Contenuto
D:
Cosa fa un analista di intelligence sulle minacce?
UN:
Fondamentalmente, un analista di intelligence sulle minacce informatiche è una persona specializzata nella raccolta, interpretazione e comprensione del significato delle informazioni di intelligence sulle minacce. A differenza di un risponditore di incidenti di sicurezza, che sta esaminando le informazioni sulle minacce generate da un sistema interno, come un sistema di telemetria o un sistema di monitoraggio degli endpoint, un analista di intelligence sulle minacce informatiche sta principalmente guardando esterno intelligence sulle minacce. Stanno prendendo il polso di Internet, per così dire. Di cosa parlano gli attori noti delle minacce? Quali nuovi attori delle minacce stanno comparendo nelle bacheche e nelle chat room di Dark Web? Chi compra e vende quali informazioni, strumenti e artigianato? Quali informazioni stanno spuntando nel mondo botnet che potrebbero essere rilevanti per una singola organizzazione o per un insieme di clienti?
Gli analisti dell'intelligence sulle minacce sono alla ricerca di indicatori che promuovano la comprensione di quali tempeste potrebbero scatenarsi sull'oceano digitale ma non hanno ancora colpito la terra - in modo che quando queste tempeste arrivano, possiamo essere preparati. Sono posizionati in modo univoco per aiutare un'azienda a posizionare in modo proattivo le proprie difese e per aiutare i professionisti della sicurezza interna a sapere dove cercare vulnerabilità o potenziali crepe nel cybershield esistente. Se rilevano la discussione di una vulnerabilità appena scoperta in un'appliance IoT, ad esempio, possono avvisare altri professionisti della sicurezza per determinare se quell'appliance fa parte dell'infrastruttura IoT aziendale e, in tal caso, possono aiutare a consigliare i passaggi che possono essere preso per ridurre il rischio rappresentato da quella vulnerabilità.
È importante sottolineare che gli analisti dell'intelligence sulle minacce non sono in genere alla ricerca di minacce note. Non stanno cercando un dispositivo configurato in modo errato su Internet aziendale; stanno tenendo gli occhi e le orecchie aperti per gli indicatori che qualcuno ha iniziato a discutere su come sfruttare un dispositivo così configurato in modo errato. Dopo aver scoperto un indicatore del fatto che tali discussioni si stanno svolgendo, l'intelligence può innescare un'azione all'interno dell'azienda per scoprire se tali dispositivi sono stati distribuiti e se sono stati configurati correttamente.
Gli analisti delle informazioni sulle minacce operano anche in un modo molto più speculativo. Potrebbero esaminare le attività di un noto attore di minaccia - azioni che potrebbero apparire in superficie perfettamente benigne - e speculare sui motivi che l'attore di minaccia potrebbe avere per intraprendere tali azioni. Poiché l'analista dell'intelligence sulle minacce può essere a conoscenza di altre attività apparentemente non correlate - disordini politici in questa regione o una tensione economica che cresce in quella regione - l'analista dell'intelligence sulle minacce è posizionato in modo univoco per collegare i punti in un'immagine che ha un significato reale, un'immagine che un sistema di intelligenza artificiale o un analista di big data potrebbe mancare del tutto. Laddove un sistema di intelligenza artificiale può semplicemente rilevare che un attore di minaccia è in piedi domino, l'analista dell'intelligence sulle minacce potrebbe essere in grado di dedurre quale effetto avranno quei domino quando iniziano a cadere - e prepararsi di conseguenza.