Interview mit Entwickler: Adam Swan

Wir setzen unsere Interviewreihe mit Teilnehmern des Developer-Programms (https://my.socprime.com/en/tdm-developers), Bedrohungsjägern und Cybersecurity-Enthusiasten fort, um Ihnen diese wunderbaren Menschen vorzustellen, die das Web nach relevanten Bedrohungen durchsuchen und einzigartige Inhalte für deren Erkennung erstellen. Lernen Sie kennen SOC Primes Senior Threat Hunting Engineer – Adam Swan.

Adam, erzähl uns ein bisschen über dich und über deine Erfahrungen im Bereich Threat Hunting.

Als Kind, als AOL-Chatrooms angesagt waren, erinnere ich mich, dass ich von einem Trick fasziniert war, der es mir erlaubte, andere dazu zu bringen, ihre Abwesenheitsnachricht zu ändern, indem sie einen manipulierten Link aufriefen. Solche Einblicke ins „Hacken“ entfachten ein Feuer, das mich unabsichtlich auf diesen Karriereweg führte. Ich belegte in der Highschool alle verfügbaren Programmierkurse (um ehrlich zu sein, die einzigen Kurse, die mich interessierten) und erfuhr dann, dass ich Cybersecurity als Karriereweg wählen könnte, als ich mir College-Programme ansah. Ich landete schließlich im Information Assurance Programm am Pennsylvania College of Technology. Das Programm war eine Mischung aus Technik und Richtlinien und öffnete mir zweifellos eine Tür, die schließlich zum Threat Hunting führte. 

Nach dem College begann ich sofort, Zertifizierungen zu sammeln, um den Anforderungen des US-Verteidigungsministeriums nach 8570 zu entsprechen, in der Hoffnung, dass sie mir an meinem Arbeitsplatz mehr technische Möglichkeiten eröffnen würden. Selbst nach dem Bestehen mehrerer Zertifizierungen, einschließlich des CISSP, um „alle Kästchen abzuhaken“, hatte ich das Gefühl, dass ich wirklich nichts *wusste*. Dann eröffnete sich eine Stelle für Malware-Analyse, und der Manager sagte, ich müsse die GREM-Zertifizierung erwerben, um in Frage zu kommen. Ohne Vorkenntnisse in der Malware-Analyse ging ich die Zertifizierung nach einigen Wochen intensiven Studiums an. Ich genoss das Material sehr und fühlte endlich, dass sich ein Weg in die hoch technische Arbeit öffnete. Ich wurde in eine Junior-Position angenommen und verbrachte ein paar Jahre damit, meine Fähigkeiten in Malware-Analyse, Incident Response und Dead-Box-Forensik zu verfeinern. 

Es war jedoch erst, als Nate (@neu5ron) mich bat, seinem Team beizutreten, dass ich wirklich ins Threat Hunting eingestiegen bin. Er führte mich in Elastic ein und wir waren von der Macht der Zentralisierung und Durchsuchung der Windows-Ereignisprotokolle fasziniert. Dies kulminierte darin, dass wir auf eine Art Vortragstour gingen, um die Kraft der Windows-Protokolle zu predigen. Diese Zeit war, als ich zum „Jäger“ wurde und nie wirklich zurückblickte. Ich praktiziere jetzt seit ungefähr zweieinhalb Jahren. Im Vergleich zu vielleicht anderen Analysten, mit denen SOC Prime Interviews geführt hat, bin ich noch relativ neu.

Wie denken Sie, was sind die wichtigsten Trends im Bereich Threat Hunting in der Branche momentan?

Es gibt drei Trends, die ich ansprechen möchte. 

Erstens, mehr Organisationen starten Threat Hunting Programme oder nehmen grundlegende Konzepte des Threat Huntings und fügen sie ihrer bestehenden SOC-Funktion hinzu. Dies ist von enormer Bedeutung, da die Grundlagen des Threat Huntings meiner Meinung nach sehr effektiv sind, um Sicherheitsprogramme zu verbessern.

Zweitens ist ein weiterer Trend im Threat Hunting die Abhängigkeit von Endpoint Detection and Response (EDR). Ich bevorzuge solche, die Zugang zu reichhaltigen, passiven Daten über wichtige Ereignisse auf Systemen bieten, gegen die Analysten Erkennungslogik schreiben oder manuelle Analysen durchführen können. Die Führung sollte vorsichtig sein bei jedem Anbieter, der behauptet, die gesamte Bedrohungserkennung vollständig zu vereinfachen oder zu automatisieren. Gegner sind sich bewusst und können diese Werkzeuge umgehen.

Zuletzt würde die Threat Hunter Community ohne das Teilen nicht existieren oder sich dort befinden, wo sie heute ist. Projekte wie SIGMA, die das Teilen im Bereich Threat Hunting ermöglichen, haben die Grundlage für zukünftige Erfolge gelegt.  

Adam, was ist mit Sigma, wie war Ihre erste Erfahrung mit Sigma, als Sie damit angefangen haben zu arbeiten? 

SIGMA ist mir seit der Ankündigung bewusst, aber mein erster Einsatz in der Produktion war Anfang 2018, als ein Kunde Windows-Protokolle sammelte, die viele Monate zurückreichten, aber nur wenige Erkennungen/Alarme außer den standardmäßigen Anbieter-Erkennungen hatte. Mit Hilfe des SIEM-Ingenieurs habe ich die relevanten öffentlichen SIGMA-Regeln eingesetzt. 

Und wie denken Sie, was sind die Hauptvorteile von Sigma als Threat-Hunting-Tool? Kann Sigma die Art und Weise ändern, wie Organisationen ihre Cyber-Verteidigung aufbauen?

Erstens ermöglicht SIGMA das Teilen von Erkennungslogik zwischen Organisationen mit unterschiedlichen Architekturen, aber ähnlichen Datenquellen und Bedrohungen. Wenn ich also Splunk habe und Sie Elastic und wir beide Windows-Protokolle sammeln, können wir SIGMA als gemeinsame Sprache verwenden, um Erkennungslogik gegen unsere gemeinsamen Bedrohungen wie Ransomware zu teilen.

Zweitens ermöglicht SIGMA es uns, Erkennungslogik zu schreiben und sie mit wertvollen Metadaten zu umgeben, die möglicherweise nicht (leicht) in die Alarmierung Ihres SIEM integriert sind. Wenn Sie beispielsweise Ihre Abdeckung von MITRE ATT&CK in einigen SIEMs nachverfolgen, ist es nicht offensichtlich oder einfach, diese Regeln mit ihrer zugehörigen Technik zu verknüpfen. Mit der SIGMA-YAML-Datei können Sie Regeln beliebig taggen.

Drittens, wenn Sie Ihre Erkennungslogik in SIGMA geschrieben halten, bereiten Sie sich auf den unvermeidlichen Wechsel zu einem neuen SIEM vor. Wenn Ihr SOC plötzlich verantwortlich für die Einführung eines neuen SIEM ist (sagen wir während einer Übernahme) oder Ihre Führung beschließt, zu einem neuen SIEM mit SIGMA zu wechseln, ermöglichen Sie den agilen Übergang oder die Einführung der neuen Technologie. Dies ist besonders wichtig, wenn Sie SOC/Threat Hunting als Dienstleistung (MSSP) anbieten.

Was denken Sie, ist der komplizierteste und zeitaufwendigste Teil beim Schreiben neuer Sigma-Regeln und wie viel Zeit benötigen Sie im Durchschnitt, um eine neue Sigma-Regel zu schreiben? Ist es bequem für Sie, Sigma als Werkzeug zum Schreiben neuer Regeln zu verwenden? Und wie entscheiden Sie, welche Regel zu erstellen ist?

Die unmittelbar umzusetzenden Regeln basieren auf direkten Beobachtungen. Allerdings sind Regeln, die auf einer fundierten Hypothese über das Verhalten von Angreifern oder darüber, wie Angreiferverhalten ein bestimmtes System beeinflusst, ebenso valide. Der zeitaufwendigste Teil beim Schreiben einer SIGMA-Regel ist die Recherche und Verifizierung, dass die von Ihnen geschriebene Logik die beabsichtigte Technik/Werkzeug/Bedrohung erkennen wird. Das Schreiben einer Regel in SIGMA sollte nicht viel mehr Zeit in Anspruch nehmen als das Schreiben einer Abfrage gegen ein beliebiges SIEM. Dies liegt daran, dass SIGMA Ihnen nicht im Weg steht, es ist nicht wählerisch, und die Syntax wird schnell vertraut.  

Um Qualität sicherzustellen, empfehle ich allen, die SIGMA-Alarme schreiben, dringend, den Vortrag von Daniel Bohannon über resiliente Signaturen zu beachten (https://www.slideshare.net/DanielBohannon2/signaturesaredead-long-live-resilient-signatures). 

Was ist mit Ihren Erfahrungen mit der Sigma-UI, Adam? Haben Sie Ideen, wie man sie für Entwickler nützlicher/bequemer machen kann?

Die SIGMA-UI ist großartig, ich verwende uncoder.io, um zu überprüfen, dass meine Sigma-Regel korrekt konvertiert wird, da das Kopieren und Einfügen einer Regel sehr einfach ist. Es wäre schön, wenn die SIGMA-UI Vorschläge/Empfehlungen für die Kompatibilität mit verschiedenen Backends machen würde. Zum Beispiel kann eine starke Abhängigkeit von Wildcards zu Problemen mit der Elastic-Kompatibilität führen.

Adam, als Inhaltsentwickler haben Sie wahrscheinlich ein Labor. Wie testen Sie Ihre Regeln und welche Protokollquellen bevorzugen Sie?

Ein Labor zu haben, um Angriffe zu simulieren und die Widerstandsfähigkeit Ihrer Signaturen zu bestätigen / zu testen, ist sehr wichtig. Ich arbeite bevorzugt mit Protokollen, auf die der durchschnittliche Betrieb Zugriff hat. Heute bedeutet das Schreiben einer Regel für native Endpoint-Logs, das weitreichendste Netz zu spannen.

Welche Arten von Cyberbedrohungen glauben Sie, werden im kommenden Jahr das größte Risiko für Organisationen darstellen? Haben Sie Vorschläge, wie man die Erkennungsfähigkeiten gegen solche Bedrohungen verbessern kann?

Bedrohungen variieren erheblich zwischen den Organisationen. Ich würde sagen, die größte Bedrohung für die durchschnittliche Organisation ist die Übernahme von wurmartigen Exploits/Techniken in wurmartige Ransomware (oder jede Art von destruktiver Malware). Die Tage von Schrödingers Einbruch sind für die durchschnittliche Organisation vorbei, die meisten Organisationen werden wissen, dass sie gehackt wurden, wenn ihre Daten als Geisel genommen werden. Glücklicherweise sind die Methoden zur Verhinderung und Erkennung dieser Art von Angriffen relativ ausgereift. Die Umsetzung dieser Methoden kann von relativ einfach bis massiv komplex reichen, je nach Umfang und Komplexität der Netzwerke/Systeme, die jemand verteidigt. Meine Empfehlung richtet sich daher wirklich an die Führung. Wann immer möglich, streben Sie nach Einfachheit.

Bei SOC Prime haben wir das Threat Bounty Programm gestartet, das das Teilen von Inhalten zwischen Cybersecurity-Profis fördert. Adam, gefällt Ihnen die Idee, Entwickler für das Teilen von Sigma-Regeln und anderen Bedrohungserkennungsinhalten zu belohnen?

Ja. Wenn Sie irgendeine Art von Sicherheitsforschung betreiben, denken Sie bitte darüber nach, wie Sie die Erkennung teilen können. Alles, was es braucht, ist die Erhöhung der Protokollierung in Ihrem Labor und dann das Überprüfen der Protokolle auf mögliche Erkennungen, nachdem Sie einen Proof-of-Concept durchgeführt haben. Wenn Sie nicht wissen, wie Sie anfangen sollen, kontaktieren Sie mich @acalarch und ich verspreche Ihnen, es ist unglaublich einfach.

Adam, was wäre Ihre Empfehlung für junge Cybersecurity-Spezialisten, die sich gerade entscheiden, welchen Weg sie einschlagen sollen?

Hier sind die Dinge, die ich gewünscht hätte, dass ich getan hätte:

1. Nutzen Sie die Schulungen, die Sie durch die Teilnahme an Konferenzen erhalten können. Es ist günstiger und Sie sind von Kollegen und potenziellen Mentoren umgeben.
2. Seien Sie Ihr eigener Fürsprecher und seien Sie skeptisch/realistisch. Machen Sie Ihre Karriereziele Ihrem Management klar, seien Sie ein Quell des Kummers, was Ihre Absichten betrifft, suchen Sie Mentoren und haben Sie keine Angst weiterzuziehen.