Interview mit Entwickler: Sreeman Shanker

Treffen Sie Sreeman, einen der aktivsten Teilnehmer des SOC Prime Threat Bounty Programms. Sreeman nimmt seit Dezember 2019 am Threat Bounty Programm teil.

Bevor er begann, seinen eigenen entwickelten Inhalt auf dem Threat Detection Marketplace zu veröffentlichen, hatte Sreeman eine Vielzahl von Änderungen und Verbesserungen zu den bestehenden TDM-Inhaltstranslationen für Azure Sentinel und Microsoft Defender ATP beigetragen.

Besuchen Sie den Link, um die von Sreeman entwickelten Regeln anzusehen: https://tdm.socprime.com/?searchValue=tags.author:sreeman

Sreeman, erzählen Sie uns ein wenig über sich und Ihre Erfahrung in der Cybersicherheit.

Meine erste Einführung in die Sicherheit war, als ich den Kultfilm „Wargames“ sah. Ich wusste sofort, dass Informationssicherheit mein Hauptfach sein würde, als ich die Universität besuchte. Ich bin nun seit etwa 6 Jahren im Sicherheitsbereich tätig, begann als Sicherheitsanalyst und mache derzeit mehr Threat Hunting und Incident Response. Ich verbringe viel zu viel Zeit in der Woche damit, zu lesen, zu forschen und die Logik neuer Exploit-Methoden zu verstehen. Außerdem bin ich aktives Mitglied der Hack In The Box Sicherheitskonferenz.

Wie schwer ist es, die Sigma-Sprache zu beherrschen, wenn man Erfahrung im Schreiben von Regeln für verschiedene Sicherheitssysteme hat?

Ehrlich gesagt, es ist so einfach wie Fahrradfahren zu lernen. Sobald man die Grundlagen verstanden und die Stützräder entfernt hat, ist es ziemlich gleich bleibend, da das Format und die Syntaxen schnell vertraut werden. Es ist eine Überraschung, dass es nicht viel früher entwickelt wurde, aber Florian Roth dachte außerhalb der Box und kam auf die Idee, die wirklich allen hilft, die in einer Blue-Team/SOC-Umgebung arbeiten. Verschiedene SIEMs haben unterschiedliche Weisen, Regeln zu schreiben, aber die grundlegende Logik ist im Wesentlichen gleich. Genau das macht SIGMA. Wir schreiben einfach auf, was die Erkennungsstrategie sein muss, und die Leute konvertieren es dann in ihre SIEM-Abfragesprache.

Ich gebe zu, ich mache immer noch eine Reihe von Syntaxfehlern, und ich bin mir sicher, dass die Leute bei TDM wahrscheinlich von meiner Hast genervt sind – aber zum Glück nehmen sie sich die Zeit, mir zu sagen, was falsch ist, damit ich es korrigieren kann.

Sie nehmen aktiv an der Entwicklung der Community teil: Sie veröffentlichen nicht nur Ihren Erkennungsinhalt, sondern überprüfen auch andere veröffentlichte Community-Regeln und bieten Ihre eigenen Übersetzungen für Plattformen an, wenn die Regel nicht automatisch über Uncoder übersetzt werden kann. Wie viel Zeit nimmt das in Anspruch?

Wie bereits erwähnt, ist die Logik, die von einer SIGMA-Regel vermittelt wird, ziemlich einfach zu verstehen. Wenn wir wissen, worum es bei der Regel geht, ist es wirklich einfach, sie auf anderen Plattformen zu reproduzieren. Es ist das Wissen, wie man effiziente Abfragen in dieser Plattform schreibt, das die Zeit bestimmt. Einige Abfragen können nur ein paar Minuten dauern, und andere etwas länger.

Alle von Ihnen zum Threat Detection Marketplace beigetragenen Threat-Detection-Inhalte sind kostenlos verfügbar und helfen den Cybersicherheitsspezialisten weltweit, Bedrohungen zu erkennen. Was motiviert Sie dazu, nur Community-Regeln zu veröffentlichen?

Das Tolle an der Sicherheitsgemeinschaft ist, dass jeder sein Wissen und seine Erkenntnisse teilt. Sie finden Leute wie Samir Bousseaden, Florian Roth, @hexacorn, Oddvar Moe und viele, viele mehr, die sich die Zeit nehmen, ein Exploit zu erklären und zu demonstrieren sowie Jagdregeln zu schreiben. Ich habe viel von all diesen Leuten gelernt und ohne einen Cent zu bezahlen. Ich finde es nur fair, dass ich der Gemeinschaft etwas zurückgebe, ohne etwas zu verlangen, nachdem ich all dieses Wissen aufgenommen habe.

Was halten Sie für den größten Vorteil des SOC Prime Threat Bounty Programms?

Es ist eine wirklich gute Plattform (vielleicht die einzige?), die Blue-Teamer/Threat-Hunter weltweit hilft, an einem einzigen Glasfeld zusammenzukommen und Bedrohungserkennungsregeln zu identifizieren und zu nutzen, die sie benötigen. Darüber hinaus ist es möglicherweise das weltweit größte Repository für Erkennungsregeln, das alle SIEM/Log-Sammler da draußen bedient. Ein SOC, das gerade erst anfängt, kann diese Regeln nutzen und einen sofortigen Vorsprung bei der Regelreife erzielen. Die MITRE ATT&CK-Zuordnung ermöglicht es Teams auch, Erkennungsregeln, die für ihre Branche passend sind, einzubinden und um Erkennungsregeln für unzureichende Taktiken zu erweitern. SOC Prime und freiberufliche Entwickler fügen täglich Regeln basierend auf neuen Sicherheitsfunden hinzu.

Weiterhin ermöglicht es der TDM-Markt Organisationen, speziell auf ihre Bedürfnisse zugeschnittene Erkennungsregeln anzufordern (APT-spezifische Regeln, die möglicherweise nicht verfügbar sind). Dies bietet nicht nur einen Vorteil für die Organisation, sondern auch Anreize für Entwickler, die Regeln erstellen. Sehen Sie es als ein „Bug-Bounty“-Programm für Erkennungsregeln, das, soweit ich weiß, nicht viele andere Plattformen bieten!

Sehen Sie sich unseren neuesten Rule Digest an und werfen Sie einen Blick auf den von Sreeman entwickelten Inhalt: https://socprime.com/en/blog/rule-digest-trojans-cyberspies-and-raticate-group/

Lesen Sie Interviews mit anderen Entwicklern: https://socprime.com/en/tag/interview/