Seguir 
Hoje, queremos apresentar aos nossos leitores um dos autores de conteúdo de detecção cujo nome você pode ver nos Leaderboards do SOC Prime Threat Detection Marketplace. Conheça Roman Ranskyi, Threat Hunting/Content Developer Engineer na SOC Prime.
Roman, conte-nos um pouco sobre você e sua experiência em cibersegurança
Me interessei por segurança da informação no ano de 2008, quando costumava passar tempo em fóruns cult daquela época como hackzona, zloibiz, antichat, e por algum tempo até moderei um dos tópicos do fórum. Enquanto estudava na faculdade, trabalhei como sysadmin. Também ensinei aulas laboratoriais e cursos de introdução à segurança da informação prática da Cisco CCNA.
Mais tarde, comecei a trabalhar em uma empresa integradora, onde trabalhei como engenheiro e pré-vendas para soluções de segurança, também lidava com todas as soluções, AV, DLP, NGFW, diferentes sandboxes, sistemas de proteção contra ataques DDoS. Obtive várias certificações, conforme exigido pelo negócio – Arbor, Fireeye. E a segunda realmente despertou meu interesse com seus relatórios fascinantes em seu blog, e as tecnologias pareciam revolucionárias. Além disso, subi ao palco em várias conferências fechadas para parceiros e clientes, onde tentei falar não apenas sobre nossas soluções, mas também sobre técnicas, métodos e vetores de atacantes e mercados clandestinos. Algumas apresentações ainda estão disponíveis no meu perfil do LinkedIn.
E como seu hobby se transformou em caça às ameaças?
Fiz um curso de Certified Ethical Hacking, que achei bastante teórico e até chato por falta de tarefas práticas. Sempre mantenho a opinião de que, para saber defender, você deve saber como quebrar. Tinha o hábito de passar as noites em nosso laboratório, onde testávamos soluções que apresentamos aos clientes e experimentávamos diversos cenários de ataques reais para estudar a reação em detalhe e tentar contornar as medidas de segurança. Entre um estudo e outro, estudei materiais de curso da Offensive Security (PWK), cursos da SANS e outros.
Depois da empresa integradora de sistemas, trabalhei para uma empresa onde lidava com desenvolvimento como Engenheiro Sênior de Segurança da Informação. Depois, me juntei à SOC Prime como Threat Hunting/ Content Developer Engineer.
O que é Caça às Ameaças para você?
Basicamente, a caça às ameaças surge da Forense Digital e Resposta a Incidentes. Trata-se de insights e análises de todo o ambiente. A caça às ameaças não consiste em investigação de incidentes, é uma busca proativa de ameaças conhecidas e desconhecidas, então um caçador de ameaças não pode simplesmente sentar e esperar até que algo aconteça.
Na sua opinião, quais são as habilidades necessárias para um caçador de ameaças?
Por um lado, você deve pensar como um atacante – como pode alcançar o objetivo, como contornar as medidas da Equipe Azul e passar despercebido.
Por outro lado, você deve ter um pensamento analítico, ter conhecimento de Big Data e domínio de diferentes instrumentos, embora sejam bastante semelhantes.
Para resumir, é uma mistura de habilidades da Equipe Vermelha e Equipe Azul.
Roman, é possível prever ataques de diferentes atores de ameaças, e qual seria sua recomendação para melhorar a defesa contra suas ferramentas? Exemplos seriam ótimos!
É impossível prever todas as ameaças. Em grande medida, o sucesso de um ataque depende do conhecimento da área de atuação. E falando sobre infraestrutura corporativa em geral, onde há proteção, existe uma forma de contorná-la.
Falando sobre infraestruturas de domínio que são vitais para grandes empresas, a primeira coisa é uma boa configuração, incluindo endurecimento e auditorias ampliadas. Gosto do conceito de Red Forest Design, e se você fizer tudo certo, poderá identificar quase todos os passos e atividades de um atacante.
Roman, nos conte mais sobre o tipo de Sigma chamado Sigma de Caça às Ameaças, qual é o valor principal dessa ferramenta e como ela pode ajudar as organizações a melhorar suas capacidades de detecção?
O valor principal do Sigma é que você pode aderir a certos padrões de atividade anormal, que você pode usar como um ponto de partida para um mergulho mais profundo e, consequentemente, aprovar ou rejeitar o fato de atividade suspeita.
Na sua opinião, o conteúdo do Programa de Recompensas de Ameaças da SOC Prime pode compartilhar experiências dentro da comunidade de cibersegurança e por que isso é importante?
O Programa de Recompensas de Ameaças é um lugar perfeito com competição saudável para monetizar sua experiência em caça às ameaças. Ele inspira a busca de vários novos métodos de detecção para ataques conhecidos e novos.
Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
