Q:
O que um analista de inteligência de ameaças faz?
UMA:Fundamentalmente, um analista de inteligência de ameaças cibernéticas é alguém especializado em coletar, interpretar e entender o significado das informações de inteligência de ameaças. Ao contrário de um respondedor de incidentes de segurança, que está analisando informações de ameaças geradas por um sistema interno, como um sistema de telemetria ou um sistema de monitoramento de terminais, um analista de inteligência de ameaças cibernéticas está olhando principalmente para informações de ameaças externas . Eles estão tomando o pulso da internet, por assim dizer. Sobre o que os atores de ameaças conhecidos estão falando? Quais novos atores de ameaça estão aparecendo em quadros de avisos e salas de bate-papo da dark web? Quem está comprando e vendendo quais informações, ferramentas e tradecraft? Quais informações estão surgindo no mundo das botnets que podem ser relevantes para uma organização individual ou para um conjunto de clientes?
Os analistas de inteligência de ameaças estão procurando indicadores que promovam uma compreensão de quais tempestades podem estar surgindo no oceano digital, mas ainda não atingiram a terra - para que, quando essas tempestades chegarem, possamos estar preparados. Eles estão posicionados de maneira exclusiva para ajudar uma empresa a posicionar proativamente suas defesas e para ajudar os profissionais de segurança interna a saber onde procurar vulnerabilidades ou possíveis falhas no ciber-escudo existente. Se eles detectarem a discussão de uma vulnerabilidade recém-descoberta em um dispositivo IoT, por exemplo, eles podem alertar outros profissionais de segurança para determinar se esse dispositivo faz parte da infraestrutura corporativa de IoT - e, nesse caso, podem ajudar a aconselhar sobre as etapas que podem ser seguidas. tomadas para reduzir o risco representado por essa vulnerabilidade.
É importante ressaltar que os analistas de inteligência de ameaças normalmente não estão procurando ameaças conhecidas. Eles não estão procurando um dispositivo configurado incorretamente na Internet corporativa; eles estão mantendo os olhos e os ouvidos abertos para os indicadores de que alguém começou a discutir como explorar um dispositivo configurado incorretamente. Ao descobrir um indicador de que essas discussões estão ocorrendo, essa inteligência pode desencadear uma ação na empresa para descobrir se esses dispositivos foram implantados e se foram configurados corretamente.
Os analistas de inteligência sobre ameaças também operam de maneira muito mais especulativa. Eles podem observar as atividades de um ator de ameaça conhecido - ações que podem parecer superficiais perfeitamente benignas - e especular sobre os motivos que o ator de ameaça possa ter para realizar essas ações. Como o analista de inteligência de ameaças pode estar ciente de outras atividades aparentemente não relacionadas - distúrbios políticos nessa região ou uma tensão econômica crescente nessa região -, o analista de inteligência de ameaças está posicionado de maneira exclusiva para conectar os pontos a uma imagem com significado real, uma imagem que um sistema de IA ou um analista de big data pode perder totalmente. Onde um sistema de IA pode simplesmente detectar que um ator de ameaça está dominando, o analista de inteligência de ameaças pode ser capaz de inferir que efeito esses dominós terão quando começarem a cair - e se preparar adequadamente.