Interview mit dem Threat-Bounty-Entwickler: Michel de Crevoisier
Verfolgen Sie den neuesten Nachrichtenbeitrag über die SOC Prime Developers-Community! Heute möchten wir Michel de Crevoisier vorstellen, einen produktiven Entwickler, der seit November 2020 zu unserem Threat Bounty Programm beiträgt. Michel ist ein aktiver Inhaltsersteller, der seine Bemühungen auf Sigma-Regeln konzentriert. Sie können sich auf Michels Erkennungen von höchster Qualität und Wert im Threat Detection Marketplace verlassen.
1. Erzählen Sie uns ein wenig über sich und Ihre Erfahrung in der Cybersicherheit
Ich begann meine Sicherheitskarriere als SOC-Analyst im Jahr 2017 nach verschiedenen Erfahrungen in der Systemadministration, im Netzwerk und in der Virtualisierung. In meinem Kopf war es immer klar, dass meine Karriere rund um Sicherheit aufgebaut sein sollte. Tatsächlich war ich in zu viele Projekte involviert, bei denen Sicherheit keine Priorität war, was Organisationen unnötigen Risiken aussetzte. Ich nahm dies als persönliche Herausforderung an, indem ich einen Blog startete und an verschiedenen Sicherheitsveranstaltungen teilnahm, auch als Sprecher. Kürzlich habe ich an einem SANS-Sicherheitskurs über Bedrohungserkennung teilgenommen, um eine GIAC-Zertifizierung zu erhalten und neben anderen Dingen mein Wissen und meine Fähigkeiten zu erweitern.
2. Warum haben Sie sich entschieden, sich auf Sigma-Regeln als eines der wichtigsten Tools für die Bedrohungssuche zu konzentrieren?
Aus der Perspektive der Bedrohungssuche bietet SIGMA fortschrittliche Kapazitäten, um einfache oder komplexe IOC-Logik in einem gemeinsamen Format zu teilen, das von jedem Analysten, unabhängig von der verwendeten SIEM-Technologie, verstanden und genutzt werden kann. Mit der Veröffentlichung dieses offenen Formats und dem Aufkommen der „Githubification von InfoSec“ (Quelle), war SIGMA definitiv das Werkzeug, das ich brauchte.
3. Wie lange hat es gedauert, bis Sie das Schreiben von Sigma-Regeln beherrschten? Welcher technische Hintergrund ist erforderlich, um es zu beherrschen? Und wie viel Zeit benötigen Sie durchschnittlich, um eine neue IOC-Sigma-Regel und eine Threat-Hunting-Regel zu schreiben?
Die Beherrschung von SIGMA-Regeln dauerte bei mir nur wenige Wochen und das Schreiben einer Regel dauert normalerweise etwa eine Stunde, da ich immer versuche, die Bedrohung in meinem Labor zu bewerten, um die Qualität der Regel sicherzustellen. Ich versuche auch, ein reales Logbeispiel anzuhängen, damit der Analyst den Kontext leicht einschätzen kann.
Das Verständnis der Grundlagen der Sprache ist jedoch meiner Meinung nach nicht ausreichend. Tatsächlich erfordert das Schreiben guter Regeln auch ein angemessenes Verständnis der Bedrohung, ihrer Verhaltensweisen und der verschiedenen IOCs, die sie auslösen kann. Kenntnisse über Sicherheitsrahmen wie Metasploit oder Cobalt Strike sind ebenfalls sehr hilfreich, ebenso wie offensive Fähigkeiten.
4. Was sind Ihre Interessengebiete in der Cybersicherheit? Welche Arten von Bedrohungen sind am schwersten zu erkennen und zu bekämpfen?
Lieferkettenangriffe wie CCleaner, SolarWinds, or Codecov sind eine der schwersten zu erkennenden Bedrohungen: Die Bedrohung ist in legitime Software eingebettet, die als vertrauenswürdig gilt und von vielen Unternehmen genutzt wird. Das Eindringen dauert Monate und verläuft sehr unauffällig. Darüber hinaus sind Cloud-Einbrüche, kombiniert mit einer seitlichen Bewegung in die lokale Umgebung (oder umgekehrt), ebenfalls schwer zu bekämpfen, da die Erkennungsabdeckungsmaturität nicht immer auf beiden Seiten gleich ist oder von verschiedenen Parteien mit unterschiedlichen Denkweisen gehandhabt wird. Natürlich bleiben die gängigen Einbruchsvektoren gültig und wir sollten Phishing, Webserver-Ausnutzungen und PowerShell, DCOM or Windows Management Instrumentation (WMI)-Missbrauch nicht vergessen.
5. Viele Bedrohungsakteurgruppen existieren jetzt und ihre Anzahl wächst, welche Bedrohungsakteure Ihrer Meinung nach die größte Bedrohung darstellen? Wie würden Sie messen, ob eine Bedrohungsakteurgruppe mehr oder weniger gefährlich ist?
Akteure wie die hinter dem SolarWinds Lieferkettenangriff haben gezeigt, wie mächtig sie sein können. Die Analyse ihrer Vorbereitungs- und Infiltrationsfähigkeiten in Drittanbieter, bevor sie ihr endgültiges Ziel angreifen, ist wirklich beängstigend. Sie sind facettenreich, zielen auf Cloud- und lokale Infrastruktur ab, in der Lage, Build- und Codesign-Infrastruktur zu kompromittieren… Und all das, während sie nahezu unsichtbar unter dem Radar bleiben.
6. Wie haben Sie vom SOC Prime Threat Bounty Program erfahren? Warum haben Sie sich entschieden, beizutreten? Was ist für Sie der größte Wert aus der Teilnahme am Threat Bounty Program?
Der Beitritt zum Threat Bounty Programm war vor allem eine Gelegenheit, mein Wissen zu erweitern, indem es mich aus meiner Komfortzone drängte, um neue Bedrohungen und TTPs zu erkunden. Im Laufe der Zeit realisierte ich, dass ich breiter dazu beitrug, SOC-Organisationen zu stärken und Teil einer talentierten Entwickler-Community zu werden.
Möchten Sie Ihre Bedrohungserkennungsfähigkeiten monetarisieren und Ihre Erfahrung in der Cyberverteidigung ausbauen? SOC Prime sucht nach erfahrenen Mitgliedern des Blue Teams, die die neuesten Cybersicherheitstrends im Blick behalten! Unser Threat Bounty Programm zahlt wiederkehrende Belohnungen für SOC-Inhalte, die auf Bedrohungserkennung, Bedrohungssuche und Vorfallreaktion abzielen – wie SIGMA, Yara, Snort, Log Parser und nativer SIEM-Inhalt. Reichen Sie Erkennungen ein, um Anfragen von der Wanted List zu adressieren und verdoppeln Sie Ihre Gewinne, während Sie der Threat Detection Marketplace-Community helfen, aufkommenden Cyberbedrohungen standzuhalten.
Suchen Sie nach einer Möglichkeit, Ihr Cybersicherheitswissen zu bereichern? Erkunden Sie die Cyber-Bibliothek von SOC Prime, um Ihre harten SIEM-Fähigkeiten zu meistern, schauen Sie sich tiefgreifende Bildungsvideos an und halten Sie sich mit Anleitungen zur Bedrohungssuche auf dem Laufenden.
