Interview mit Entwickler: Sittikorn Sangrattanapitak

Heute möchten wir unseren Lesern einen der neuen Autoren von Erkennungsinhalten auf dem Threat Detection Marketplace vorstellen. Treffen Sie Sittikorn Sangrattanapitak, aktives Mitglied des SOC Prime Threat Bounty Programms.

Lesen Sie mehr über das Threat Bounty Programm –https://my.socprime.com/tdm-developers
Weitere Interviews mit Entwicklern des Threat Bounty Programms –https://socprime.com/tag/interview/

Erzählen Sie uns ein wenig über sich und Ihren Werdegang als Cybersecurity-Experte.

Mein Name ist Sittikorn. Ich komme aus Thailand. Ich interessiere mich seit meiner Universitätszeit für Cybersicherheit. Ich begann meine Karriere in diesem Bereich als Information Security Engineer. Ich unterstützte Kunden mit Sicherheitslösungen wie WAF, NGFW und SIEM. Besonders interessierte mich die SIEM-Lösung, da sie relevante Daten aus verschiedenen Quellen und Produkten aggregiert und viele Ereignisse korreliert, um Abweichungen von der normalen Aktivität zu identifizieren. Als ich meinen Job wechselte, arbeitete ich bei einem lokalen MSSP. Im Jahr 2016 hörte ich zum ersten Mal von SOC Prime, als ich nach einem Hunting-Paket für ArcSight suchte. Ich habe in vielen Rollen gearbeitet, als SIEM-Ingenieur, SOC-Analyst-Spezialist und Threat Intelligence Analyst. Heute arbeite ich als Threat Hunting, Threat Intelligence und Security Researcher.

Sittikorn, nachdem Sie dem Threat Bounty Program beigetreten sind, gehören Sie zu den führenden Beitragsautoren für Bedrohungserkennungsinhalte. Was motiviert Sie, Ihre Inhalte mit der Community zu teilen?

Bug-Bounty-Programme, bei denen man rote Teamfähigkeiten benötigt, sind bereits bekannt. Ich habe mich gefragt, ob es bereits Unternehmen gibt, die ein Bounty-Programm für die anspruchsvollen blauen Teamfähigkeiten geschaffen haben. Es ist eine gute Möglichkeit, Ihre Fähigkeiten, Visionen, neue Ideen zu entwickeln und als Pentester Geld zu verdienen.

Als ich dieses Jahr eine neue Stelle antrat, benötigte ich einige neue Erkennungsinhalte und erinnerte mich an den Threat Detection Marketplace. Ich besuchte die SOC Prime-Website und entschied mich, diesem Programm beizutreten. Meine Erfahrung im Security Operation Center und im Threat Hunting beträgt über 10 Jahre, und ich glaube, dass ich neue Erkennungsinhalte erstellen kann, die für die Mitglieder der Threat Detection Marketplace Community nützlich sind. In diesem Jahr erforsche ich Cloud-Cyber-Angriffe und möchte meine Erfahrungen mit der Community teilen, um viele Cloud-Cyber-Angriffe zu verhindern.

Sie schreiben viel über die Cloud und das ist großartig. Was ist der Grund dafür?

Heute wechseln die meisten Organisationen in die Cloud, weil sie einfach zu verwalten, kostengünstig und skalierbar ist. Viele Menschen haben immer noch wenig Wissen und Verständnis über die Cybersicherheit der Cloud, aber der Geschäftsinhaber möchte das Produkt so schnell wie möglich an seine Kunden liefern. Dieser Grund kann zu einer Reihe von Schwachstellen oder Schwächen führen, die von Hackern angestrebt werden, um in das Cloud-System einzudringen und Ihre Daten zu stehlen. Es ist ein leichtes Ziel für einen Hacker, wenn der Administrator die Cybersicherheit der Cloud ignoriert. Im vergangenen Jahr sind eine große Menge wichtiger Informationen und Kundendaten aus vielen Cloud-Systemen geleakt worden, wie bei British Airways. Diese Gründe sind, warum ich versuche, neue Erkennungsmethoden zu studieren und zu finden, um mit der aktuellen Situation Schritt zu halten.

Wie viel Zeit hat es gedauert, bis Sie das Schreiben von Sigma-Regeln beherrschten? Welcher technische Hintergrund ist erforderlich, um es zu meistern? Sittikorn, wie lange benötigen Sie im Durchschnitt, um eine neue IOC-Sigma-Regel und eine Threat-Hunting-Sigma-Regel zu schreiben?

Grundsätzlich habe ich letzten Monat begonnen, das Schreiben von Sigma-Regeln zu lernen. Ich habe einen Artikel über das Schreiben von Sigma-Regeln auf Thomas Patzkes Website gelesen und viele Sigma-Regeln auf dem Threat Detection Marketplace und auf GitHub angesehen. Ich habe versucht, meine Regel für ArcSight SIEM in die Sigma-Regel zu übersetzen, um sie weiter beim Threat Detection Marketplace einzureichen. Ich musste es mehrmals korrigieren, um den Status „genehmigt“ zu erreichen, und das hat mir geholfen, Sigma besser zu verstehen. Meiner Meinung nach, wenn Sie ein Meister werden wollen, beginnen Sie einfach damit, eine Sigma-Regel basierend auf dem Verhalten oder den Protokollquellen zu schreiben, die Sie sehr gut verstehen. Es wird nicht lange dauern.

Die durchschnittliche Zeit, die erforderlich ist, um eine neue Sigma-Regel zu schreiben, hängt von der Komplexität der Regel, dem Ereignisprotokollbeispiel und den spezifischen Bedingungen zur Verringerung von Falscherkennungen ab. Im Allgemeinen benötige ich etwa 15 bis 60 Minuten pro Regel.

Sittikorn, die Pandemie ist eine weitere Herausforderung für einen Cybersecurity-Praktiker, da viele Bedrohungsakteure ihre Aktivitäten erhöht haben. Erzählen Sie uns, wie es Ihre tägliche Arbeit beeinflusst hat.

Wir müssen wie ein Hacker denken. Ich glaube, dass wir die Sicherheitsüberwachung von Remote-Kanälen, Cloud-Konsolen-Management, Client-Management und die Aktualisierung von Threat Intelligence-Kampagnen zur Pandemie verstärken und dann IoC anwenden sollten, um die Sicherheitsmaßnahmen zu verbessern.

Was halten Sie für den größten Vorteil des SOC Prime Threat Bounty Programms?

Das Threat Bounty-Programm ist ein perfektes Programm für blaue Teammitglieder, um ihre SOC- und Threat-Hunting-Erfahrung zu monetarisieren. Es steht den Bug-Bounty-Programmen für Pentester in nichts nach. Es ist eine neue Leidenschaft, um neue Erkennungsmethoden zu neuen Angriffen und neuer Malware zu lernen und kreativ zu denken.