Interview mit Entwickler: Osman Demir

[post-views]
März 30, 2020 · 3 min zu lesen
Interview mit Entwickler: Osman Demir

Wir präsentieren Ihnen ein neues Interview mit einem Teilnehmer des SOC Prime Developer Programms (https://my.socprime.com/en/tdm-developers). Treffen Sie Osman Demir.Erzählen Sie uns ein wenig über sich und Ihre Erfahrungen im Threat-Hunting.Hallo, ich bin Osman Demir. Ich lebe in Istanbul, Türkei, und bin 25 Jahre alt. Ich habe 2017 mein Studium in Computer Engineering abgeschlossen und arbeite als Security Engineer in einer privaten Institution.
Ich beschäftige mich seit 2 Jahren mit Threat-Hunting. Ich arbeite in einem SOC-Team an der Erkennung aktueller Bedrohungen und deren Integration.
Ich verfolge die weltweit aktuellen Nachrichten zum Threat-Hunting, forsche nach Methoden von Angreifergruppen und entwickle Erkennungsregeln. Ich tue mein Bestes, um mit den Angreifergruppen Schritt zu halten.Was ist der Unterschied zwischen Threat-Hunting und Threat-Detection?Threat-Hunting ist der Prozess, einen Angriff so früh wie möglich zu erkennen, bevor die Angriffe, die eine Bedrohung für die Institution darstellen, voll erfolgreich sind. Der menschliche Faktor ist beim Threat-Hunting wichtiger.
Threat-Detection umfasst die gesamten Erkennungsprozesse eines Angriffs. Es ist notwendig, gute Kenntnisse über Threat-Detection-Produkte zu haben und die Logs im System gut zu überprüfen.Was macht Ihrer Meinung nach Sigma zu einem so effizienten Instrument für das Threat-Hunting?Sigma bietet den Menschen eine universelle Sprache. Auf diese Weise können Sigma-Regeln unabhängig vom Produkt leicht in SIEM-Systeme integriert werden.
Die Institutionen können die von ihnen identifizierten Erkennungsregeln der Angriffe problemlos mit anderen Institutionen teilen, unabhängig vom Produkt.
Dank der einfachen und flexiblen Struktur von Sigma können umfassende Regeln erstellt werden.Welche Fähigkeiten sind notwendig, um Sigma-Regeln für das Threat-Hunting zu entwickeln?Zunächst ist es notwendig, neugierig und forschungsfreudig zu sein. Trend-Threat-Regeln sollten erforscht und Erkennungsmethoden extrahiert werden. Sysmon- und Auditd-Logs sollten gut bekannt sein. Webzugriffslogs müssen beherrscht werden, um Angriffsvektoren zu erkennen, die auf der Web-Seite erscheinen. Allgemein müssen die Log-Quellen beherrscht werden.Welche Arten von Bedrohungen sind am schwierigsten zu erkennen? Vielleicht können Sie ein Beispiel aus dem realen Leben geben?Am schwierigsten zu erkennen sind 0day-Bedrohungen. Da für den 0day-Angriff keine Informationen veröffentlicht werden, kann keine Vorstellung von den Ereignisprotokollen gewonnen werden, es können lediglich vorausschauende Erkennungsmethoden geschrieben werden.
Wenn wir ein Beispiel aus dem täglichen Leben geben, konnte für den smbv3 RCE (CVE-2020-0796) Angriff keine Erkennungsmethode geschrieben werden, es können lediglich vorausschauende Erkennungsregeln erstellt werden.Was denken Sie, ist der größte Vorteil des SOC Prime Threat Bounty Programms?Wenn ich ein Beispiel von mir gebe, hilft mir Soc Primes Threat Bounty Programm, meine Forscheridentität beizubehalten.
Es ist eine Ehre zu wissen, dass Ihre Regeln den Cybersecurity-Prozessen der Unternehmen helfen.
Der wichtigste Teil ist, dass man mit diesem Programm Geld verdienen kann.Datenlecks sind jetzt ein sehr häufiges Problem für viele Organisationen. Welche Maßnahmen halten Sie für die effizientesten, um einen Datenverstoß zu vermeiden (wenn er nicht durch verantwortungslose Mitarbeiter verursacht wird)?Die effektivsten Erkennungsmethoden hierfür sind, das DLP-Produkt zu verwenden und den ausgehenden Datenverkehr der Benutzer als vollständige Paketdaten aufzuzeichnen. Auf diese Weise können Sie das ausgehende Paket analysieren und die Erkennungsregeln verbessern.
Kritische Daten (persönliche Informationen, Kundendaten) sollten genau überwacht und unautorisierter Zugriff/anormale Zeiten immer hinterfragt werden.Als erfahrener Threat-Hunter, was denken Sie, sollte die Priorität Nr. 1 für Organisationen sein, die eine robuste Cyberabwehr aufbauen wollen? (und warum)Eine starke Cybersicherheit sollte aus einer aktiven Gemeinschaft von Menschen bestehen. Dies kann erreicht werden, indem Forscher und Entwickler zusammengebracht werden.
Investitionen in das Produkt machen keinen Sinn, wenn sie nicht in Bildung des Personals investiert werden.

Mit freundlichen Grüßen,
Osman Demir

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Interview mit Threat-Bounty-Entwickler – Mehmet Kadir CIRIK
Blog, Interview — 6 min zu lesen
Interview mit Threat-Bounty-Entwickler – Mehmet Kadir CIRIK
Alla Yurchenko
Interview mit Threat-Bounty-Entwickler – Aung Kyaw Min Naing
Blog, Interview — 5 min zu lesen
Interview mit Threat-Bounty-Entwickler – Aung Kyaw Min Naing
Alla Yurchenko
Interview mit Bedrohungsprämien-Entwickler – Mustafa Gürkan Karakaya
Blog, Interview — 5 min zu lesen
Interview mit Bedrohungsprämien-Entwickler – Mustafa Gürkan Karakaya
Alla Yurchenko