måte. De kan se på aktivitetene til en kjent trusselaktør - handlinger som kan synes på overflaten å være perfekt godartede - og spekulere i hvilke motiv trusselaktøren kan ha for å utføre disse handlingene. Fordi trusselinformasjonsanalytikeren kan være klar over andre tilsynelatende ikke-relaterte aktiviteter - politisk uro i denne regionen eller en økonomisk spenning som vokser i den regionen - er trusselinformasjonsanalytikeren unikt posisjonert for å koble prikkene til et bilde som har reell mening, et bilde som et AI-system eller big data-analytiker kan savne helt. Der et AI-system ganske enkelt kan oppdage at en trusselaktør står dominoer på slutten, kan trusselinformasjonsanalytikeren kanskje kunne utlede hvilken effekt disse dominoene vil ha når de begynner å falle - og forberede seg deretter.
