Interview mit Entwickler: Nate Guagenti

Treffen Sie Nate GuagentiÜber ein Jahrzehnt hat Nate sowohl Netzwerk- als auch Endpunkt-SIEM-Systeme implementiert und entwickelt, die auf mehrere TB/Tag Aufnahme skaliert werden, während er gleichzeitig andere in der Nutzung der implementierten Lösung geschult hat. Da Nate in allen Bereichen der IT gearbeitet hat, bringt er die einzigartige Erfahrung eines Fachmanns mit, der sowohl Endpunkt- als auch Netzwerksicherheitsüberwachung durchgeführt hat. Seine Arbeit in der Bedrohungssuche und Insider-Bedrohungserkennung wurde auf verschiedenen Konferenzen vorgestellt. Nate ist ein Mitwirkender des Open-Source-Projekts HELK (https://github.com/Cyb3rWard0g/HELK), das sich auf Bedrohungssuche durch Endpunktdaten unter Verwendung des Elastic Stack sowie das SIGMA-Framework konzentriert, ein Open-Source-Projekt, das Signaturen und Erkennungsmethoden standardisiert.Nate, erzähl uns von deiner Erfahrung in der Cybersicherheit und warum du dich entschieden hast, dich auf Open-Source-Lösungen wie Elastic zu konzentrieren?Meine Karriere in der Cybersicherheit begann 2012, als ich als Regierungsangestellter arbeitete. Von dort wechselte ich von einem SOC-Analysten zur Malware-Analyse. Im Laufe der Zeit erweiterte sich dies zu Bedrohungssuche und Rollen, die die Implementierung von 10Gbps+ NSM Zeek (Bro) Sensorbereitstellungen und Elastic-Clustern umfassten.

Als Verteidiger stehen wir vor einer Menge Herausforderungen, von denen viele außerhalb unserer Kontrolle liegen. Es gibt jedoch Dinge, die wir kontrollieren und beheben können, und wir können nicht bis zum nächsten Quartal warten, um eine Lösung oder Funktion von einem Anbieter zu erhalten. Die Bereitstellung von Open-Source-Software wie Elastic ermöglichte es mir, kritische Verteidigungslücken am nächsten Tag zu schließen. Zudem erlaubte es mir, dass die finanzielle Hürde für die Nutzung und das Lernen des Produkts beseitigt wurde, mein Verständnis von zu Hause aus zu beschleunigen.Was sind deiner Meinung nach die wichtigsten Bedrohungssuche-Trends in der Branche derzeit?Die Branche hat bereits gezeigt, dass das Problem der Datensammlung (Telemetrie) und der großen Datenmengen gelöst werden kann. Dies hat es vielen Trends und Prozessen ermöglicht, sich zu entwickeln, zu reifen und ins Leben zu treten. Einer dieser Trends ist die Dokumentation von Daten (gezeigt in OSSEM von @Cyb3rWard0g), die Normalisierung von Daten und standardisierte Abfragesprachen (SIGMA). Darüber hinaus wird eingebaute Telemetrie erforscht, um Unternehmenslösungen zu ersetzen oder zu ergänzen und offen zu teilen. Im Gegenzug können Menschen jetzt diese gemeinsamen Daten validieren, erforschen und verwenden, um Erkennungen und Modelle zu erstellen, ohne teure Unternehmenslösungen oder eine große Laborumgebung zu benötigen. Auch die Community baut breitere Erkennungen um Taktiken und Techniken herum auf. Ein perfektes Beispiel ist das Mitre ATT&CK-Framework. Die bestehenden SIGMA-Regeln für die Umweltentdeckung oder Microsoft Office-Spawning-Prozesse zeigen dies in der Praxis.
Letztendlich werden wir einen anhaltenden Fokus auf das Graphing, Pivoting und das Verbinden von Daten als Verbesserungen der Jagd sehen. Beides, wovon ich glaube, dass die HELK-Plattform bei der Darstellung und Implementierung durch Jupyter-Notebooks hervorragende Arbeit geleistet hat.Als Lösungsarchitekt, denken Sie, dass Sigma die Art und Weise ändern kann, wie Organisationen ihre Cyberverteidigung aufbauen?Seit über 20 Jahren mit Snort-Regeln und über 10 Jahren für Yara-Regeln hat die Branche keinen universellen Fortschritt wie SIGMA gehabt. Nicht nur das, die Branche hatte nie ein universelles Format für Protokolle und Telemetrie. Worauf die Cybersicherheit fundamental aufgebaut ist! Zusätzlich wichtig ist, dass man als Unternehmen nie mit einer einzigen Technologie verheiratet sein will. Ihre Analysten/Bediener sollten sich darauf konzentrieren, Erkennungen umzusetzen, nicht Ihre Protokollierungslösungen zu erlernen. Egal, ob Sie heute Elastic, Splunk oder QRadar verwenden und morgen eine neue Lösung kommt, können Sie sich darauf verlassen, dass SIGMA sie unterstützt.

Ungeachtet meiner Meinung hat die Community bereits gezeigt, dass SIGMA die Art und Weise, wie wir Bedrohungen erkennen, weiter verändern wird. Zwei der besten Open-Source-Jagd-Lösungen, HELK und SecurityOnion, haben SIGMA implementiert und es gibt Tutorials und Blogs über SIGMA von Unternehmensanbietern.Wie treffen Sie eine Entscheidung darüber, welche Regeln oder andere Arten von Bedrohungserkennungsinhalten zuerst implementiert werden sollen?Ich denke, dies lässt sich am besten mit den grundlegenden Wahrheiten der Branche erklären: a) Sie können nicht jedes Asset schützen und b) herausfinden, was für Ihr Unternehmen wichtig ist. Verteidigen Sie, was die plausibelste und einflussreichste Bedrohung ist. Zum Beispiel, meine Erfahrung in der Verteidigung eines Managementnetzwerks stellte diese Wahrheit direkt vor meine Nase. Domain-Admin war nicht die besorgniserregendste Bedrohung noch war es herkömmliche Malware. Ich stand bereits privilegierten Benutzern gegenüber. War diese Konfigurationsänderung oder die Entstehung eines anormalen Prozesses eine Fehlersuche oder der Beginn einer böswilligen Absicht? Mit Hunderten solcher Benutzer musste ich den Verteidigungsumfang eingrenzen. Etwas wie die Zerstörung oder Netzwerkdegradation, Umwelterkennung, das Lesen von Kenntnisdokumenten oder böswillige Konfigurationsänderungen. Vielleicht ein praktisches Beispiel könnte sein, wenn Sie Exchange-/Mail-Server haben, die SIGMA-Regeln bereitzustellen, die sich auf die Prozessertstellung oder Dateimodifikationen auf diesen Servern beziehen.Welche Arten von Cyberbedrohungen werden Ihrer Meinung nach das größte Risiko für Organisationen im kommenden Jahr darstellen? Haben Sie Vorschläge, wie man die Erkennungsfähigkeiten gegen solche Bedrohungen verbessern kann?Webserver-Angriffe, Missbrauch von APIs und Diebstahl/Missbrauch von Anmeldeinformationen für Cloud-Lösungen. Hinsichtlich Web- und API-Angriffen wird sich dies weiterhin in SIGMA entwickeln. Es hat die Fähigkeit, WAF-ähnliche Regeln, Prozess-/Endpunktregeln zu teilen, kombiniert mit fortschrittlicheren Regeln wie z.B.: eine einzelne IP verursacht zehn 400/404-Webserverfehler, gefolgt von einem 500-Fehler von Ihrem Webserver. Dies könnte auf einen Angreifer hinweisen, der vom Erkunden zum erfolgreichen Angriff auf diesen Server übergeht.

Auch ICS (Industrielle Kontrollsysteme) wird ein anhaltendes Risiko darstellen. Trotz meiner mangelnden Fachkenntnis in ICS sehe ich bereits die Erkennungsmöglichkeiten für diese Branche mit der Unterstützung von Zeek-Protokollen in SIGMA. Zeek hat Analysetools für viele der ICS-Protokolle. Wenn Unternehmen Zeek-Logging bereitstellen und die Community SIGMA-Regeln für ICS schreibt, denke ich, dass das Ergebnis selbsterklärend ist.Mit welchen Problemen haben Organisationen normalerweise zu kämpfen, wenn sie von reaktiver zu proaktiver Cyberverteidigung wechseln wollen?Ich denke, das Priorisieren und sogar der Ausgangspunkt stellt für alle eine Herausforderung dar. Viele Punkte, die ich in Frage 4 erwähnt habe, treffen auch auf diese Frage sehr gut zu. Nachdem Sie Ihre kritischen Assets herausgefunden haben, kann es eine große Hürde sein, die Protokoll-/Telemetriesammlung und entsprechende Analysen/Erkennungen zu validieren. Kombinationen aus atomaren roten Team-Testframeworks, Open-Source-Datensätzen (Mordor) und Community-Regeln reduzieren diese Hürde jedoch erheblich.Nate, was wäre Ihre Empfehlung für junge Cybersicherheitsspezialisten, die gerade überlegen, welchen Weg sie einschlagen sollen?Erstens, behalten Sie einige Ihrer Ziele im Auge und wann Sie sie erreichen. Machen Sie so viele Notizen (online) wie möglich. Sie werden so viel so schnell lernen und auf viele schwierige Dinge stoßen. Daher ist es wichtig, sich daran zu erinnern, wie weit Sie gekommen sind. Die Notizen werden Sie Ihre gesamte Karriere über nachschlagen.

Aus einer Lernperspektive, gehen Sie auf Twitter und folgen Sie so vielen Forschern und Technologieunternehmen, wie Sie können. Von dort aus folgen und lesen Sie ihre Blogs und Tutorials mit einem RSS-Reader. Es gibt viele Giganten in dieser Branche, Sie können leicht einer werden, indem Sie auf ihren Schultern stehen. Achten Sie darauf, immer Anerkennung zu geben und vergessen Sie nicht Ihre bescheidenen Anfänge.Was glauben Sie, kann das Threat Bounty Program von SOC Prime Organisationen helfen, Bedrohungen effizienter zu erkennen?Das Threat Bounty Program bietet ähnliche Vorteile wie IDS-Regelsätze, die bereits in Tausenden von Organisationen verwendet werden (z.B.: Emerging Threat oder Sourcefire-Regelsätze). Es gibt jedoch den einzigartigen Vorteil, dass man Erkennungen von Forschern nutzen kann, die in verschiedenen Branchen weltweit tätig sind. Zudem sind Forscher, die die Inhalte schreiben, im Wesentlichen ihr eigenes Geschäfts innerhalb des Programms von SOC Prime. Ähnlich wie Etsy profitieren die Konsumenten von motivierten Shops, die in diesem Fall die Forscher sind.

Das vorherige Interview mit Thomas Patzkke finden Sie hier: https://socprime.com/en/blog/interview-with-developer-thomas-patzke/