Q:
Was macht ein Analyst für Bedrohungsinformationen?
EIN:Grundsätzlich ist ein Cyber Threat Intelligence Analyst jemand, der sich auf das Sammeln, Interpretieren und Verstehen der Bedeutung von Bedrohungsinformationen spezialisiert hat. Im Gegensatz zu einem Security Incident Responder, der Bedrohungsinformationen von einem internen System wie einem Telemetriesystem oder einem Endpunktüberwachungssystem abfragt, befasst sich ein Cyber Threat Intelligence-Analyst in erster Linie mit externen Bedrohungsinformationen. Sie nehmen sozusagen den Puls des Internets. Worüber sprechen bekannte Bedrohungsakteure? Welche neuen Bedrohungsakteure tauchen in dunklen Web-Bulletin Boards und Chatrooms auf? Wer kauft und verkauft welche Informationen, Werkzeuge und Handwerkskunst? Welche Informationen tauchen in der Botnetz-Welt auf, die für ein einzelnes Unternehmen oder eine Gruppe von Kunden relevant sein könnten?
Analysten von Threat Intelligence suchen nach Indikatoren, die ein besseres Verständnis dafür vermitteln, welche Stürme möglicherweise über dem digitalen Ozean ausbrechen, aber noch nicht auf dem Land sind. Wenn diese Stürme eintreten, können wir uns also darauf einstellen. Sie sind einzigartig positioniert, um einem Unternehmen zu helfen, seine Abwehrkräfte proaktiv zu positionieren und internen Sicherheitsexperten zu helfen, herauszufinden, wo sie nach Schwachstellen oder potenziellen Rissen im vorhandenen Cybershield suchen können. Wenn sie beispielsweise eine Diskussion über eine neu entdeckte Sicherheitsanfälligkeit in einer IoT-Appliance feststellen, können sie andere Sicherheitsexperten benachrichtigen, um festzustellen, ob diese Appliance Teil der IoT-Unternehmensinfrastruktur ist. In diesem Fall können sie Hinweise zu möglichen Schritten geben getroffen, um das Risiko dieser Sicherheitsanfälligkeit zu verringern.
Es ist wichtig darauf hinzuweisen, dass Analysten von Bedrohungsinformationen in der Regel nicht nach bekannten Bedrohungen suchen. Sie suchen nicht nach einem falsch konfigurierten Gerät im Unternehmensinternet. Sie halten ihre Augen und Ohren offen, um Anzeichen dafür zu finden, dass jemand begonnen hat zu diskutieren, wie ein derartig falsch konfiguriertes Gerät ausgenutzt werden kann. Wenn festgestellt wird, dass solche Diskussionen stattfinden, kann diese Information eine Aktion im Unternehmen auslösen, um festzustellen, ob solche Geräte bereitgestellt wurden und ob sie ordnungsgemäß konfiguriert wurden.
Threat-Intelligence-Analysten agieren auch viel spekulativer. Sie können sich die Aktivitäten eines bekannten Bedrohungsakteurs ansehen - Aktionen, die an der Oberfläche als vollkommen harmlos erscheinen - und über die Motive spekulieren, die der Bedrohungsakteur für diese Aktionen haben könnte. Da der Analyst von Bedrohungsnachrichten möglicherweise Kenntnis von anderen scheinbar nicht zusammenhängenden Aktivitäten hat - von politischen Unruhen in dieser Region oder von wachsenden wirtschaftlichen Spannungen in dieser Region - ist der Analyst von Bedrohungsnachrichten in einer einzigartigen Position, um die Punkte zu einem Bild zu verbinden, das eine wirkliche Bedeutung hat, ein Bild, das Ein KI-System oder ein Big-Data-Analytiker könnte dies völlig vermissen. Wenn ein KI-System einfach erkennt, dass ein Bedrohungsakteur Dominosteine hält, kann der Bedrohungs-Intelligence-Analyst möglicherweise ableiten, welche Auswirkungen diese Dominosteine haben, wenn sie zu fallen beginnen - und sich entsprechend vorbereiten.
