Q:
Một nhà phân tích tình báo mối đe dọa làm gì?
A:Về cơ bản, một nhà phân tích tình báo mối đe dọa trên mạng là người chuyên thu thập, giải thích và hiểu ý nghĩa của thông tin tình báo mối đe dọa. Không giống như phản ứng sự cố an ninh, những người đang xem thông tin về mối đe dọa được tạo ra bởi một hệ thống nội bộ, chẳng hạn như hệ thống đo từ xa hoặc hệ thống giám sát điểm cuối, một nhà phân tích tình báo mối đe dọa mạng chủ yếu nhìn vào tình báo mối đe dọa bên ngoài . Họ đang lấy nhịp đập của internet. Các diễn viên đe dọa được biết đến nói về điều gì? Những tác nhân đe dọa mới nào đang xuất hiện trong bảng thông báo web tối và phòng trò chuyện? Ai đang mua và bán những thông tin, công cụ và truyền thống nào? Thông tin nào xuất hiện trong thế giới botnet có thể liên quan đến một tổ chức cá nhân hoặc một nhóm khách hàng?
Các nhà phân tích tình báo đe dọa đang tìm kiếm các chỉ số sẽ thúc đẩy sự hiểu biết về những cơn bão có thể xảy ra trên đại dương kỹ thuật số nhưng chưa đổ bộ vào đất liền - để khi những cơn bão này đến, chúng ta có thể chuẩn bị. Chúng được định vị độc đáo để giúp doanh nghiệp chủ động định vị phòng thủ và giúp các chuyên gia an ninh nội bộ biết nơi tìm kiếm lỗ hổng hoặc vết nứt tiềm ẩn trong mạng ảo hiện có. Ví dụ, nếu họ phát hiện thảo luận về lỗ hổng mới được phát hiện trong thiết bị IoT, họ có thể cảnh báo các chuyên gia bảo mật khác để xác định xem thiết bị đó có phải là một phần của cơ sở hạ tầng IoT của công ty hay không, và nếu vậy, họ có thể giúp tư vấn về các bước có thể thực hiện để giảm thiểu rủi ro do lỗ hổng đó.
Điều quan trọng là chỉ ra rằng các nhà phân tích tình báo mối đe dọa thường không tìm kiếm các mối đe dọa đã biết. Họ không tìm kiếm một thiết bị được cấu hình không đúng trên internet công ty; họ đang để mắt và tai mở cho các chỉ số mà ai đó đã bắt đầu thảo luận về cách khai thác một thiết bị được cấu hình không đúng như vậy. Khi phát hiện ra một chỉ báo cho thấy các cuộc thảo luận như vậy đang diễn ra, trí thông minh đó có thể kích hoạt một hành động trong doanh nghiệp để khám phá xem các thiết bị đó đã được triển khai hay chưa và chúng có được cấu hình đúng không.
Các nhà phân tích tình báo đe dọa cũng hoạt động theo cách đầu cơ hơn nhiều. Họ có thể nhìn vào hoạt động của một diễn viên đe dọa đã biết - những hành động có thể xuất hiện trên bề mặt là hoàn toàn lành tính - và suy đoán về động cơ mà diễn viên đe dọa có thể có khi thực hiện những hành động đó. Bởi vì nhà phân tích tình báo mối đe dọa có thể nhận thức được các hoạt động dường như không liên quan khác - tình trạng bất ổn chính trị ở khu vực này hoặc căng thẳng kinh tế đang gia tăng trong khu vực đó - nhà phân tích tình báo mối đe dọa được định vị duy nhất để kết nối các dấu chấm thành một bức tranh có ý nghĩa thực sự, một bức tranh mà một hệ thống AI hoặc nhà phân tích dữ liệu lớn có thể bỏ lỡ hoàn toàn. Khi một hệ thống AI có thể đơn giản phát hiện ra rằng một tác nhân đe dọa đang đứng trên đầu, nhà phân tích tình báo mối đe dọa có thể suy ra tác động của những kẻ thống trị đó khi chúng bắt đầu rơi - và chuẩn bị theo đó.