Q:
脅威情報アナリストは何をしますか?
A:基本的に、サイバー脅威インテリジェンスアナリストは、脅威インテリジェンス情報の重要性の収集、解釈、および理解を専門とする人物です。 テレメトリシステムやエンドポイント監視システムなどの内部システムによって生成された脅威情報を見ているセキュリティインシデントレスポンダーとは異なり、サイバー脅威インテリジェンスアナリストは主に外部の脅威インテリジェンスを調べています。 彼らはインターネットの鼓動を浴びている。 知られている脅威アクターとは何ですか? 暗いWeb掲示板やチャットルームに現れる新しい脅威のアクターは何ですか? 誰がどのような情報、ツール、トレードクラフトを売買していますか? ボットネットの世界では、個々の組織または一連のクライアントに関連する可能性のある情報は何ですか?
脅威インテリジェンスアナリストは、デジタル海上で発生する可能性がある嵐を理解するのに役立つ指標を探していますが、これらの嵐が到着したときに準備できるようにしています。 企業が防御を積極的に位置付け、既存のサイバーシールドの脆弱性や潜在的なクラックを探す場所を社内のセキュリティ専門家が知るのに役立つ独自の位置にあります。 たとえば、IoTアプライアンスで新たに発見された脆弱性の議論を検出した場合、他のセキュリティ専門家に警告して、そのアプライアンスが企業のIoTインフラストラクチャの一部であるかどうかを判断できます。その脆弱性がもたらすリスクを軽減するために取られました。
脅威インテリジェンスアナリストは通常、既知の脅威を探していないことを指摘することが重要です。 企業のインターネット上で不適切に構成されたデバイスを探しているわけではありません。 彼らは、誰かがそのような不適切に構成されたデバイスを悪用する方法について議論し始めたという指標のために目と耳を開いたままにしている。 そのような議論が行われていることを示すインジケータを発見すると、そのインテリジェンスは、そのようなデバイスが展開されているかどうか、およびそれらが適切に構成されているかどうかを発見する企業内のアクションをトリガーできます。
脅威インテリジェンスアナリストも、はるかに推測的な方法で業務を行っています。 彼らは、既知の脅威アクターの活動(表面上は完全に良性であるように見えるアクション)を見て、脅威アクターがそれらのアクションを実行する動機を推測します。 脅威インテリジェンスアナリストは、一見無関係な他の活動(この地域の政治不安またはその地域で成長している経済的緊張)に気付いている可能性があるため、脅威インテリジェンスアナリストは、ドットを真の意味を持つ絵、つまりAIシステムまたはビッグデータアナリストは完全に見逃す可能性があります。 AIシステムが、脅威アクターが逆にドミノを立てていることを単に検出する場合、脅威インテリジェンスアナリストは、それらのドミノが倒れ始めたときにどのような影響を与えるかを推測し、それに応じて準備することができます。
