Interview mit Entwickler: Florian Roth

[post-views]
September 27, 2019 · 7 min zu lesen
Interview mit Entwickler: Florian Roth

Wir setzen eine Reihe von Interviews mit Teilnehmern des Developer Programms fort (https://my.socprime.com/en/tdm-developers). Das vorherige Interview ist hier: https://socprime.com/blog/interview-with-developer-lee-archinal/

Lernen Sie Florian Roth kennen.

Florian Roth ist CTO der Nextron Systems GmbH. Er ist der Schöpfer von APT Scanner THOR – Scanner für Angreiferaktivitäten und Hack-Tools und der Entwickler des umfassendsten handgefertigten Yara-Regel-Feeds der Nextron – Valhalla.
Er hat das Sigma-Projekt zusammen mit Thomas Patzke geschaffen. Florian ist auch der Autor zahlreicher Open-Source-Github-Projekte, darunter yarGen, LOKI IOC Scanner, yarAnalyzer, FENRIR (Bash IOC Scanner) und mehrere OSINT-Projekte wie APT Group Mapping (Google Docs), YARA Exchange member.

Florian, könnten Sie uns bitte ein wenig über sich und Ihre Erfahrungen im Bereich der Cybersicherheit erzählen?Ich begann meine Karriere als offensiver Forscher bei Siemens in Frankfurt im Jahr 2003. Während dieser Zeit habe ich viel Penetrationstests durchgeführt, IDS/IPS-Systeme optimiert und Sicherheitsüberwachungslösungen für Kunden im Raum Frankfurt (Banken und andere große Unternehmen) aufgebaut. Im Jahr 2012 erlebte ich meinen ersten Vorfall, der nicht von einem Virenausbruch herrührte, sondern von menschlichem Handeln in Form eines anhaltenden Sicherheitsvorfalls bei einem großen deutschen Unternehmen. Von da an arbeitete ich für andere Kunden mit ähnlichen Problemen und begann, Tools, Richtlinien und Erkennungsmechanismen zu entwickeln, um diese Art von Bedrohungen zu erkennen.Sie sind einer der Erfinder von Sigma. Können Sie uns sagen, wie das war? Wie kamen Sie auf die Idee, etwas wie Sigma zu machen?Die Idee entstand, während ich an einer Reihe von Anwendungsfällen für das Bedrohungserkennungs-Handbuch eines Kunden arbeitete. Der Kunde gab mir eine Reihe von PDF-Dokumenten von verschiedenen Anbietern und bat mich, Suchabfragen zu extrahieren und zu schreiben, um diese Bedrohungen in seinem neuen SIEM-System zu erkennen. Es schien, als ob es eine „Verschwendung von Hebelwirkung“ wäre, eine Reihe spezifischer SIEM-Suchabfragen zu erstellen, die nur ein einziger Kunde nutzen kann. Ich stellte mir immer einen Ausdruck meiner Arbeit in einem Aktenordner vor und dachte: „Was für eine Verschwendung. Es muss eine bessere – allgemeinere – Form geben, um diese Erkennungsideen auszudrücken. Es muss viele andere Berater wie mich auf diesem Planeten geben, die an denselben Dokumenten und denselben Suchabfragen für verschiedene SIEM-Systeme arbeiten. Wenn einer von uns in der Lage wäre, seine Methode auszudrücken und mit den anderen zu teilen, die in der Lage wären, die allgemeine Form in eine spezifische Form für ihr Zielsystem umzuwandeln, würden wir alle profitieren.“Was denken Sie, wie praktisch ist Sigma als Werkzeug zum Schreiben von Erkennungsregeln?Wir haben uns entschieden, Funktionen in den Standard zu integrieren, die breite Unterstützung bei vielen verschiedenen SIEM- oder Log-Management-Plattformen haben. Wir haben SIEM-spezifische Funktionen ausgeschlossen, die nur von ein oder zwei Plattformen unterstützt werden. Auf diese Weise halten wir den Standard sauber und einfach zu schreiben und zu lesen. Stellen Sie sich vor, dass selbst der neu integrierte „Regex“-Modifikator noch nicht von allen Backends unterstützt wird. Daher denke ich, dass es so praktisch wie möglich ist, Regeln zu schreiben, aber einige komplexe Erkennungsideen können nicht ausgedrückt werden.Florian, empfehlen Sie Sigma als Bedrohungsjagd-Tool?Ja. Da wir die Leute dazu ermutigen, Sigma-Regeln zu schreiben, um generisches bösartiges Verhalten zu erkennen, kann es Ihnen helfen, Bedrohungen zu erkennen, die Ihr Antivirus oder andere Lösungen übersehen. Das öffentliche Repository enthält zahlreiche Erkennungsideen, die mehrere Jahre alt sind, aber die neuesten Emotet-Kampagnen erkennen und keine Fehlalarme auslösen. Diese sind die Regeln, auf die wir stolz sind und die den größten Wert für neue Benutzer haben. Stellen Sie sich vor, dass die meisten Sigma-Regeln kostenlos und offen sind. Es ist das Erkennungs-Know-how, das Anbieter zu einem unglaublich hohen Preis verkaufen. Mit Sigma können Sie Ihre bestehende Log-Management-Lösung super aufladen und Erkennungsmethoden anwenden, die von der Community bereitgestellt werden, ohne zusätzliche Kosten. Noch besser, mit einem Budget können Sie diese Regeln leicht mit kommerziellen Angeboten wie den in SOC Prime’s TDM bereitgestellten Regeln erweitern.Es ist kein Geheimnis, dass die Popularität von Sigma nicht nur darin liegt, dass es als Werkzeug praktisch ist, sondern auch, dass die Community aktiv ihre Inhalte mit allen teilt. Das Teilen ist kostenlos, aber mögen Sie die Idee, dass das Schreiben von komplexen und anspruchsvollen Inhalten nicht nur die Welt sicherer machen kann, sondern auch Geld verdienen kann?Ja. Ich denke, dass beide Arten, Erkennungsideen zu teilen, koexistieren sollten. Es ist der natürliche Weg, wie sich Märkte entwickeln – sie diversifizieren und wachsen.Wie treffen Sie die Entscheidung, welche Regel Sie erstellen?Ich erstelle oft Regeln für die Community. Nur in Fällen, in denen ich denke, dass eine Methode hochspezifisch ist, viel Aufwand in die Erstellung der Regel investiert wurde oder die Methode nur auf Firmenkunden abzielt (z. B. APT-bezogenes Verhalten), entscheide ich mich, eine Regel als bezahlte Inhalte zu erstellen.Wie wählen Sie aus, welche Regeln für die Community-Nutzung vorgesehen sind? Was sind die Hauptkriterien dieser Regeln?Ich stelle gerne Regeln für aktuelle Bedrohungen bereit, die heiße Themen auf Twitter sind. Zum Beispiel, wenn jemand eine neue Bedrohung meldet und ein Sample (Exploit-Code oder Malware) bereitstellt, starte ich meine Analyse-VM, auf der Sysmon installiert ist, führe die Samples aus, überprüfe die lokalen Protokolle, schreibe eine Regel und lade sie in das öffentliche Repo hoch. Dies dauert zwischen 10 und 30 Minuten. Stellen Sie sich vor, dass Benutzer, die das öffentliche Repo abrufen und anwenden, eine Methode erhalten können, um diese Bedrohung in ihrem SIEM zu erkennen, in weniger als einer Stunde nach ihrem öffentlichen Auftreten auf Twitter. Früher war dies nahezu unmöglich oder benötigte viel mehr Ressourcen, um öffentliche Kanäle zu überwachen, eine Bedrohung zu analysieren und eigene Suchabfragen zu schreiben.Wie lange dauert es, bis Sie eine neue Regel erstellt haben?Ein paar Minuten. Ich nehme normalerweise eine alte, die ähnlich ist wie die, die ich schreiben möchte, und nehme sie als Vorlage. Wir haben mehr als 300 Regeln für viele verschiedene Logquellen, aus denen wir wählen können.Was fehlt in der Sigma-Benutzeroberfläche, um damit zu beginnen?Nichts. Ich bevorzuge einfach einen Texteditor mit YAML-Syntax-Unterstützung, da ich die Unterstützung der Sigma-Benutzeroberfläche nicht benötige, um gültige Regeln zu schreiben.Florian, als Inhaltsautor haben Sie wahrscheinlich ein Labor. Die Frage ist, wie testen Sie Ihre Regeln und welche Logquelle bevorzugen Sie?Ich habe verschiedene VMs. Die Windows-Maschinen haben Sysmon installiert, die Linux-Maschinen haben einen konfigurierten auditd. Um ehrlich zu sein, leite ich meine Logs oft nicht an unser internes Log-Management-System weiter, sondern überprüfe die Regeln lokal mit unserem Scanner, der in der Lage ist, Sigma-Regeln auf einem Endpunkt anzuwenden.Und was denken Sie, kann das Developer-Programm Organisationen weltweit helfen, ihre Cybersicherheit zu verbessern?Ja, weil es die notwendigen Anreize für Sicherheitsforscher schafft und wir alle mehr Inhalte erhalten: kostenlos, offen und kommerziell. Besonders die Forscher im offensiven Sektor könnten ihre Zeit zwischen den Engagements nutzen, um großartige Regeln zu erstellen, die zu einem stetigen Einkommen führen. Diese neuen Regelautoren, die zuvor nicht auf dem Markt waren, fügen Inhalte zu Marktplätzen wie TDM hinzu und mehr Inhalte, selbst wenn sie gebührenpflichtig sind, sind immer besser. Oft müssen sie den Beweis für die Qualität ihrer Regeln erbringen, bevor Leute anfangen, einige ihrer Inhalte zu kaufen. Sie werden kostenlose Regeln zu ihren Forschungsartikeln und öffentlichen Beiträgen hinzufügen. Alle gewinnen. Unternehmen können in kuratierte Regel-Feeds eintauchen oder Open-Source-Regularien in vielen verschiedenen Repositories verwenden. Sie können jemand anderen für die Dauer bezahlen oder ihre eigenen Mitarbeiter anweisen, einen stetigen Strom neuer Bedrohungserkennungsregeln zu sammeln und zu pflegen. Eine ständig wachsende Vielfalt an Quellen, kostenlos und kommerziell, bietet die richtige Lösung für jede Organisation und ermöglicht es ihnen, ihre Cybersicherheit zu verbessern.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Interview mit Threat-Bounty-Entwickler – Mehmet Kadir CIRIK
Blog, Interview — 6 min zu lesen
Interview mit Threat-Bounty-Entwickler – Mehmet Kadir CIRIK
Alla Yurchenko
Interview mit Threat-Bounty-Entwickler – Aung Kyaw Min Naing
Blog, Interview — 5 min zu lesen
Interview mit Threat-Bounty-Entwickler – Aung Kyaw Min Naing
Alla Yurchenko
Interview mit Bedrohungsprämien-Entwickler – Mustafa Gürkan Karakaya
Blog, Interview — 5 min zu lesen
Interview mit Bedrohungsprämien-Entwickler – Mustafa Gürkan Karakaya
Alla Yurchenko