问:
威胁情报分析师做什么?
A:从根本上讲,网络威胁情报分析师是专门从事收集,解释和理解威胁情报信息的重要性的人员。 与安全事件响应者(后者查看由遥测系统或端点监视系统之类的内部系统生成的威胁信息)不同,网络威胁情报分析师主要关注外部威胁情报。 他们正以互联网为动力。 已知的威胁参与者在谈论什么? 黑暗的网络公告板和聊天室中出现了哪些新的威胁参与者? 谁在买卖哪些信息,工具和贸易手段? 僵尸网络世界中弹出的哪些信息可能与单个组织或一组客户有关?
威胁情报分析师正在寻找指标,这些指标将有助于加深对数字海洋可能正在爆发但尚未袭击陆地的风暴的了解,因此,当这些风暴确实到来时,我们就可以做好准备。 它们具有独特的定位,可以帮助企业主动防御,并帮助内部安全专业人员知道在哪里寻找现有网络防护板中的漏洞或潜在漏洞。 例如,如果他们检测到对IoT设备中新发现的漏洞的讨论,则可以提醒其他安全专业人员确定该设备是否属于公司IoT基础结构的一部分;如果是,则可以帮助您建议可采取的措施采取措施降低该漏洞带来的风险。
必须指出的是,威胁情报分析人员通常不会寻找已知威胁。 他们并不是在公司互联网上寻找配置不当的设备; 他们一直在注意别人是否已经开始讨论如何利用这种配置不当的设备的指标。 在发现正在进行此类讨论的指示符之后,该智能可以触发企业内部的操作,以发现此类设备是否已部署以及它们是否已正确配置。
威胁情报分析师的操作也更具推测性。 他们可能会查看已知威胁行为者的活动(表面上看起来可能是完全良性的行为),并推测威胁行为者采取这些行为的动机。 由于威胁情报分析师可能知道其他看似无关的活动-该地区的政治动荡或该地区日益严重的经济紧张局势-威胁情报分析师的独特定位是将这些点连接成一幅具有实际意义的图片,人工智能系统或大数据分析师可能会完全错过。 在AI系统可以简单地检测到威胁参与者最终站着多米诺骨牌的情况下,威胁情报分析师可以推断出这些多米诺骨牌开始倒下时会产生什么影响,并做出相应的准备。
