コンテンツ
Q:
脅威情報アナリストは何をしますか?
A:
基本的に、サイバー脅威インテリジェンスアナリストは、脅威インテリジェンス情報の重要性の収集、解釈、および理解を専門とする人物です。テレメトリシステムやエンドポイントモニタリングシステムなどの内部システムによって生成された脅威情報を見ているセキュリティインシデントレスポンダーとは異なり、サイバー脅威インテリジェンスアナリストは主に 外部 脅威インテリジェンス。彼らはインターネットの鼓動を浴びています。知られている脅威アクターとは何ですか?暗いWeb掲示板やチャットルームに現れる新しい脅威のアクターは何ですか?誰がどのような情報、ツール、トレードクラフトを売買していますか?個々の組織または一連のクライアントに関連する可能性のあるボットネットの世界にはどのような情報が表示されますか?
脅威インテリジェンスアナリストは、デジタル海上で発生する可能性のある嵐を理解するための指標を探していますが、これらの嵐が到着したときに準備できるようにしています。企業が防御を積極的に位置付け、既存のサイバーシールドの脆弱性や潜在的なクラックを探す場所を社内のセキュリティ専門家が知るのに役立つ独自の位置にあります。たとえば、IoTアプライアンスで新しく発見された脆弱性の議論を検出した場合、他のセキュリティ専門家に警告して、そのアプライアンスが企業のIoTインフラストラクチャの一部であるかどうかを判断できます。その脆弱性がもたらすリスクを軽減するために取られました。
脅威インテリジェンスアナリストは通常、既知の脅威を探していないことを指摘することが重要です。企業のインターネット上で不適切に構成されたデバイスを探しているわけではありません。そのような不適切に構成されたデバイスを悪用する方法について誰かが議論し始めていることを示す指標のために目と耳を開いたままにします。そのような議論が行われていることを示すインジケータを発見すると、そのインテリジェンスは企業内でアクションをトリガーし、そのようなデバイスが展開されているか、適切に構成されているかを発見できます。
脅威インテリジェンスアナリストも、はるかに推測的な方法で業務を行っています。彼らは、既知の脅威アクターの活動-表面上は完全に良性であるように見えるアクション-を見て、脅威アクターがそれらのアクションを実行する動機を推測します。脅威インテリジェンスアナリストは、一見無関係な他の活動(この地域の政治不安またはその地域で成長している経済的緊張)を認識している可能性があるため、脅威インテリジェンスは、ドットを真の意味を持つ画像、つまりAIシステムまたはビッグデータアナリストは完全に見逃す可能性があります。 AIシステムが、脅威アクターがドミノを倒立させていることを単純に検出する場合、脅威インテリジェンスアナリストは、ドミノが倒れ始めたときにどのような影響を与えるかを推測し、それに応じて準備することができます。