Interview mit Entwickler: Thomas Patzke

Wir führen weiterhin Interviews mit den Entwicklern unseres Threat Bounty Programms (https://my.socprime.com/en/tdm-developers), um Cybersicherheitsprofis zu ermutigen, mehr Sigma-Regeln zu entwickeln, ihre Bedrohungserkennungsinhalte zu teilen und eine stärkere Gemeinschaft aufzubauen. Das vorherige Interview finden Sie hier https://socprime.com/blog/interview-with-developer-florian-roth/

Treffen Sie Thomas Patzke

Thomas ist einer der inspirierendsten Experten in der Cybersicherheitsgemeinschaft mit über 13 Jahren Erfahrung im Bereich Informationssicherheit, arbeitet als Blue Teamer und Bedrohungsjäger bei ThyssenKrupp CERT und ist zusammen mit Florian Roth Schöpfer von Sigma. Thomas Patzke ist nicht nur ein Mitwirkender des Sigma-Projekts, sondern auch ein erfahrener Entwickler, der den Code für Sigmac schreibt und Cybersicherheitstools mit der Gemeinschaft teilt (https://gist.github.com/thomaspatzke).

Erzählen Sie uns ein wenig über sich und Ihre Erfahrungen im Threat Hunting.

Ich begann 2006 mit der Arbeit in der Informationssicherheit als Berater mit einer breiten Palette von Projekten. Schnell wechselte ich zur offensiven Sicherheit, konkret zur Anwendungssicherheit, und gelegentlich führte ich Log- und Forensikanalysen in Incident Response-Projekten durch. Selbst als diese IR-Jobs recht klein waren, waren die Aufgaben sehr interessant und mein Interesse an defensiven Themen wuchs im Laufe der Zeit und bekam 2015 einen Schub, als ich begann, in einem CERT zu arbeiten und kontinuierlich mit interessanten Vorfällen und Bedrohungsakteuren in Kontakt kam. Die Faszination, in großen Datenmengen nach einem Angreifer zu suchen, hat mich von Anfang an begeistert, und schließlich wechselte ich vollständig von der offensiven Sicherheit zum Threat Hunting und zur Incident Response.

Sie sind einer der Erfinder von Sigma. Wie lange hat es gedauert, die Idee von Sigma in ein fertiges Konzept zu verwandeln? Thomas, warum wurde der Name „Sigma“ gewählt? Haben Sie damals erwartet, dass Sigma von Tausenden von Cybersicherheitsexperten aus aller Welt verwendet wird?

Der Aufbau von Sigma war ein fließender und sehr agiler Prozess. Als Florian mich das erste Mal mit der Idee eines Signaturformats für Log-Ereignisse kontaktierte, waren seine Ideen bereits sehr konkret. Wir verfeinerten diese Idee gemeinsam, indem wir Sprachnachrichten hin und her schickten, und am nächsten Tag schrieb Florian bereits die ersten Sigma-Regeln (https://github.com/Neo23x0/sigma/commit/87deb349adb22331aae1b923420d382fea278d2c), die sich nicht sehr von den heutigen Sigma-Regeln unterscheiden. Der Name „Sigma“ war Florians Idee, und wie ich Florian kenne, gibt es sicher eine Geschichte dahinter, aber Sie müssen ihn fragen, um sie zu erfahren 😉 Mir gefiel der Name und so entschieden wir uns dafür.

In der darauffolgenden Zeit verfeinerten wir Sigma weiter und entdeckten viele Herausforderungen beim Teilen von Log-Signaturen, wie zum Beispiel unterschiedliche Feldnamenkonventionen, und lösten diese in der Signatursprache und den Konvertierungstools. Nach zwei bis drei Monaten hatten wir etwas, das wir als veröffentlichungsreif betrachteten, aber selbst nach der ersten Veröffentlichung wurden und werden weiterhin neue Konzepte hinzugefügt.

Ich erwartete, dass Sigma für einige Leute nützlich sein würde, weil es auf dem Schmerz aufgebaut war, den Florian und ich beim Umgang mit Vorfällen erlebt haben, und wir wussten, dass andere in diesem Bereich denselben Schmerz empfanden. Das positive Feedback von so vielen Menschen und die Aufnahme durch Incident-Response-Teams aus verschiedenen Organisationen übertraf meine Erwartungen bei weitem.

Thomas, was sind die Hauptvorteile von Sigma als Threat-Hunting-Tool?

Der Hauptvorteil von Sigma liegt in der Verteilung eines Ergebnisses des Threat Huntings, Log-Signaturen für spezifische Ereignisse. Wenn es möglich ist, es als Sigma-Regel auszudrücken, können Sie es leicht in einer Organisation mit einer heterogenen Erkennungsinfrastruktur verteilen. In großen Organisationen ist es üblich, verschiedene SIEM-Systeme zu haben, entweder aufgrund einer historisch gewachsenen IT-Infrastruktur oder weil unterschiedliche Lösungen für verschiedene Zwecke genutzt werden. Mit Sigma müssen Sie die Regel nur einmal schreiben und können sie in eine Splunk- und ArcSight-Abfrage für die SIEMs, eine Elasticsearch-Abfrage für den Data Lake, einen Grep- oder PowerShell-Befehl für die Triagierung eines verdächtigen Systems und für die Freigabe in der Community umwandeln.

Was denken Sie, ist der komplizierteste und zeitaufwändigste Teil beim Schreiben neuer Sigma-Regeln und wie viel Zeit benötigen Sie im Durchschnitt, um eine neue Sigma-Regel zu schreiben?

Für mich dauert es nur wenige Minuten, eine Sigma-Regel zu schreiben, was nur ein kleiner Teil der Zeit ist, die ich normalerweise für die Forschung aufwende, die zur Log-Signatur führt. Florian und ich haben einigen Aufwand in die Gestaltung von Sigma gesteckt, um es benutzerfreundlich und einfach zu schreiben zu machen. Ich denke, ich bin zu voreingenommen, um komplizierte Teile von Sigma zu identifizieren. Hier sind wir auf das Feedback unserer Benutzer angewiesen, die nicht zögern sollten, uns über das GitHub-Problem oder direkt zu kontaktieren, wenn es etwas gibt, das verbessert werden könnte.

Sigma wird weltweit immer beliebter. Wie beeinflusst Ihrer Meinung nach die Sigma-Regel die Branche und wie sehen Sie die Zukunft von Sigma? Haben Sie spezifische Gedanken zu seiner weiteren Entwicklung?

Ich weiß von einigen Sigma-Nutzern, dass sie Sigma als Anforderung in Ausschreibungen für Sicherheitsprodukte festlegen, weil sie daran glauben, und wir hatten bereits Kontakt zu verschiedenen Sicherheitsanbietern, die Sigma-Unterstützung in ihre Produkte integrieren möchten. Es wäre großartig, native Sigma-Unterstützung in Sicherheitsprodukten zu sehen, so wie YARA und Snort bereits in viele Produkte integriert sind. Ich habe große Teile des Sigma-Converters entwickelt, aber ich bin vollkommen in Ordnung damit, wenn dieser durch native Sigma-Unterstützung obsolet wird!

Bei SOC Prime haben wir das Threat Bounty Program gestartet, das den Inhaltstausch zwischen Cybersicherheitsexperten fördert. Thomas, gefällt Ihnen die Idee, Entwickler für das Teilen von Sigma-Regeln und anderen Bedrohungserkennungsinhalten zu belohnen?

Ja! Als offensiver Sicherheitsforscher können Sie über Jahre hinweg entscheiden, ob Sie für Ihre Forschung bezahlt werden oder sie offen veröffentlichen und Ihren Ruf erhöhen möchten. Threat Bounty erweitert dies auf die defensive Forschung und ist ein guter Schritt, um das Ungleichgewicht der Belohnung zwischen beiden Bereichen zu beheben. Ich bin ein großer Freund davon, Forschungsergebnisse frei zu veröffentlichen, und glaube, dass dies auch in Zukunft so bleiben wird. Bedrohungsprämien könnten sogar mehr Menschen motivieren, etwas Zeit in die defensive Sicherheitsforschung zu investieren und die Gesamtsituation zu verbessern.

Was würden Sie Cybersicherheitsspezialisten empfehlen, die gerade lernen, wie man Sigma-Regeln schreibt? Haben Sie Tipps, um das Schreiben von Sigma zu meistern?

Der Inhalt zählt! Ich denke, das Schreiben von Sigma-Regeln ist relativ einfach und die Lernkurve ist recht steil. Ein Editor mit YAML-Unterstützung ist ausreichend, und es gibt webbasierte Tools wie die SOC Prime Sigma UI, die den Analysten beim Schreiben von Sigma-Regeln unterstützen. Mein Rat zum Lernen von Sigma ist daher sehr einfach: Machen Sie weiter, führen Sie einige coole Forschungen durch oder nehmen Sie vorhandene Forschungen (vergessen Sie nicht die Credits!) und machen Sie daraus eine Sigma-Regel. Nach einer Weile werden Sie automatisch flüssig mit Sigma.