Contenu
Q:
Que fait un analyste du renseignement sur les menaces?
UNE:
Fondamentalement, un analyste de renseignements sur les menaces cybernétiques est une personne spécialisée dans la collecte, l'interprétation et la compréhension de l'importance des informations provenant de renseignements sur les menaces. Contrairement à un intervenant en cas d’incident de sécurité qui examine les informations sur les menaces générées par un système interne, tel qu'un système de télémétrie ou un système de surveillance des terminaux, un analyste du renseignement sur les cybermenaces examine principalement externe renseignements sur les menaces. Ils prennent le pouls d’Internet, pour ainsi dire. De quoi les acteurs de menace connus parlent-ils? Quelles nouvelles menaces apparaissent dans les babillards et les forums de discussion sombres sur le Web? Qui achète et vend quels types d’information, d’outils et d’artisanat? Quelles informations surgissent dans le monde du botnet qui pourraient être pertinentes pour une organisation individuelle ou pour un ensemble de clients?
Les analystes du renseignement sur les menaces recherchent des indicateurs qui leur permettront de mieux comprendre les tempêtes qui se préparent sur l’océan numérique, mais n’ont pas encore atteint la terre ferme - de manière à pouvoir se préparer lorsque ces tempêtes arriveront. Ils occupent une position unique pour aider une entreprise à positionner de manière proactive ses défenses et pour aider les professionnels de la sécurité interne à savoir où rechercher des vulnérabilités ou des fissures potentielles dans le cybershield existant. Par exemple, s'ils détectent une vulnérabilité récemment découverte dans une appliance IoT, ils peuvent alerter d'autres professionnels de la sécurité pour déterminer si cette appliance fait partie de l'infrastructure IoT de l'entreprise et, le cas échéant, vous conseiller sur les étapes à suivre. prises pour réduire le risque posé par cette vulnérabilité.
Il est important de souligner que les analystes du renseignement sur les menaces ne recherchent généralement pas les menaces connues. Ils ne recherchent pas un appareil mal configuré sur l’Internet d’entreprise; ils gardent les yeux et les oreilles ouverts à la recherche d'indices indiquant que quelqu'un a commencé à discuter de la façon d'exploiter un appareil aussi mal configuré. Lorsqu'il découvre un indicateur de la tenue de telles discussions, cette intelligence peut déclencher une action au sein de l'entreprise pour déterminer si de tels périphériques ont été déployés et s'ils ont été configurés correctement.
Les analystes du renseignement sur les menaces fonctionnent également de manière beaucoup plus spéculative. Ils peuvent examiner les activités d'un acteur connu menaçant - des actions qui pourraient paraître à la surface comme parfaitement bénignes - et émettre des hypothèses sur les motivations que l'acteur pourrait avoir pour ces actes. Étant donné que l’analyste du renseignement sur les menaces est peut-être au courant d’autres activités apparemment sans lien - troubles politiques dans cette région ou tensions économiques croissantes dans cette région - l’analyste du renseignement sur la menace est particulièrement bien placé pour relier les points en une image réellement réelle. un système d'IA ou un analyste Big Data peut manquer complètement. Lorsqu'un système d'IA peut simplement détecter qu'un acteur de la menace se livre à des dominos, l'analyste des renseignements sur les menaces peut déduire quel effet ces dominos auront quand ils commenceront à tomber - et se préparer en conséquence.