Q:
¿Qué hace un analista de inteligencia de amenazas?
UN:Básicamente, un analista de inteligencia de amenazas cibernéticas es alguien que se especializa en recopilar, interpretar y comprender la importancia de la información de inteligencia de amenazas. A diferencia de un respondedor de incidentes de seguridad, que está analizando la información de amenazas generada por un sistema interno, como un sistema de telemetría o un sistema de monitoreo de punto final, un analista de inteligencia de amenazas cibernéticas está buscando principalmente inteligencia de amenazas externa . Están tomando el pulso de internet, por así decirlo. ¿De qué hablan los actores de amenazas conocidos? ¿Qué nuevos actores de amenazas aparecen en los tablones de anuncios web oscuros y las salas de chat? ¿Quién está comprando y vendiendo qué información, herramientas y oficios? ¿Qué información está apareciendo en el mundo de las botnets que podría ser relevante para una organización individual o para un conjunto de clientes?
Los analistas de inteligencia de amenazas están buscando indicadores que fomenten la comprensión de las tormentas que se están gestando en el océano digital pero que aún no han llegado a la tierra, para que cuando lleguen estas tormentas, podamos estar preparados. Están en una posición única para ayudar a una empresa a posicionar de manera proactiva sus defensas y para ayudar a los profesionales de seguridad interna a saber dónde buscar vulnerabilidades o posibles grietas en el escudo cibernético existente. Si detectan una discusión sobre una vulnerabilidad recientemente descubierta en un dispositivo IoT, por ejemplo, pueden alertar a otros profesionales de seguridad para determinar si ese dispositivo es parte de la infraestructura corporativa de IoT y, de ser así, pueden ayudar a asesorar sobre los pasos que pueden ser tomado para reducir el riesgo planteado por esa vulnerabilidad.
Es importante señalar que los analistas de inteligencia de amenazas no suelen buscar amenazas conocidas. No están buscando un dispositivo configurado incorrectamente en Internet corporativo; mantienen sus ojos y oídos abiertos para detectar indicadores de que alguien ha comenzado a discutir cómo explotar un dispositivo tan mal configurado. Al descubrir un indicador de que tales discusiones están teniendo lugar, esa inteligencia puede desencadenar una acción dentro de la empresa para descubrir si dichos dispositivos se han implementado y si se han configurado correctamente.
Los analistas de inteligencia de amenazas también operan de una manera mucho más especulativa. Pueden observar las actividades de un actor de amenazas conocido (acciones que pueden parecer perfectamente benignas en la superficie) y especular sobre los motivos que el actor de amenazas podría tener para llevar a cabo esas acciones. Debido a que el analista de inteligencia de amenazas puede estar al tanto de otras actividades aparentemente no relacionadas - disturbios políticos en esta región o una tensión económica que crece en esa región - el analista de inteligencia de amenazas está en una posición única para conectar los puntos en una imagen que tiene un significado real, una imagen que un sistema de inteligencia artificial o un analista de big data puede fallar por completo. Cuando un sistema de IA simplemente puede detectar que un actor de amenaza está parado dominó, el analista de inteligencia de amenazas puede inferir qué efecto tendrán esas fichas cuando comience a caer, y prepararse en consecuencia.