Interview mit Entwickler: Ariel Millahuel

Wir haben ein weiteres Interview mit einem der Teilnehmer des SOC Prime Entwicklerprogramms (https://my.socprime.com/en/tdm-developers). Wir möchten Ihnen Ariel Millahuel vorstellen.Ariel, könntest du dich bitte vorstellen und uns etwas über deine Erfahrungen im Threat Hunting erzählen?Ich bin Ariel Millahuel aus Buenos Aires, Argentinien und bin 30 Jahre alt.
Ich begann vor 2 Jahren in der Welt des Threat Huntings, als ich von einem SOC zu einem Blue Team Job wechselte. Dies war mein Ausgangspunkt und jetzt ist es eine meiner Leidenschaften.Lassen Sie uns über die Bedrohungsjagdbranche sprechen. Wie denken Sie, was sind die derzeit wichtigsten Trends und Schwachstellen?Meiner Meinung nach sind die wichtigsten Trends Malware-Jagd, Sysmon-Logs und Cloud-Technologien. Ich denke, dass der schwächste Punkt die Integration von maschinellem Lernen in die Branche ist.Erzählen Sie uns von Ihren Erfahrungen mit Sigma. Wann haben Sie angefangen, es zu benutzen und warum?Das erste Mal, dass ich Sigma gesehen habe, war im TDM, während ich die Regeln erkundete usw. In diesem Moment begann ich, über Sysmon und Prozessüberwachung zu lernen, vor etwa 5 Monaten. Es dauerte mindestens 3 Monate, bis ich anfing, einfache Sigma-Regeln zu schreiben.Was sind Ihrer Meinung nach die Hauptvorteile von Sigma als Threat-Hunting-Tool? Kann Sigma die Art und Weise ändern, wie Organisationen ihre Cyber-Abwehr aufbauen?Die Hauptvorteile von Sigma liegen in der Integration mit den wichtigsten SIEMs der Branche und in der Möglichkeit, kontinuierlich Inhalte zu erstellen, wenn neue Bedrohungen auf der Hauptbühne erscheinen.
Sigma kann nicht die Art und Weise ändern, wie Organisationen ihre Cyber-Abwehr aufbauen, aber das gesamte Szenario für Blue und Red Teams.Was denken Sie, ist der komplizierteste und zeitaufwendigste Teil beim Schreiben einer neuen Sigma-Regel?Der komplizierteste und zeitaufwendigste Teil ist es, zu validieren, was Sie in eine spezifische Regel einbringen. Ich mache das in meinem virtuellen Labor.Wie viel Zeit benötigen Sie, um eine neue Sigma-Regel zu schreiben? Wie entscheiden Sie, welche Regel Sie erstellen?Der gesamte Prozess dauert bei mir mindestens 2 Stunden pro Regel. Das passiert, wenn ich ein neues Verhalten in der Malware sehe, das ich in einer Sandbox analysiere.Was kann Ihrer Meinung nach in Sigma verbessert werden?Sigma ist gewachsen, seit ich es zu benutzen begann, und es war fantastisch zu sehen, welche Dinge ihr macht. Es wäre großartig, wenn der Uncoder Rückmeldungen über Parsing-Fehler oder „unbekannte“ Fehler hätte. Ich habe sie gesehen und manchmal ist es schwierig zu erkennen, was man falsch macht.Was würden Sie Cybersecurity-Spezialisten empfehlen, die gerade lernen, wie man Sigma-Regeln schreibt, irgendwelche Tipps, um das Schreiben von Sigma zu meistern?Ich empfehle diesen Leuten, Sysmon auf einem tiefen Level zu studieren und immer zu lernen, wie die Angreifer denken und sich bewegen.Haben Sie versucht, die Sigma-UI zu verwenden? Was denken Sie, wie könnte es verbessert werden?Sigma UI ist ein leistungsstarkes Tool und es ist einfach perfekt. Ich habe es benutzt, um zu sehen, wie der rohe Sigma-Code in ArcSight aussieht.Haben Sie ein Labor? Wie testen Sie Ihre Regeln und welche Log-Quellen bevorzugen Sie zu verwenden?Ich habe ein kleines, aber effektives Labor, in dem die Regeln getestet werden. Ich bevorzuge immer Sysmon-LogsSie sind Teilnehmer des SOC Prime Entwicklerprogramms, was denken Sie, kann das Entwicklerprogramm Organisationen weltweit helfen, ihre Cybersicherheit zu verbessern?TDM und das SOC Prime Entwicklerprogramm werden viel helfen und wahrscheinlich eine große Veränderung bewirken mit der exzellenten Idee, an Entwickler Geld zu zahlen.Bei SOC Prime haben wir das Threat Bounty Programm gestartet, das Content-Sharing zwischen Cybersecurity-Profis fördert. Ariel, gefällt Ihnen die Idee, Entwickler dafür zu belohnen, dass sie Sigma-Regeln und andere Bedrohungserkennungsinhalte teilen?Ja, 100%. Dies ist einer der Punkte, der mich überzeugt hat, diesem Programm beizutreten.Was wäre Ihre Empfehlung für junge Cybersecurity-Spezialisten, die gerade entscheiden, welchen Weg sie einschlagen sollen?Bevor sie einen Weg wählen, empfehle ich den jungen Sicherheitsenthusiasten, stets informiert und lernend zu bleiben. Nichts ist jemals genug in dieser Welt.Ariel, Sie sind der erste Entwickler, der seine Regeln auf Twitter postet, und das ist großartig. Wäre es interessant für die Cybersecurity-Community, einen ‚Feed‘ auf Twitter/Telegram zu haben, wo Informationen über die neuen Regeln veröffentlicht werden?Ein „Teilen“-Button mit einer Vorschau der Sigma-Regel wäre so interessant für das TDM. Ein Feed wäre ebenso fantastisch. Das würde wahrscheinlich die Regeln und die Vorteile für die Entwickler und SOC Prime pushen.Twitter… wie können Sie kontrollieren, wer Ihren Feed liest? Wenn Sie eine Idee geben, was entdeckt werden muss, können schlechte Jungs diese Informationen lesen und gegen jemand anderen verwenden. Manchmal kann ein guter Ansatz nicht auf die richtige Weise verwendet werden… was denken Sie darüber?Ich stimme dem zu 100% zu. Ich poste auf Twitter keine neuen Ideen, bis ich einige Sigma-Regeln oder Inhalte für meine Arbeit erstelle. Dies ist eine gute Möglichkeit, eine schlechte Nutzung Ihrer Ideen zu verhindern.Wir haben noch eine spezifische Frage an Sie. Die Analyse von Malware ist in der Regel reaktive Aktionen und einige Organisationen könnten bereits mit dieser Malware gehackt sein. Ariel, was denkst du über predictive detection? Ist sie möglich? Wenn ja, wie suchen Sie nach neuen Ideen, die entdeckt werden müssen?Predictive detection ist kompliziert, aber nicht unmöglich. Ich sage das aufgrund der Vielfalt des Verhaltens von Malware „in freier Wildbahn“. Man kann eine gute Vorhersagematrix erreichen, wenn Ihre Organisation Sicherheit ernst nimmt und wenn Sie Apps zur Malware-Analyse wie Sandboxes verwenden können.