Interview mit Threat-Bounty-Entwickler – Mehmet Kadir CIRIK

Während wir weiterhin über unsere engagierten Mitglieder von SOC Prime’s Threat Bounty Gemeinschaft Geschichten erzählen über ihr berufliches Wachstum und die Erweiterung ihres Fachwissens zur Entwicklung von Regeln, die zur globalen Cyberverteidigung beitragen, stellen wir heute vor Mehmet Kadir CIRIK, der dem Programm im Januar 2023 beigetreten ist und seitdem aktiv seine Erkennungen beiträgt.

Mehmet Kadir CIRIK

Erzählen Sie uns ein wenig über sich und Ihre Erfahrung in der Cybersicherheit.

Hallo! Ich bin Mehmet Kadir CIRIK, 22 Jahre alt. Ich wurde 2001 in Mersin, Türkei, geboren und bin dort aufgewachsen. Derzeit bin ich ein Student im letzten Jahr des Studiengangs Forensische Informatik und angewandte Informatik an der Firat Universität. In meinem zweiten Studienjahr habe ich etwa acht Monate im Rahmen von Erasmus im Fachbereich Informatik in Nordmazedonien studiert. Seit meinem zweiten Studienjahr arbeite ich hauptberuflich im Bereich der Cybersicherheit. Derzeit arbeite ich als Blue Team Ingenieur und Bedrohungsforscher in einem Istanbuler Unternehmen. Zu meinen Hauptaufgaben gehören die proaktive Untersuchung von bösartiger Aktivität in Cyber-Bedrohungsmeldungen, gründliche Forschung zur Entwicklung verhaltensbasierter Erkennungen, die auf aufkommende Cyberbedrohungen und Angriffstechniken abzielen, und das effektive Management von kritischen Sicherheitsvorfällen. Ich habe meine Karriere in der Cyber Threat Intelligence begonnen. Dann habe ich als MDR-Analyst gearbeitet und meine forensischen Fähigkeiten entwickelt.

Wie haben Sie von SOC Prime erfahren? Warum haben Sie sich entschieden, dem Threat Bounty Programm beizutreten?

Ich habe SOC Prime zunächst durch Beiträge auf LinkedInentdeckt. Ich war zuvor interessiert daran, Sigma-Regeln zu schreiben, hatte aber bis dahin noch keine einzige Sigma-Regel selbst geschrieben. In dem Unternehmen, für das ich derzeit arbeite, erhielt ich Unterstützung und Anleitung von meinen älteren Kollegen zum Schreiben von Sigma-Regeln und zur Einreichung für die Veröffentlichung auf der SOC Prime-Plattform. Durch das Schreiben von Sigma-Regeln kann ich meine Fähigkeiten verbessern und in sehr kurzer Zeit Wissen über viele Schwachstellen und Angriffstechniken erlangen. Besonders interessieren mich die Aktivitäten von APT-Kollektiven, und ich frage mich, was in den Köpfen eines APT-Gruppenmitglieds vorgehen könnte. Deshalb bin ich als Mitglied von SOC Prime’s Threat Bounty beigetreten und achte darauf, meine Regeln regelmäßig zu schreiben.

Welche Fähigkeiten sind Ihrer Meinung nach notwendig, um Sigma-Regeln zu entwickeln, die größere Chancen haben, auf der SOC Prime-Plattform veröffentlicht zu werden?

Um die Chancen zu erhöhen, auf der SOC Prime-Plattform veröffentlicht zu werden, achte ich darauf, Regeln zu schreiben, wobei ich besonders auf den Inhalt der Regel achte, damit keine falsche oder irreführende Wahrnehmung über die Erkennung entsteht. Außerdem stelle ich sicher, dass meine Regeln so aufgebaut sind, dass sie bösartige Aktivitäten langfristig erkennen können. Indem ich direkt auf das TTP-Verhalten einer beliebigen APT-Gruppe oder Malware abziele, schreibe ich meine Regeln gemäß diesen TTPs. So stelle ich sicher, dass die von mir geschriebenen Regeln die Angriffe ständig erfassen, selbst wenn die Angreifer das Verhalten (Dateinamen, Dateihashes und Domainnamen) ändern.

Heutzutage stehen Organisationen vor der Herausforderung, den Angriffen des globalen Cyberkriegs zu widerstehen. Welche Maßnahmen halten Sie für am effizientesten zum Schutz der Infrastrukturen?

Organisationen können ihre Infrastruktur mithilfe von Erkennungsalgorithmen innerhalb der SOC Prime-Plattform schützen, insbesondere die von Threat Bounty-Mitgliedern entwickelten und geteilten Sigma-Regeln. Solche Regeln dienen als gültiger Erkennungsmechanismus für neu veröffentlichte Schwachstellen, APT-Gruppenaktivitäten und Malware. Deshalb erweist sich Sigma als wertvolle Ressource, die leistungsfähige Erkennungsmöglichkeiten gegen moderne Malware-Bedrohungen, die neuesten CVEs und zielgerichtete APT-Aktivitäten bietet.

Welche Arten von Bedrohungen sind am kompliziertesten zu erkennen? Vielleicht können Sie ein Beispiel aus dem wirklichen Leben geben?

Fortgeschrittene Cyberangriffe oder gezielte Angriffe gelten allgemein als die komplexesten Arten von Bedrohungen, die zu erkennen sind. Diese sind Angriffe, die ausgeklügelte Techniken, Datenschutzmaßnahmen und fortgeschrittene Fähigkeiten erfordern. Solche Angriffe werden in der Regel von staatlich geförderten Kollektiven, fortgeschrittenen persistenten Bedrohungen (APTs) oder erfahrenen Angreifern durchgeführt.

Zum Beispiel war der als „Stuxnet“ bekannte Cyberangriff ein fortgeschrittener Wurmvirus, der sehr komplex zu liefern und zu verbreiten war. Dieser Angriff wurde 2010 gegen das iranische Nuklearprogramm durchgeführt und infizierte dessen Ziele, indem er die Kontrollsysteme der Kernreaktoren störte. Obwohl die Identitäten der Täter unbekannt sind, wird der Angriff für hochkomplex gehalten und möglicherweise als staatlich geförderte Operation angesehen.

Ich schlage vor, dass Unternehmen auf die kürzlich veröffentlichten Regeln in der SOC Prime-Plattform achten, da Cyberangriffe zunehmend ausgeklügelter werden und immer mehr Unternehmen, Institutionen und Einzelpersonen davon betroffen sind.

Was denken Sie, was sollte für Organisationen, die eine starke Cyberverteidigung aufbauen wollen, die Priorität Nr. 1 sein?

Als erfahrener Bedrohungsjäger kann ich sagen, dass die Priorität Nr. 1 für Organisationen die kontinuierliche Überwachung und Sammlung von Bedrohungsinformationen sein sollte. Gute Bedrohungsinformationen sind entscheidend, um Angriffe zu erkennen und die Abwehr zu stärken. In einer Umgebung, in der sich Bedrohungen ständig ändern und entwickeln, ist es von entscheidender Bedeutung, eine Verteidigungsstrategie auf der Grundlage aktueller Bedrohungsinformationen zu etablieren. Insbesondere die folgenden Themen sind Bereiche, in denen Bedrohungsjäger wertvolle Einblicke bieten können:

• Neue Angriffsmethoden und -techniken: Die Erkennung neuer Angriffstechniken und -methoden, die ständig aufkommen, ist entscheidend, um die Verteidigungsmaßnahmen auf dem neuesten Stand zu halten.
• Schwachstellenerkennung: Die Erkennung und Meldung von Schwachstellen in Systemen leistet einen großen Beitrag zur Verteidigung gegen Angriffe. Insbesondere Entdeckungen, die mit Techniken wie Penetrationstests und Schwachstellenanalysen gemacht werden, spielen eine wichtige Rolle in der Cyberverteidigung.
• Malware und bösartige Aktivitäten: Die Erkennung, Analyse und Prävention von Malware ist entscheidend für die Aufrechterhaltung der Sicherheit einer Organisation. Erkennungen in diesem Bereich tragen zur geteilten Bedrohungsintelligenz bei.

Was denken Sie, ist der größte Vorteil des Threat Bounty Programms von SOC Prime?

Meiner Meinung nach sind die größten Vorteile des Threat Bounty Programms von SOC Prime:

• Gemeinschaftsengagement: Das Threat Bounty Programm fördert eine globale Gemeinschaft von Bedrohungsjägern, ermutigt Cybersicherheitsexperten zum Netzwerken und Wissensaustausch. Dies gewährleistet eine effektive Bedrohungserkennung und -abwehr durch die Nutzung unterschiedlicher Erfahrungen und Perspektiven.
• Belohnungen und Motivation: Das Programm bietet den Teilnehmern finanzielle Belohnungen für ihre Beiträge. Dies motiviert Bedrohungsjäger und fördert ein größeres Engagement. Außerdem erhalten die Teilnehmer die Möglichkeit, ihre Fähigkeiten zu präsentieren und in der Branche anerkannt zu werden.
• Entwicklung von Bedrohungsinformationen: Das Programm ermöglicht es den Teilnehmern, sich auf Bedrohungsinformationen zu spezialisieren. Veröffentlichten Erkennungen tragen zur geteilten Bedrohungsintelligenz bei und können für eine stärkere Cyberverteidigung genutzt werden.

Aus meiner Erfahrung glaube ich, dass Einzelpersonen, die am Threat Bounty Programm teilnehmen und mit ihren Erkennungen Geld verdienen wollen, über folgende Mindestkompetenzen in der Cybersicherheit verfügen sollten:

• Netzwerksicherheit: Es ist wichtig, über Kenntnisse und Erfahrungen in grundlegenden Netzwerksicherheitsfragen zu verfügen. Es ist notwendig, eine gute Reihe von Fähigkeiten zu haben, wie die Analyse des Netzwerkverkehrs, Firewall-Regeln und die Erkennung von Netzwerkschwächen.
• Malware-Analyse: Fähigkeiten zur Malware-Analyse sind unerlässlich, um bösartige Dateien zu erkennen und zu analysieren und bösartige Aktivitäten zu verstehen. Es ist wichtig, ein gutes Verständnis und technische Fähigkeiten zu haben.
• Penetrationstests: Fähigkeiten in Penetrationstests sind unerlässlich, um Schwachstellen und Exploits in Systemen zu erkennen. Die Fähigkeit, Systeme aus der Sicht eines Angreifers zu sehen und Schwachstellen zu erkennen, ist entscheidend.

Interessiert daran, dem Threat Bounty Programmbeizutreten? Zögern Sie nicht, sich für die Teilnahme zu bewerben und der Crowdsourcing-Initiative beizutreten, die Sie ermutigt, sich beruflich weiterzuentwickeln und gleichzeitig Ihre Erkennungen zu monetarisieren.