Interview mit Bedrohungsprämien-Entwickler – Mustafa Gürkan Karakaya

[post-views]
Mai 30, 2023 · 5 min zu lesen
Interview mit Bedrohungsprämien-Entwickler – Mustafa Gürkan Karakaya

Heute möchten wir der SOC Prime-Community eines der aktivsten Mitglieder des Threat Bounty Programms und den Autor von validierten Erkennungen vorstellen, die auf der SOC Prime-Plattform verfügbar sind. Lernen Sie Mustafa Gürkan Karakayakennen, der seit seinem Beitritt zum Programm im Dezember 2022 sein fachliches Wissen über Cybersicherheit und sein Entwicklungspotenzial unter Beweis stellt.

Regeln von Mustafa Gurkan KARAKAYA

Erzähl uns ein bisschen über dich und deine Erfahrung in der Cybersicherheit.

Mein Name ist Mustafa Gürkan KARAKAYA. Ich bin 25 Jahre alt und lebe in Ankara, Türkei. Ich habe 2020 meinen Abschluss im Fachbereich Computertechnik an der Ankara Yıldırım Beyazıt Universität gemacht. Meine Reise im Bereich der Cybersicherheit begann mit dem Fokus auf Penetrationstests. Später erweiterte ich mein Interesse um verschiedene Aktivitäten im Zusammenhang mit dem Purple Team, insbesondere in den Bereichen SIEM (Security Information and Event Management), SOAR (Security Orchestration, Automation, and Response), Malware-Analyse, DFIR (Digital Forensics and Incident Response) Analyse und forensische Untersuchungen. In meinem ersten Job war ich hauptsächlich mit technischen Support- und Beratungsaktivitäten für militärische Institutionen beschäftigt, indem ich Unterstützung und Beratung in verschiedenen technischen Aspekten bot. In meinem zweiten Unternehmen setzte ich diese technischen Support- und Beratungsdienste fort, wobei der Schwerpunkt auf Implementierung und Wartung von SIEM lag. Derzeit arbeite ich als Cyber Security Engineer.

Wie hast du von SOC Prime erfahren? Warum hast du dich entschieden, dem Threat Bounty Programm beizutreten?

Ich habe SOC Prime auf LinkedInzum ersten Mal entdeckt, aber von der Möglichkeit, Regeln auf der Plattform zu schreiben, habe ich von meinem Teamleiter bei meiner derzeitigen Firma gehört. Ich habe an diesem Programm teilgenommen, weil ich es genieße, jeden Tag neue Angriffsmethoden zu erforschen.

Basierend auf Ihrer eigenen Erfahrung, welche Fähigkeiten sind erforderlich, um Regeln mit höheren Chancen auf Veröffentlichung zu erstellen? Was können Sie denen empfehlen, die gerade erst anfangen, Sigma-Regeln mit Threat Bounty zu schreiben?

Meiner Meinung nach ist das wichtigste Kriterium für die Veröffentlichung von Inhalten, dass die Regel spezifisch und in der Lage ist, genaue Bestimmungen zu treffen, was die False-Positive-Rate senken wird. Mein Rat an Content-Autoren, die gerade erst begonnen haben Sigma-Regeln zu schreiben , besteht darin, die Aktivitäten von Gegnern in einem Angriffsszenario gemäß dem MITRE ATT&CK-Rahmenwerk zu analysieren und zu versuchen, die Absichten der Angreifer zu verstehen. Darüber hinaus wird es hochgradig nützlich sein, bestehende Regeln zu untersuchen und zu verstehen, welche Spuren der Angriff in welchen Protokollquellen hinterlassen würde, um geeignete Regeln zu entwickeln.

Basierend auf den Erkennungen, die Sie erforschen und erstellen, was sind die kritischsten Bedrohungen für moderne Organisationen? Welche Maßnahmen halten Sie für am effektivsten zum Schutz von Infrastrukturen?

Ich denke, die größte Bedrohung ist der menschliche Faktor. Egal wie fortgeschrittene oder ausgeklügelte Sicherheitsmaßnahmen und Technologien auch sein mögen, menschliche Handlungen und Verhaltensweisen können die Sicherheit gefährden. Menschliche Fehler, Nachlässigkeit, fehlendes Bewusstsein und böswillige Absichten können erhebliche Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen darstellen. Es ist entscheidend, der Benutzerschulung, dem Bewusstseinstraining und der Etablierung einer starken Sicherheitskultur Vorrang zu geben, um diese menschlichen Risiken zu mindern. Daher glaube ich, dass sich die primären Bedrohungserkennungsmethoden an den Endpunkten befinden. Organisationen müssen Endpunktprotokolle für Bedrohungserkennungsmethoden und detaillierte Analysen sammeln. Regeln sind wie Lichter, die auf verborgene Bedrohungen scheinen. Und je mehr wir die Lichtmenge erhöhen, desto mehr wird die Sichtbarkeit der Bedrohungen zunehmen.

Welche Arten von Bedrohungen sind am schwierigsten zu erkennen? Vielleicht können Sie ein Beispiel aus dem wirklichen Leben geben?

Ich glaube, dass das Erkennen von Angriffen, die innerhalb der Wege scheinbar legitimer Anwendungen stattfinden, für Organisationen am herausforderndsten ist. Wenn ich ein Beispiel aus meiner eigenen Regel geben soll, nehmen wir Suspicious QakBot Malware Behavior With Associated Commandline by Spreading Malicious OneNote Document (via process_creation). Indieser Regel verbreiten Angreifer die Qakbot-Malware auf dem Rechner des Opfers mithilfe eines OneNote-Dokuments. Kein Sicherheitsprodukt, einschließlich AV und EDR, kann diesen Angriff erkennen, da alle beteiligten Prozesse Microsoft-signiert sind und legitim erscheinen. Wenn jedoch diese legitimen Prozesse zusammen verwendet werden, wird das böswillige Verhalten ausgelöst. Es verbindet sich mit einem C2-Server, lädt andere bösartige Nutzlasten herunter und verbreitet die Qakbot-Malware auf dem Rechner des Opfers.

Als erfahrener Sicherheitsspezialist, was denken Sie, sollte die Priorität #1 für Organisationen sein, die eine robuste Cyber-Verteidigung aufbauen wollen?

Für Organisationen, die eine robuste Verteidigung aufbauen möchten, ist es die wichtigste Priorität, das Bewusstsein der Mitarbeiter für Cybersicherheit zu erhöhen, damit sie vermeiden, unsichere E-Mails zu öffnen. Darüber hinaus empfehle ich den Cybersicherheitsteams, anomale Benutzeraktivitäten zu überwachen, ungewöhnliche Netzwerkaktivitäten zu filtern, Client-Logs in der gesamten Organisation zu sammeln (was viele Organisationen vernachlässigen) und entsprechende Regeln in Sicherheitsprodukten zu definieren.

Was sind die Hauptvorteile, Mitglied im Threat Bounty Programm von SOC Prime zu sein?

Ich glaube, der wichtigste Vorteil ist, dass es mir ermöglicht, jeden Tag über neu aufkommende Schwachstellen und Malware informiert zu bleiben, sowie mich über die neuesten von Angreifern verwendeten Techniken auf dem Laufenden zu halten. Ich empfehle, dass Neugierige, Fleißige und Lernbegeisterte teilnehmen sollten. Threat Bounty Programms.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko