Interview mit Threat-Bounty-Entwickler – Aung Kyaw Min Naing

[post-views]
Juni 07, 2023 · 5 min zu lesen
Interview mit Threat-Bounty-Entwickler – Aung Kyaw Min Naing

Es ist bereits eine gute Tradition bei SOC Prime geworden, wenn Threat Bounty Mitglieder Geschichten teilen über ihre beruflichen Wege und ihre Erfahrungen und Erfolge mit Threat Bounty. Heute sind wir hier mit Aung Kyaw Min Naing, der sich dem Programm im Juni 2022 angeschlossen hat und sich bereits als aktiver Beitragender zur kollektiven Cyberabwehr bewiesen hat.

Regeln von Aung Kyaw Min Naing

Bitte erzählen Sie uns ein wenig über sich und Ihre Erfahrungen in der Cybersicherheit.

Hallo zusammen! Ich bin Aung Kyaw Min Naing, und ich komme aus der Stadt Mandalay in Myanmar. Seit meinem Abschluss in Elektronikingenieurwesen im Jahr 2017 hat mich mein Interesse an Cybersicherheit dazu angetrieben, eine Karriere in diesem Bereich zu verfolgen. Derzeit arbeite ich als Cyber Security Analyst (Threat Hunting) in einem in Thailand ansässigen Unternehmen für Managed Security Services. Meine Hauptverantwortlichkeiten umfassen die proaktive Suche nach bösartigen Aktivitäten in Cyber-Bedrohungsnachrichten, die Durchführung umfangreicher Recherchen zur Verbesserung verhaltensbasierter Erkennungen zur Bekämpfung aufkommender Cyberbedrohungen und Angriffstechniken sowie das effektive Management kritischer Sicherheitsvorfälle. In den frühen Tagen meiner Karriere sammelte ich praktische Erfahrungen als Netzwerkingenieur in einem Internetdienstanbieter, während ich gleichzeitig in das Bereich der Cybersicherheit eintauchte. Um meine Leidenschaft weiter zu vertiefen, begann ich meine berufliche Laufbahn in der Cybersicherheit als Security Operation Center Engineer, spezialisiert auf DDoS-Prävention in einem lokalen IT-Lösungs- und Sicherheitsunternehmen. Zusätzlich hatte ich die Gelegenheit, mit der größten lokalen Privatbank und der Beverage Public Corporate in Myanmar als Cybersicherheitsexperte zu arbeiten, wo ich in der Rolle dieser Stelle für die Implementierung von PCS-DSS-Projekten und CIS-Sicherheitskontrollen aus technischer Sicht verantwortlich war. Dies umfasste die Durchführung von VA-Scans, die Teilnahme an täglichen Sicherheitsüberwachungsoperationen zur Erkennung und Abwehr von Cyberangriffen sowie die Zusammenarbeit mit Systemingenieuren und Entwicklern aus internen Teams und externen Drittorganisationen. Auch während meiner Tätigkeit in dieser Position habe ich mehrere internationale Cybersicherheitszertifizierungen von verschiedenen Plattformen erworben, wie z.B. eLearnsecurity Penetration Tester, CompTIA Cybersecurity Analyst (CySA+), Microsoft Security Operation Analyst, etc.

Wie haben Sie von SOC Prime erfahren? Warum haben Sie sich entschieden, dem Threat Bounty Program beizutreten?

Nachdem ich SOC Prime auf LinkedInentdeckt hatte, empfahlen mir meine ehemaligen Teammitglieder, dem Threat Bounty Program als Entwickler beizutreten, um Regeln zu schreiben und zur Erkennung von Cyberangriffen beizutragen, was perfekt zu meiner Leidenschaft passt, täglich neue Angriffsmethoden zu erforschen und Organisationen dabei zu helfen, ihre Cybersicherheitsfähigkeiten zu verbessern. Ich bin fest davon überzeugt, dass die Teilnahme am Threat Bounty Program nicht nur meine Kenntnisse und Fähigkeiten verbessern wird, sondern auch einen sinnvollen Einfluss auf die Cybersicherheitsgemeinschaft haben wird. Und dann interessieren mich besonders die Aktivitäten der APT-Kollektive, und ich bin neugierig zu erfahren, was sich im Kopf eines APT-Gruppenmitglieds abspielen könnte. Daher habe ich beschlossen, mir die Fähigkeiten zum Schreiben von Sigma-Regeln anzueignen und diese zur Erkennung von Aktivitäten von Gegnern anzuwenden.

Heutzutage stehen Organisationen vor der Herausforderung, den Angriffen des globalen Cyberkriegs standzuhalten. Welche Maßnahmen halten Sie für die effizientesten zum Schutz von Infrastrukturen?

Durch den Einsatz der Sigma-Sprache und des gemeinschaftsorientierten Ansatzes hilft das Threat Bounty Program von SOC Prime Organisationen dabei, ihre Infrastruktur zu stärken, indem aufkommende Bedrohungen proaktiv erkannt werden und die Zusammenarbeit zwischen Cybersicherheitsprofis gefördert wird. Aus meiner Sicht herrscht im Bereich der Cybersicherheit vor, dass Prävention ideal ist, aber Erkennung muss sein. Daher erweist sich Sigma als wertvolle Ressource, die robuste Erkennungsmöglichkeiten gegen moderne Malware-Bedrohungen, die neuesten CVEs und gezielte APT-Aktivitäten ermöglicht.

Basierend auf Ihren Erfahrungen, welche Bedrohungen sind schwerer zu erkennen?

Meiner Meinung nach besteht der erste Schritt darin, herauszufinden, welche Arten von Protokollquellen und Datenquellen erforderlich sind, um die Beweise für einen bestimmten Erkennungspunkt zu erfassen. Der Missbrauch legitimer Anwendungen und Speicherinjektionsangriffe sind schwer zu erkennen. Die Vorteile von Sigma sind, dass es eine einzigartige, flexible, einfach zu schreibende und allgemeine Sprache für Erkennungsregeln gegen ausgeklügelte und komplexe aufkommende Cyberbedrohungen ist, die plattformübergreifende Sicherheitsoperationen ermöglicht. Der einschränkende Punkt ist, dass es nicht alle Anbieter unterstützt und einige der Regeln nicht für die bestehenden Sicherheitsanwendungsfälle korrekt funktionieren.

Welche Fähigkeiten halten Sie für notwendig, um Sigma-Regeln für die Bedrohungssuche zu entwickeln, die eine größere Chance haben, auf der SOC Prime-Plattform veröffentlicht zu werden?

Bei der Entwicklung von Sigma-Regeln besteht mein üblicher Ansatz darin, Vorlagen aus verschiedenen Quellen zu erstellen. Der Großteil meiner Sigma-Beiträge zu SOC Prime basiert auf diesen Vorlagen, mit einigen kleineren Anpassungen. Mein Verfahren zur Erstellung der Sigma-Regel ist in der folgenden Liste Schritt für Schritt beschrieben:

  • Bleiben Sie auf dem Laufenden und forschen Sie in Bedrohungsnachrichten und Berichten.
  • Verfolgen Sie Bedrohungsakteurengruppen und lernen Sie neue Angriffsmuster.
  • Verstehen Sie die Sigma-Sprache und -Syntax eingehend.
  • Haben Sie ein solides Verständnis von Cybersicherheitsangriffskonzepten, Protokolldiensten und Datenquellen.
  • Durchsuchen Sie den bestehenden Erkennungs-Stack in der SOC Prime-Plattform mithilfe der Lucene-Suche, bevor Sie die Regel schreiben.
  • Use Uncoder AI zur Validierung der Regel und zur Konvertierung in das erforderliche Sprachformat.

Welche Vorteile sehen Sie in der Teilnahme am Threat Bounty Program von SOC Prime? Können Sie anderen empfehlen, dem Programm beizutreten? Warum?

Das Threat Bounty Program von SOC Prime bietet sowohl Unternehmen als auch individuellen Entwicklern gleiche Vorteile. Die Teilnahme an diesem Programm ermöglicht es Organisationen, Bedrohungen, die gerade aufkommen, einen Schritt voraus zu sein, und bietet Entwicklern die Möglichkeit, beizutragen, ihre Fähigkeiten zu verbessern und für ihre wertvolle Arbeit belohnt zu werden.

 

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge