یک تحلیلگر هوش تهدید کیست؟
یک برنامهی هوش تهدید قدرتمند ارزشمندترین خط دفاعی سازمانها در مقابل حملاتی است که به مشتریان، کاربران، دادهها، داراییها، زیرساخت و پرسنل آسیب میرسانند. با اینکه اطلاعات با کیفیت بالا مهم هستند، بدون کمک تحلیلگر هوش تهدید متخصص که به تیم امنیتی بفهماند برای پیشگیری از حملات و خنثی کردن ریسکها باید تلاشهای خود را به کدامین هدف متمرکز نماید، حتی بهترین هوش تهدیدات هم بیاثر خواهد شد.
یک تحلیلگرهوش تهدیدات سایبری تمام اطلاعات دریافت شده از برنامه هوش تهدیدات را (از تهدیدات فعال گرفته تا نقاط ضعف امنیتی) مورد استفاده قرار میدهد و برنامهای را میسازد که تیمهای امنیتی باید مورد استفاده قرار دهند تا بهتر ریسکهای حیاتی و شکافهای خطرناک را پوشش دهند. بدون یک تحلیلگر هوش تهدید یا CTI، هوش تهدیدات صرفاً نگاهی کلی به چشمانداز تهدید محسوب میشود. باوجود یک CTI، هوش تهدیدات تبدیل به ابزاری قدرتمند میشود که توانایی ایمن نگه داشتن داراییها، زیرساخت و پرسنل سازمانها را دارد.
تحلیلگر هوش تهدیدات سایبری چه کاری انجام میدهد؟
با ترکیب دانش زمینه ای در مورد چشم انداز کلی تهدید با مهارتهای تحلیلی، یک تحلیلگر هوش تهدیدات سایبری، اطلاعاتی را برای نظارت، ارزیابی و گزارش در مورد خطراتی که می تواند یک سازمان را تحت تاثیر قرار دهد جمعآوری میکند. از مجموعه دادههای خصوصی گرفته تا ارزیابی اطلاعات منبع باز (OSINT)، تحلیلگران هوش تهدید با ترکیب طیفی از منابع، تصویر کاملی از وضعیت ریسک سازمان ایجاد میکنند که اقدامات شرکت برای کاهش این خطرات را مشخص مینماید. آنها با ارزیابیهای کوتاه و بلند مدت، به درک تیمهای امنیتی از منظر تهدید کمک کرده و اقداماتی را مشخص میکنند که در جلوگیری از هرگونه حمله یا نقض بالقوه موثر است.
از آنجایی که بخش زیادی از ارزش تحلیلگران سایبری به دلیل بینش آنها نسبت به ریسکهای آینده است تا واکنش نشان دادن به تهدیدات و حملات قریبالوقوع، این تحلیلگران مسئول هستند که نسبت به رویدادهای امنیت سایبری بهروز باشند و بدانند که باید انتظار چه چیزی را داشته باشند. یک تحلیلگر هوش تهدیدات خوب خواهد توانست به سازمان خود در مورد تهدیدات احتمالی آینده، قبل از اینکه موجب نگرانی شوند هشدار دهد و به تیمهای خود برای ساختن سیستم دفاعی بهتر زمان بدهد.
نقشها و مسئولیتهای یک تحلیلگر هوش تهدیدات سایبری
تحلیلگران هوش تهدیدات سایبری به میزان یکسان از مهارتهای فنی و ارتباطی خود استفاده میکنند و گسترهی وسیعی از نقشها را پوشش میدهند که تمرکزشان محدود کردن کارهایی است که متخصصان تاکتیکیتر مثل تحلیلگران شکار و تستکنندگان نفوذ باید انجام دهند تا بهطور محسوسی اقدامات امنیتی سازمان خود را تقویت نمایند.
آنها عموماً مسئول نظارت روی کل چرخه عمر هوش تهدیدات هستند. مسئولیتهای کاری مخصوص تحلیلگران هوش تهدیدات عبارتاند از:
- شناسایی الزامات هوش سازمانی
- جمعآوری دادههای مرتبط و انجام تجزیهوتحلیل All-Source برای کمک به فرایند تصمیمگیری
- شناسایی، مانیتورینگ و رسیدگی به تهدیدات و نقاط ضعف احتمالی
- بررسی پاسخ صحیح به الزامات و صلاحیتهای امنیتی
- ایجاد گزارشهایی که یافتههای کلیدی را برای تیمهای امنیتی و اعضای دیگر سازمان به نمایش میگذارند
- ارائهی یافتهها به تیمهای دیگر و پیشنهاد برای اقدامات متقابل جهت خنثیسازی تهدیدات
مهارتهای مورد نیاز یک تحلیلگر هوش تهدیدات سایبری
تحلیلگران هوش تهدیدات دارای پیشزمینههای متنوعی هستند و مسئولیت شغلی از سطح ابتدایی تا اجرایی متغیر است. بسته به مسئولیتهای یک نقش خاص، میتوان با تجربه کمی در زمینههای دیگر مانند فناوری اطلاعات عمومی، سیستمهای امنیت شبکه و سایر نقشهای امنیت سایبری، به یک تحلیلگر هوش تهدید تبدیل شد. اما کار کردن در این زمینهها دانشی مبنایی برای تبدیل شدن یه یک تحلیلگر هوش تهدید متخصص را ساخته و به شکل دادن بینشها و ارزیابیهای وی کمک میکند.
شغلهای تحلیلگر هوش تهدیدات در سطح بالاتر ممکن است نیازمند تجربیات بهخصوصی برای کمک به بهبود تجزیهوتحلیلها و ایجاد نمایی جامعتر به چشمانداز تهدید سازمان باشند. بهطور مشابه، با اینکه دانش فنی معمولاً الزامی برای تحلیلگران هوش تهدید نیست، داشتن آن مفید است، بهخصوص به دلیل اینکه بخشی از این نقش نیازمند توضیح تهدیدات و یافتههای دیگر به تیمهایی است که شاید هیچ دانش فنی نداشته باشند.
بدون یک CTI، هوش تهدیدات صرفاً نگاهی کلی به چشمانداز تهدید محسوب میشود. باوجود یک CTI، هوش تهدیدات تبدیل به ابزاری قدرتمند میشود که میتواند داراییها، زیرساخت و پرسنل سازمانها را ایمن نگه دارد.
برای هر تحلیلگر هوش تهدیدات، فارغ از تخصص، بخش بزرگی از تجزیهوتحلیل مربوط به کنار هم قرار دادن یافته و تبدیل آنها به بینشهایی خلاصهتر است که مستقیماً روی اقدامات یک سازمان برای پیشگیری از تهدیدات تاثیر دارد. توانایی ارتباط کارآمد یکی از مهمترین مهارتهایی است که یک تحلیلگر باید داشته باشد، زیرا یافتههای آنها فقط درصورتی برای تیم ارزشمند هستند که بتوان آنها را درک و اجرا کرد.
تفاوت تحلیلگر هوش تهدیدات سایبری با تحلیلگر شکار تهدید
شباهتهایی در توصیفات یک تحلیلگر هوش تهدید و یک تحلیلگر شکار وجود دارد که میتواند باعث شود تشخیص آنها از یکدیگر دشوار گردد. با اینکه این دو نقش همکاری نزدیکی با یکدیگر دارند تا بهطور کامل هوش تهدید و دفاع برای یک سازمان را درک کنند، از جمعآوری داده گرفته تا اجرا یک تاکتیک بهخصوص، تمایزهای مهمی بین آنها وجود دارد که باید از آنها آگاه باشیم.
تحلیلگران هوش تهدید مسئول کارهای زیادی از جمعآوری اطلاعات گرفته تا پخش آن است. CTI مهمترین بینشهای هوش تهدیدات را بیرون کشیده و با انتقال این اطلاعات به تیم شکارچیان تهدید به آنها کمک میکند که براساس این بینشها دست به اقدام زده و به دنبال نقضهای امنیتی شناختهنشده از نقاط ضعف فعال باشند که سازمان را نسبت به حمله آسیبپذیر میکند. بدون وجود تحلیلگران هوش تهدید، فهمیدن اینکه باید جستجوی خود را از کجا شروع کنند، برای شکارچیان تهدید دشوار خواهد شد. به همین صورت، بدون وجود شکارچیان تهدید، کار تحلیلگران هوش تهدید کماثرتر خواهد بود.
یک تحلیلگر هوش تهدید چه چیزی را برای سازمان به ارمغان میآورد؟
اگر یک برنامهی هوش تهدید وجود داشته باشد، باید یک تحلیلگر هوش تهدید نیز باشد که از آن استفاده کند. این کار به تیمهای دیگر کمک میکند که بهتر کار خود را انجام دهند و منجر به ایمنتر شدن سازمان میگردد.
نقش تحلیلگر هوش تهدید در مرکز عملیات امنیت
درحالیکه ارزش سرمایهگذاری بر روی امنیت سایبری روزبهروز برای سازمانها محرزتر میشود، داشتن یک مرکز عملیات امنیت اختصاصی که وضعیت امنیتی شرکت را از افراد گرفته تا فرایندها و تکنولوژی، مدیریت کند متداولتر شده است.
یک تحلیلگر هوش تهدید قابلیتهای استراتژیک یک مرکز عملیات امنیت (SOC) را تقویت میکند و این کار به اعضای دیگر تیم مثل تستکنندگان نفوذ و شکارچیان تهدید اجازه میدهد که روی کار تاکتیکی خود در حوزههای مربوطه تمرکز کنند. حتی اگر SOC شما هشدارهای درستی را در مورد تهدیدات بالقوه دریافت کند، معمولاً اولویتبندی آنها برای جستجو کردن نقاط ضعف دشوار میشود. تحلیلگران هوش تهدید ارزش پلتفرمهای امنیتی مورد استفاده یک سازمان را به حداکثر میرسانند و به تیم کمک میکنند که در ابتدا به ضروریترین مشکلات رسیدگی کند.
تیمهای پیشگیری از نفوذ و تجزیهوتحلیل ریسک
تیم هایی که از زمینه چشم انداز کلی تهدید و همچنین دانش عمومی مرتبط با اطلاعات تهدید سود می برند، از تحلیلگران هوش تهدید درباره اهداف در معرض خطر و حملات بالقوهای که میتوانند به سازمان آسیب برسانند، بینشی به دست میآورند.
امنیت، IT و تحلیلگران هوش تهدید
تحلیلگران هوش تهدید توانایی تحلیلگران دیگر را در شناسایی دقیق و پیشگیری از تهدیدها تقویت کرده و بدینصورت میزان موفقیت آنها را در دفاع از سازمان در مقابل حملات افزایش میدهند. آنها با بهینهسازی فرایندهای موجود، باعث افزایش کارآمدی آنها میگردند که تأثیر طولانیمدتی روی امنیت سازمان در آینده دارد.
تیم پاسخ به رخداد یا CSIRT
درحالیکه تیم پاسخ به حادثه از تهدیدات مطلع شده و رویدادهایی را کشف میکند که روی سازمان تأثیر گذاشتهاند، تحلیلگران هوش تهدیدات میتوانند در مورد بهترین روش اولویتبندی بررسیها برای به حداقل رساندن آسیب و سریعتر به نتیجه رسیدن مشاوره دهند. این کار باعث میشود که فرایند بررسی کارآمدتر گردد و به تیم این امکان را میدهد که بهتر حوادث را مدیریت کند.
مدیران اجرایی
تحلیلگران هوش تهدید همچنین وظیفه دارند که ریسکهای سازمان خود را به اطلاع تیمهایی برسانند که بهصورت روزانه مستقیماً درگیر تهدیدات نیستند. درحالیکه مدیران ارشد و مدیران اجرایی دیگر بررسی میکنند که بهترین روش برای اینکه شرکت بتواند از خودش دفاع کند چیست، تحلیلگران هوش تهدید میتوانند به آنها برای درک بهتر اینکه سازمان با چه چیزی مواجه است و بهترین روش برای رسیدگی به آن چیست، کمک کنند. در مقایسه با متخصصهای امنیتی دیگر، بخش بزرگی از ارزش تحلیلگر تهدید، توانایی او در ایجاد استراتژی و نه صرفاً واکنش نشان دادن.