Interview mit Entwickler: Roman Ranskyi

Heute möchten wir unseren Lesern einen der Autoren von Erkennungsinhalten vorstellen, dessen Namen Sie auf den SOC Prime Threat Detection Marketplace Leaderboards sehen können. Lernen Sie Roman Ranskyi kennen, Threat Hunting/Content Developer Engineer bei SOC Prime.

Roman, erzähl uns ein bisschen über dich und deine Erfahrungen in der Cybersicherheit.

Ich interessierte mich bereits im Jahr 2008 für Informationssicherheit, als ich Zeit auf solch kultigen Foren jener Zeit wie hackzona, zloibiz, antichat verbrachte und einige Zeit sogar einen der Forenthreads moderierte. Während meines Studiums arbeitete ich als Systemadministrator. Auch habe ich Cisco CCNA Laborunterricht und Kurse über Grundlagen praktischer Informationssicherheit gegeben.

Später begann ich in einem Integratorunternehmen zu arbeiten, wo ich als Ingenieur und Presales für Sicherheitslösungen tätig war, zudem befasste ich mich mit allen Lösungen, AV, DLP, NGFW, verschiedenen Sandboxes, Systemen zum Schutz vor DDoS-Angriffen. Ich erhielt mehrere Zertifizierungen, wie sie vom Geschäft verlangt wurden – Arbor, Fireeye. Und Letztere weckte wirklich mein Interesse mit ihren faszinierenden Berichten in ihrem Blog, und die Technologien wirkten revolutionär. Außerdem trat ich auf mehreren geschlossenen Konferenzen für Partner und Kunden auf, bei denen ich versuchte, nicht nur über unsere Lösungen zu sprechen, sondern auch über Techniken, Methoden und Angriffsvektoren sowie graue Märkte. Einige Präsentationen sind noch in meinem LinkedIn-Profil verfügbar.

Und wie wuchs dein Hobby zum Threat Hunting heran?

Ich absolvierte einen Kurs im Certified Ethical Hacking, den ich eher theoretisch und sogar langweilig fand, weil es an praktischen Aufgaben mangelte. Ich bin immer der Meinung, dass man, um verteidigen zu können, wissen muss, wie man angreift. Ich hatte die Angewohnheit, spät in der Nacht in unserem Labor zu sitzen, wo wir Lösungen testeten, die wir Kunden präsentieren, und verschiedene reale Angriffsszenarien ausprobierten, um die Reaktion im Detail zu studieren und zu versuchen, Sicherheitsmaßnahmen zu umgehen. Zwischendurch studierte ich Kursmaterialien von Offensive Security (PWK), SANS-Kurse und andere.

Nach dem Systemintegrator-Unternehmen arbeitete ich für ein Unternehmen, wo ich mich als Senior Information Security Engineer mit der Entwicklung befasste. Dann trat ich SOC Prime als Threat Hunting/Content Developer Engineer bei.

Was ist Threat Hunting für dich?

Grundsätzlich entspringt Threat Hunting der Digital Forensic and Incident Response. Es geht um umfassende Einblicke und Analysen in der gesamten Umgebung. Threat Hunting besteht nicht aus der Untersuchung von Vorfällen, es ist eine proaktive Suche nach bekannten und unbekannten Bedrohungen, sodass ein Threat Hunter nicht einfach sitzen und warten kann, bis etwas passiert.

Was sind deiner Meinung nach die notwendigen Fähigkeiten für einen Threat Hunter?

Einerseits muss man wie ein Angreifer denken – wie kann man das Ziel erreichen, wie die Maßnahmen der Blue Team umgehen und unter dem Radar bleiben.

Andererseits sollte man eine analytische Denkweise haben, Kenntnisse über Big Data besitzen und eine gute Beherrschung verschiedener Instrumente, auch wenn sie sich ziemlich ähneln.

Zusammenfassend ist es eine Mischung aus Red Team und Blue Team Fähigkeiten.

Roman, ist es möglich, Angriffe von verschiedenen Bedrohungsakteuren vorherzusagen und was wäre deine Empfehlung, um die Verteidigung gegen deren Werkzeuge zu verbessern? Beispiele wären großartig!

Es ist unmöglich, alle Bedrohungen vorherzusagen. Zu einem großen Teil hängt der Erfolg eines Angriffs von Kenntnissen der Fachdomäne ab. Und wenn man allgemein über eine Unternehmensinfrastruktur spricht, wo es Schutz gibt, existiert auch eine Umgehung.

Sprechend über Domain-Infrastrukturen, die für große Unternehmen vital sind, ist das erste eine gute Konfiguration einschließlich Härtung und erweiterter Audits. Ich mag das Konzept des Red Forest Designs, und wenn man alles richtig macht, kann man fast alle Schritte und Aktivitäten eines Angreifers erkennen.

Roman, erzähl uns mehr über solche Art von Sigma wie Threat-Hunting Sigma, was ist der Hauptwert dieses Werkzeugs und wie kann es Organisationen helfen, ihre Erkennungsfähigkeiten zu verbessern?

Der Hauptwert von Sigma liegt darin, dass man sich an bestimmte Muster abnormaler Aktivitäten halten kann, die man als Ausgangspunkt für tiefere Untersuchungen verwenden kann, und folglich – den Verdacht auf Aktivitäten bestätigen oder widerlegen kann.

Kann Ihrer Meinung nach der Inhalt und die Erfahrungsteilung des SOC Prime Threat Bounty Program innerhalb der Cybersicherheitsgemeinschaft erfolgen und warum ist das wichtig?

Threat Bounty ist ein perfekter Ort mit gesundem Wettbewerb, um seine Erfahrungen im Threat Hunting zu monetarisieren. Es inspiriert zur Suche nach verschiedenen neuen Erkennungsmethoden für bekannte und neue Angriffe.

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder dem Threat Bounty Program beitreten , um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.