Fondamentalement, un analyste du renseignement sur les cybermenaces est une personne spécialisée dans la collecte, l’interprétation et la compréhension de l’importance des informations de renseignement sur les menaces. Contrairement à un intervenant en cas d'incident de sécurité, qui examine les informations sur les menaces générées par un système interne, tel qu'un système de télémétrie ou un système de surveillance des points finaux, un analyste du renseignement sur les cybermenaces examine principalement externe renseignements sur les menaces. Ils prennent le pouls d'Internet, pour ainsi dire. De quoi parlent les auteurs de menaces connus ? Quels nouveaux acteurs de la menace apparaissent sur les tableaux d’affichage et les forums de discussion du Dark Web ? Qui achète et vend quelles informations, quels outils et quels savoir-faire ? Quelles informations apparaissent dans le monde des botnets et pourraient être pertinentes pour une organisation individuelle ou pour un ensemble de clients ?
Les analystes du renseignement sur les menaces recherchent des indicateurs qui permettront de mieux comprendre quelles tempêtes pourraient se préparer au-dessus de l’océan numérique mais n’ont pas encore touché terre, afin que nous puissions être préparés lorsque ces tempêtes arriveront. Ils sont particulièrement bien placés pour aider une entreprise à positionner ses défenses de manière proactive et pour aider les professionnels de la sécurité interne à savoir où rechercher les vulnérabilités ou les fissures potentielles dans le cyberbouclier existant. S'ils détectent une discussion sur une vulnérabilité récemment découverte dans une appliance IoT, par exemple, ils peuvent alerter d'autres professionnels de la sécurité pour déterminer si cette appliance fait partie de l'infrastructure IoT de l'entreprise et, si c'est le cas, ils peuvent aider à donner des conseils sur les étapes à suivre. prises pour réduire le risque posé par cette vulnérabilité.
Il est important de souligner que les analystes du renseignement sur les menaces ne recherchent généralement pas les menaces connues. Ils ne recherchent pas un appareil mal configuré sur l'Internet de l'entreprise ; ils gardent les yeux et les oreilles ouverts pour détecter les indicateurs indiquant que quelqu'un a commencé à discuter de la façon d'exploiter un appareil aussi mal configuré. En découvrant un indicateur indiquant que de telles discussions ont lieu, ces renseignements peuvent déclencher une action au sein de l'entreprise pour découvrir si de tels appareils ont été déployés et s'ils ont été correctement configurés.
Les analystes du renseignement sur les menaces opèrent également de manière beaucoup plus spéculative. Ils peuvent examiner les activités d’un acteur menaçant connu – des actions qui peuvent sembler à première vue parfaitement inoffensives – et spéculer sur les motivations que l’acteur menaçant pourrait avoir pour entreprendre ces actions. Parce que l’analyste du renseignement sur les menaces peut être conscient d’autres activités apparemment sans rapport – des troubles politiques dans cette région ou une tension économique croissante dans cette région – l’analyste du renseignement sur les menaces est particulièrement bien placé pour relier les points en une image qui a une réelle signification, une image qui un système d’IA ou un analyste de Big Data pourrait complètement manquer. Là où un système d’IA peut simplement détecter qu’un acteur menaçant dresse des dominos, l’analyste du renseignement sur les menaces peut être en mesure de déduire quel effet ces dominos auront lorsqu’ils commenceront à tomber – et de se préparer en conséquence.