P:
Què fa un analista d’intel·ligència d’amenaça?
R:Fonamentalment, un analista de la intel·ligència cibernètica és algú especialitzat en recopilar, interpretar i comprendre la importància de la informació sobre intel·ligència d’amenaça. A diferència d’un respondent d’incidents de seguretat, que busca informació d’amenaça generada per un sistema intern, com ara un sistema de telemetria o un sistema de monitorització d’endpoints, un analista d’intel·ligència d’amenaça cibernètica mira principalment la intel·ligència d’amenaça externa . Com prenen el pols d'Internet. De què parlen els actors amenaçadors coneguts? Quins nous actors amenaçats es mostren als taulers d'anuncis web i a les sales de xat? Qui compra i ven quina informació, eines i tradecraft? Quina informació apareix al món de la botnet que pot ser rellevant per a una organització individual o per a un conjunt de clients?
Els analistes d’intel·ligència d’amenaça busquen indicadors que facilitin la comprensió de què poden produir les tempestes a l’oceà digital, però encara no han arribat a la terra, de manera que quan arribin aquestes tempestes puguem estar preparats. Estan ubicats de manera exclusiva per ajudar a una empresa a situar-se de forma proactiva les seves defenses i per ajudar els professionals de la seguretat interna a saber on han de cercar vulnerabilitats o possibles esquerdes en el ciberescut existent. Si detecten una discussió sobre una vulnerabilitat recent descoberta en un dispositiu IoT, per exemple, poden avisar a altres professionals de la seguretat per determinar si aquest dispositiu forma part de la infraestructura IoT corporativa i, si és així, poden ajudar-vos a assessorar sobre passos que poden ser assumit per reduir el risc que suposa aquesta vulnerabilitat.
És important assenyalar que els analistes d’intel·ligència d’amenaça no solen buscar amenaces conegudes. No busquen un dispositiu configurat de manera inadequada a Internet corporatiu; mantenen els ulls i les orelles oberts per indicar que algú ha començat a discutir com explotar un dispositiu configurat de manera inadequada. Al descobrir un indicador de que es debaten a aquestes discussions, aquesta intel·ligència pot desencadenar una acció dins de l'empresa per descobrir si aquests dispositius s'han desplegat i si s'han configurat correctament.
Els analistes d’intel·ligència d’amenaça també funcionen de manera molt més especulativa. Poden mirar les activitats d’un actor amenaçador conegut (accions que poden semblar perfectament benignes a la superfície) i especular amb els motius que pot tenir l’actor amenaçador per dur a terme aquestes accions. Com que l’analista d’intel·ligència d’amenaça pot tenir consciència d’altres activitats aparentment no relacionades –el malestar polític d’aquesta regió o la tensió econòmica que creix en aquesta regió–, l’analista d’intel·ligència d’amenaça està situat de manera única per connectar els punts a una imatge que té un sentit real, una imatge que Pot ser que un sistema AI o un analista de dades grans puguin faltar completament. Quan un sistema de IA pot detectar simplement que un actor amenaçador està al final dels dominis, l’analista d’intel·ligència d’amenaça pot ser capaç d’intuir quin efecte tindran aquests dominis quan comencen a caure i preparar-se en conseqüència.