П:
Шта ради аналитички аналитичар претњи?
О:У основи, аналитичар за сајбер-претње је неко ко се специјализовао за прикупљање, тумачење и разумевање значаја обавештајних информација о претњама. За разлику од одговорног за безбедносне инциденте, који гледа информације о претњама које ствара интерни систем, као што је телеметријски систем или систем за надгледање крајњих тачака, аналитичар за сајбер претњу пре свега гледа на спољну обавештајну претњу. Они узимају пулс интернета, какав је био. О чему говоре актери претњи? Који се нови актери претњи појављују на тамним веб огласним таблама и ћаскаоницама? Ко купује и продаје које информације, алате и трговачке летелице? Које се информације појављују у ботнет свијету које би могле бити релевантне за поједину организацију или скуп клијената?
Аналитичари за претњу траже индикаторе који ће подстаћи разумевање шта олује настаје над дигиталним океаном, али још није погодило копно - тако да када те олује стигну, можемо бити спремни. Они су јединствено позиционирани да помогну предузећу да проактивно позиционира своју одбрану и да помогну професионалцима за унутрашњу безбедност да знају где да траже рањивости или потенцијалне пукотине на постојећем сајбер-заштитном заслону. Ако открију дискусију о новооткривеној рањивости у ИоТ уређају, на пример, могу упозорити друге стручњаке за безбедност да утврде да ли је тај уређај део корпоративне ИоТ инфраструктуре - и, ако је тако, могу вам помоћи да саветују кораке који могу бити предузета да умањи ризик који представља та рањивост.
Важно је истаћи да аналитичари обавештајних претњи обично не траже познате претње. Не траже неправилно конфигурисан уређај на корпоративном интернету; држе очи и уши отворене за показатеље да је неко почео да разговара о томе како да искористи такав неправилно конфигурисан уређај. Откривањем показатеља да се воде такве расправе, та интелигенција може покренути радњу у предузећу да открије да ли су такви уређаји распоређени и да ли су правилно конфигурисани.
Аналитичари претњи такође делују на много шпекулативни начин. Они могу сагледати активности познатог актера претње - радње које се на површини могу појавити као савршено бенигне - и нагађају о мотивима које актер претње може имати за предузимање тих радњи. Будући да аналитичар претњи за претње може бити свестан других наизглед неповезаних активности - политичких немира у овој регији или економских тензија које расту у тој регији, аналитичар претњи за претње је јединствено позициониран да повеже тачке у слику која има стварно значење, слику која АИ систем или аналитичар великих података можда у потпуности неће пропустити. Тамо где АИ систем може једноставно открити да актер претње стоји на домини, аналитичар претњи може бити у стању да закључи какав ће ефекат имати те домине када почну да падају - и припремити се у складу с тим.
