Threat-Actor-Expertin: Militärisch, stoisch, kontrolliert
Sandra Joyces Fachgebiet sind Malware-Attacken. Sie ist Threat-Actor-Expertin - ein Job mit viel Stress und Verantwortung. Wenn sie eine Attacke einem Land zuschreibt, sollte sie besser sicher sein.

Sandra Joyce sitzt im Homeoffice im Horse Country im US-Bundesstaat Virginia. Ihre schwarzen Haare sind sorgfältig frisiert, sie trägt einen eleganten Zweiteiler und Make-up. Ihre Mimik ist freundlich bis stoisch. Als ob sie zeigen will: Sie hat alles unter Kontrolle, trotz der Umstände.
- Threat-Actor-Expertin: Militärisch, stoisch, kontrolliert
- Von der Forellenfarm zur Air Force und ans MIT
- Zwischen Politik und Business
Entfernt bellt ihr Hund, die fünf Kinder sind zu Hause. Corona hat ihre tägliche Pendelstrecke stark reduziert und obwohl die Szenerie idyllischer ist als im verspiegelten Glasbau von Mandiant Threat Intelligence, bleibt ihre Arbeit nervenaufreibend.
Die 42-Jährige führt als Vice President der Cybersecurityfirma Untersuchungen an, die eine gewisse Schnittmenge mit Geheimdienstaktivitäten haben. Häufig wenden sich Regierungsvertreter oder Strafverfolgungsbehörden direkt an ihre Abteilung, um entweder ihre IT-Systeme absichern zu lassen oder bei Malware-Attacken Hilfe zu bekommen.
Aktuell verzeichnet ihr Team vor allem Spionage-Angriffe auf Gesundheits- und Forschungseinrichtungen, bei denen Hacker Informationen zum Corona-Impfstoff vermuten - also im Grunde politische Attacken. "Jedes Mal, wenn wir denken, dass eine rote Linie nicht übertreten wird, übertritt sie doch jemand - die Attacken werden immer drastischer und abgebrühter", sagt Joyce.
Joyce koordiniert 3.500 Mitarbeiter und Mitarbeiterinnen, die Warnungen auswerten, Spuren von Angriffsaktivitäten tracken und in Datenbanken ablegen, daraus um Informationen zu den Urhebern zu generieren. Die Zuschreibung von Angriffsmerkmalen auf bestimmte Gruppen oder Staaten erfolgt in Analyseteams, die Joyce einstellt, beaufsichtigt und mit den notwendigen Tools ausstattet.
Sie überblickt die Entwicklung neuer Tools und Features, vor allem im Bereich Datenbankmanagement. Dabei nutzen ihre Entwickler zum Teil Open-Source-Software, zum Teil erarbeiten sie eigene Strukturen. "Wir entwickeln gerade ein Tool, das es für die Kunden einfacher macht, die vielen Alarme nach Wichtigkeit zu sortieren", sagt Joyce.
Nachts um zwei Uhr kommen die ersten Malware-Berichte
Das Plugin greift auf alle Quellen zu, die im Zeitraum von 14 Jahren dokumentiert wurden, und gleicht Vorfälle automatisch mit Informationen wie IP-Adressen und Angreifernamen ab.
Die Hauptaufgabe der Cybersecurity-Expertin ist aber sicherzustellen, dass die Attributions zuverlässig sind. Das fängt für Joyce bei der Morgenlektüre an. Jede Nacht scannt ein Team von 300 Analysten Cybersecurity-Artikel und unterzieht sie einer Glaubwürdigkeitsprüfung.
Zum ersten Kaffee liest sie alle Berichte zum Verhalten staatlicher und krimineller Akteure: "Wenn mich jemand im Laufe des Tages nach Gerüchten über eine neue Ransomware fragt, muss ich wissen, was die Hintergründe sind", sagt sie.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Von der Forellenfarm zur Air Force und ans MIT |
Schon mal versucht in Deutschland ohne höheren Studienabschluss einen gut bezahlten IT...
LOL. Wer lesen kann ist klar im Vorteil. Glaub du hast den teil überlesen wo du viele...
bei der Chair Force wird sie sicher auch eher wenig in der Richtung gelernt haben.
+1
Ne, Ärzte raten davon ab, nur wegen Kopfschmerzen Tabletten zu nehmen. Zu teures...