Interview mit Entwickler: Den Iuzvyk

[post-views]
April 27, 2020 · 4 min zu lesen
Interview mit Entwickler: Den Iuzvyk

SOC Prime präsentiert ein weiteres Interview mit einem Teilnehmer des SOC Prime Threat Bounty Developer Program (https://my.socprime.com/en/tdm-developers). Wir möchten Ihnen Den Iuzvyk vorstellen, der während seiner sechsmonatigen Teilnahme am Threat Bounty Program über 60 Community-Regeln von höchster Qualität und Erkennungswert veröffentlicht hat.Lesen Sie mehr Interviews mit Content-Entwicklern auf unserem Blog: https://socprime.com/en/tag/interview/

Erzählen Sie uns ein wenig über sich selbst und Ihre Erfahrungen im Threat-Hunting.

Mein Name ist Den Iuzvyk, ich komme aus Kiew, Ukraine, und bin 34 Jahre alt. Ich bin CTO in einem Unternehmen namens Simplerity.

Ich begann meine Karriere 2003 als Softwareentwickler. 2015 habe ich mich für Cybersicherheit interessiert. Später wurde ich Mitbegründer eines Unternehmens, in dem wir eine Plattform für Log-Analyse und Threat-Hunting entwickelt haben. Ich habe verschiedene Malware-Erkennungstools erstellt, Angriffs-Simulatoren automatisiert, moderne Erkennungssysteme auf Schwächen überprüft.

Den, was ist der Unterschied zwischen Threat-Hunting und Threat-Detection?

Threat-Hunting ist ein Teil des Threat-Detection-Prozesses, der sich auf die proaktive Erkennung von Bedrohungen konzentriert, die durch bestehende Sicherheits- und Alarmsysteme hindurchgefiltert wurden.Threat-Detection ist eine Reihe von Maßnahmen, die darauf abzielen, Bedrohungen in jeder Phase ihres Lebenszyklus zu erkennen.

Was macht Ihrer Meinung nach Sigma zu einem so effizienten Werkzeug für das Threat-Hunting?

Sigma ist die ideale Wahl für einen Threat-Hunter, weil sein hochformatiges Format die Nutzung, Speicherung und Weitergabe von Analysen ohne Bindung an ein bestimmtes Backend ermöglicht.Sigma hilft, die Feldnamen in Logs beiseite zu legen und sich auf Ergebnisse zu konzentrieren. Mein Lieblingsteil von Sigma sind die „Referenzen“ – die Quelle, die den Autor zur Erstellung der Erkennung inspiriert hat.

Welche Fähigkeiten sind notwendig, um Sigma-Regeln für das Threat-Hunting zu entwickeln?

Zuallererst ist es der analytische Ansatz in der Datenverarbeitung. Denn Sie sollten die Muster erkennen, die Sie zur Erstellung effektiver Erkennungen verwenden können.

Die zweite Fähigkeit ist das Wissen über die TTPs der Angreifer.

Der dritte Punkt ist ein gutes Verständnis der internen Struktur von Betriebssystemen.

Der vierte Punkt ist das Verständnis von Netzwerksicherheit und Datensicherheit.

Welche Bedrohungstypen sind am schwierigsten zu erkennen? Den, vielleicht können Sie ein Beispiel aus dem echten Leben geben?

Am schwersten zu erkennen sind Rootkits.Der nächste Punkt sind signierte Treiber, die mit Fehlern veröffentlicht wurden, die eine Ausnutzung ermöglichen und direkt im Kernel-Modus arbeiten, wodurch ein Betrüger Sicherheitssysteme umgehen kann.Dann kommen die Bedrohungen mit .NET Framework (AppDomainManager und Assembly Loading).Aber was uns glücklich machen kann, ist das Wachstum des Verständnisses möglicher Bedrohungsvektoren, und infolgedessen entstehen neue Sichtbarkeiten wie die Integration von AMSI mit .NET Version 4.8 und ETW (Event Tracing for Windows)

Was ist Ihrer Meinung nach der größte Vorteil des Threat Bounty Program von SOC Prime?

Aus der Sicht eines Erstellers von Erkennungsregeln ermöglicht das Threat Bounty Program es, die Bedürfnisse der Kunden zu präsentieren und tief in die Forschung einzutauchen, bei der Sie Wissen und Erfahrung sammeln und von SOC Prime belohnt werden.

Datenlecks sind heutzutage ein sehr häufiges Problem für viele Organisationen. Welche Maßnahmen halten Sie für die effizientesten, um einen Datenverstoß zu vermeiden (wenn er nicht durch unverantwortliche Mitarbeiter verursacht wird)?

Es hängt von der gewählten Strategie ab, die je nach Unternehmenstyp unterschiedlich sein kann. Aber die folgenden Schritte sind unerlässlich:

Bewertung des aktuellen Sicherheitssystems, Behebung der Schwachstellen.

Datenklassifizierung. Es ist äußerst wichtig zu wissen, wo und welche Informationen gespeichert sind. Nicht alle Informationen müssen geschützt werden.

Zugriffsklassifizierung. Es ist wichtig zu wissen, wer Zugang zu den Informationen hat, sowohl physisch als auch im Netzwerk.

Kontinuierliches Monitoring. Sammlung und Analyse von Protokollen, die von Datenspeichern und Arbeitsstationen empfangen werden.

Schulung und zeitnahe Information der Mitarbeiter.

Verschlüsselung. Alle gespeicherten und übertragenen Daten müssen verschlüsselt werden.

Patch-Management.

Als erfahrener Threat-Hunter, was denken Sie, sollte die #1 Priorität für Organisationen sein, die eine robuste Cyberverteidigung aufbauen möchten? (und warum)

MFA aktivieren 🙂Meiner Meinung nach sollte man zuerst die Bedeutung jedes Schritts verstehen. Es gibt keine magische Lösung, es ist ein kontinuierlicher Prozess.Der proaktive Ansatz wäre hier die beste Wahl, obwohl er anfangs eher teuer ist, aber in Zukunft am kosteneffektivsten.Die Priorität bei der Entwicklung eines Cybersecurity-Ansatzes für ein Unternehmen liegt darin, die geschäftskritischen Assets zu definieren, von denen die gesamte Geschäftstätigkeit abhängt.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge