Threat Intelligence Analyst

Warum es wichtig ist

Threat Intelligence verwandelt rohe Daten über Cyberbedrohungen in handlungsfähiges Wissen, das bessere Sicherheitsentscheidungen ermöglicht. Intelligence-Analysten recherchieren Gegner, verfolgen Kampagnen und liefern Kontext, der Organisationen hilft zu verstehen, nicht nur welche Bedrohungen existieren, sondern welche für sie spezifisch relevant sind.

Die Rolle überbrückt technisches Sicherheitswissen mit analytischem Handwerk. Analysten müssen verstehen, wie Angriffe technisch funktionieren, während sie auch über Angreifermotivationen, -fähigkeiten und wahrscheinliche Ziele nachdenken. Diese Kombination ermöglicht vorausschauende Erkenntnisse statt rein reaktiver Verteidigung.

Organisationen nutzen Threat Intelligence auf mehreren Ebenen: taktische Indikatoren für die Erkennung, operationale Erkenntnisse für Incident Response und strategische Bewertungen für Sicherheitsinvestitionsentscheidungen.

Für diejenigen, die Recherche, Analyse und das Verbinden disparater Informationen genießen, bietet Threat Intelligence intellektuell ansprechende Arbeit mit echtem defensivem Einfluss.

Rolle und Verantwortlichkeiten

Intelligence-Zyklus

Kernfunktionen

Sammlung und Überwachung

• Threat-Feeds und Intelligence-Quellen überwachen
• Dark-Web-Foren und kriminelle Marktplätze verfolgen
• Sicherheitsforscher-Publikationen verfolgen
• Indicators of Compromise (IOCs) sammeln

Analyse und Recherche

• Malware-Samples und Kampagnen analysieren
• Bedrohungsakteurgruppen und TTPs recherchieren
• Gegnertechniken auf MITRE ATT&CK mappen
• Bedrohungsrelevanz für Organisation bewerten

Intelligence-Produktion

• Bedrohungsberichte für verschiedene Zielgruppen schreiben
• Bedrohungsprofile und Akteur-Bewertungen entwickeln
• Taktische Intelligence (IOCs, Erkennungsregeln) erstellen
• Strategische Briefings für Führung produzieren

Operationale Unterstützung

• Incident Response mit Bedrohungskontext unterstützen
• Zu Gegnerfähigkeiten und -absichten beraten
• Schwachstellen basierend auf Ausnutzung priorisieren
• Sicherheitsarchitektur-Entscheidungen informieren

Intelligence-Typen

Wesentliche Fähigkeiten

Analytische Fähigkeiten

Kritisches Denken

• Quellenzuverlässigkeit und -voreingenommenheit bewerten
• Korrelation von Kausalität unterscheiden
• Informationslücken erkennen
• Hypothesen bilden und testen

Recherche-Methodik

• Strukturierte analytische Techniken
• OSINT-Sammelmethoden
• Quellenentwicklung und -validierung
• Dokumentation und Zitation

Technische Fähigkeiten

Kommunikationsfähigkeiten

Karriereweg

Einstiegspunkte

Von Security Operations

• SOC-Analyst-Erfahrung
• Recherche- und Schreibfähigkeiten entwickeln
• Bedrohungswissen durch Untersuchungen aufbauen
• Zu dedizierter Intel-Rolle wechseln

Von Analyse-Hintergrund

• Intelligence-, Recherche- oder Journalismuserfahrung
• Technische Sicherheitsgrundlagen lernen
• Analytisches Handwerk auf Cyber-Domäne anwenden
• Vorhandene Recherchefähigkeiten nutzen

Zertifizierungen

Intelligence-spezifisch

• GIAC Cyber Threat Intelligence (GCTI): Primäre Intel-Zertifizierung
• CRTIA (Certified Threat Intelligence Analyst): EC-Council

Unterstützende Zertifizierungen

• GREM: Malware-Analyse für tiefe technische Arbeit
• OSINT-Zertifizierungen: Sammelfähigkeiten
• Security+/CySA+: Grundlagenwissen

Gehalt und Markt

Beschäftigungsoptionen

• Enterprise-Teams: Interne Intelligence-Programme
• Threat-Intel-Anbieter: Kommerzielle Intelligence-Provider
• Regierung: Nachrichtendienste, CISA
• Beratung: Beratungs- und Bewertungsdienste
• ISACs: Branchen-Informations-Sharing-Organisationen

Erste Schritte

Fähigkeiten aufbauen

Sichtbarkeit aufbauen

• Bedrohungsanalyse-Blogposts schreiben
• Zu Threat-Intelligence-Communities beitragen
• Forschung auf Konferenzen präsentieren
• An CTI Twitter/Mastodon teilnehmen
• IOCs und Analyse verantwortungsvoll teilen