Was macht ein Analyst für Bedrohungsinformationen?

Autor: Laura McKinney
Erstelldatum: 4 April 2021
Aktualisierungsdatum: 1 Juli 2024
Anonim
Was macht ein Analyst für Bedrohungsinformationen? - Technologie
Was macht ein Analyst für Bedrohungsinformationen? - Technologie

Inhalt

Q:

Was macht ein Analyst für Bedrohungsinformationen?


EIN:

Grundsätzlich ist ein Cyber ​​Threat Intelligence Analyst jemand, der sich auf das Sammeln, Interpretieren und Verstehen der Bedeutung von Bedrohungsinformationen spezialisiert hat. Im Gegensatz zu einem Security Incident Responder, der sich Bedrohungsinformationen von einem internen System wie einem Telemetriesystem oder einem Endpunktüberwachungssystem ansieht, sieht sich ein Cyber ​​Threat Intelligence-Analyst in erster Linie um extern Bedrohungsinformationen. Sie nehmen sozusagen den Puls des Internets. Worüber sprechen bekannte Bedrohungsakteure? Welche neuen Bedrohungsakteure tauchen in dunklen Web-Bulletin Boards und Chatrooms auf? Wer kauft und verkauft welche Informationen, Tools und Handwerkskunst? Welche Informationen tauchen in der Botnetz-Welt auf, die für ein einzelnes Unternehmen oder eine Gruppe von Kunden relevant sein könnten?

Analysten von Threat Intelligence suchen nach Indikatoren, die ein besseres Verständnis dafür vermitteln, welche Stürme möglicherweise über dem digitalen Ozean ausbrechen, aber noch nicht auf dem Land sind. Wenn diese Stürme eintreten, können wir uns also darauf einstellen. Sie sind einzigartig positioniert, um ein Unternehmen bei der proaktiven Positionierung seiner Abwehrkräfte zu unterstützen und internen Sicherheitsexperten dabei zu helfen, nach Schwachstellen oder potenziellen Rissen im vorhandenen Cybershield zu suchen. Wenn sie beispielsweise eine Diskussion über eine neu entdeckte Sicherheitsanfälligkeit in einer IoT-Appliance feststellen, können sie andere Sicherheitsexperten benachrichtigen, um festzustellen, ob diese Appliance Teil der IoT-Unternehmensinfrastruktur ist. In diesem Fall können sie Hinweise zu möglichen Schritten geben getroffen, um das Risiko dieser Sicherheitsanfälligkeit zu verringern.


Es ist wichtig darauf hinzuweisen, dass Analysten von Bedrohungsinformationen in der Regel nicht nach bekannten Bedrohungen suchen. Sie suchen im Unternehmensinternet nicht nach einem nicht ordnungsgemäß konfigurierten Gerät. Sie halten ihre Augen und Ohren offen, um Hinweise darauf zu erhalten, dass jemand damit begonnen hat, zu diskutieren, wie ein derartig falsch konfiguriertes Gerät ausgenutzt werden kann. Wenn festgestellt wird, dass solche Diskussionen stattfinden, kann diese Information eine Aktion im Unternehmen auslösen, um festzustellen, ob solche Geräte bereitgestellt wurden und ob sie ordnungsgemäß konfiguriert wurden.

Threat-Intelligence-Analysten agieren auch viel spekulativer. Sie können sich die Aktivitäten eines bekannten Bedrohungsakteurs ansehen - Aktionen, die an der Oberfläche als vollkommen harmlos erscheinen - und über die Motive spekulieren, die der Bedrohungsakteur für diese Aktionen haben könnte. Da der Analyst von Bedrohungsnachrichten möglicherweise Kenntnis von anderen scheinbar nicht zusammenhängenden Aktivitäten hat - von politischen Unruhen in dieser Region oder von wachsenden wirtschaftlichen Spannungen in dieser Region - ist der Analyst von Bedrohungsnachrichten in einer einzigartigen Position, um die Punkte zu einem Bild zu verbinden, das eine wirkliche Bedeutung hat, ein Bild, das Ein KI-System oder ein Big-Data-Analytiker könnte dies völlig vermissen. Wenn ein KI-System einfach erkennt, dass ein Bedrohungsakteur Dominosteine ​​hält, kann der Bedrohungs-Intelligence-Analyst möglicherweise ableiten, welche Auswirkungen diese Dominosteine ​​haben, wenn sie zu fallen beginnen - und sich entsprechend vorbereiten.