Interview mit Threat Bounty-Entwickler: Nattatorn Chuensangarun

[post-views]
Januar 26, 2022 · 6 min zu lesen
Interview mit Threat Bounty-Entwickler: Nattatorn Chuensangarun

Erhalte die neuesten Nachrichten über die SOC Prime-Community! Heute möchten wir Nattatorn Chuensangarun vorstellen, einen produktiven Autor von Erkennungsinhalten, der zu unserem Threat Bounty-Programm seit August 2021 beiträgt. Nattatorn ist ein aktiver Content-Entwickler, der sich auf Sigma Regeln konzentriert. Sie können sich auf Nattatorns Erkennungen von höchster Qualität und Wert im Threat Detection Marketplace-Repository der SOC Prime-Plattform beziehen:

Erkennungsinhalte ansehen

Erzählen Sie uns ein wenig über Ihre berufliche Laufbahn und Ihre Erfahrungen im Bereich der Cybersicherheit.

Hallo! Ich bin Nattatorn Chuensangarun aus Thailand. Da ich an Cybersicherheit interessiert bin, habe ich nach meinem Abschluss in Informatik im Jahr 2019 beschlossen, meinen ersten Job bei einer der größten Banken Thailands als Teil des Security Intelligence and Operations Center-Teams zu beginnen. Es war sehr neu für mich, da ich nur Erfahrung in der Datenanalyse hatte. Mit der großartigen Unterstützung meiner Teammitglieder begann ich jedoch, mich zum SOC-Analysten ausbilden zu lassen. Mir wurde die Aufgabe übertragen, den Bereich Threat Intelligence zu überwachen. Es war herausfordernd, da ich verschiedene Bedrohungen überwachen musste, die in den weit verbreiteten Nachrichtenfeeds zu Schwachstellen, Datenlecks oder aktuellen Angriffstrends auftauchten. Ich habe recherchiert und Regeln erstellt, um mehrere Bedrohungen auf der Threat Intelligence-Plattform zu erkennen, bis ich SOC Prime getroffen habe.

Was sind Ihre Interessensgebiete in der Cybersicherheit?

Ich bin tatsächlich offen für viele Themen in der Cybersicherheit. Dennoch interessiert mich wahrscheinlich am meisten das Schreiben von Playbooks zur Implementierung mit Security Orchestration, Automation and Response (SOAR). Dies kann auf Threat Hunting, automatisierte Incident-Response (IR) ausgeweitet werden und könnte helfen, eine große Anzahl von Basisangriffen zu bewältigen. Auf diese Weise kann das Überwachungsteam die Anstrengungen reduzieren und mehr Zeit auf die Erforschung von Abwehrmechanismen und neuen Angriffen verwenden. Ich interessiere mich auch für Cloud-Sicherheit, Bedrohungsakteure, neue Ransomware-Herausforderungen und die Nutzung von Big Data, um Angriffe und anormales Verhalten zu analysieren.

Wie haben Sie von dem Threat Bounty-Programm erfahren? Warum haben Sie sich entschieden, beizutreten?

Im letzten Jahr habe ich die SOC Prime-Plattform kennengelernt, um nach Bedrohungserkennungsregeln zu suchen, die ich auf das SIEM-System angewendet habe, um Schwachstellen aufzuspüren. Das war das erste Mal, dass ich SOC Prime getroffen habe. Einer meiner Teammitglieder schlug vor, dass ich dem Threat Bounty-Programm als Entwickler beitreten sollte. Ich fand die Idee spannend und beschloss teilzunehmen, weil ich glaube, dass dieses Programm mir helfen könnte, meine Fähigkeiten zu verbessern. Tatsächlich kann ich mit Threat Bounty meine Erfahrung im Schreiben von Regeln für verschiedene Arten von Bedrohungen vertiefen, neues Wissen erlangen und Sicherheitsinformationen mit anderen Mitgliedern der SOC Prime Threat Bounty-Community teilen. Meine veröffentlichten Regeln können auch angewendet werden, um die Verteidigung meiner Organisation zu stärken oder mit anderen Unternehmen geteilt werden, um Cyber-Bedrohungen zu mindern.

Erzählen Sie uns von Ihrer Reise mit dem Threat Bounty-Programm. Wie viel Zeit benötigen Sie durchschnittlich, um eine in der SOC Prime-Plattform veröffentlichte Sigma-Regel zu schreiben?

Ich habe zuvor Regeln für Sicherheitstools geschrieben, die jedoch recht eingeschränkt und kompliziert waren, da verschiedene Tools unterschiedliche Schreibweisen erfordern. Nachdem ich die SOC Prime-Plattform kennengelernt und gelernt habe, wie man Sigma-Regeln schreibt, hat sich mir eine grenzenlose Welt eröffnet. Die Threat Bounty-Belohnungen von SOC Prime haben mich auch dazu inspiriert, meine Fähigkeiten im Schreiben von Sigma-Regeln auf das nächste Niveau zu bringen. Ich lerne gerne neue Techniken und schreibe mit Energie Regeln, um neuen Bedrohungen zu begegnen.

Meiner Meinung nach hängt die durchschnittliche Zeit, die benötigt wird, um eine Sigma-Regel zu schreiben, davon ab, das Regeltypenverständnis, das Verhalten der Bedrohungsakteure und Angriffstechniken zu verstehen. Die Vielfalt der IOCs beeinflusst auch die Schreibzeit, da Sicherheitsexperten die Metadaten untersuchen müssen, um normales oder anormales Verhalten zu identifizieren. Ich verbringe meistens etwa 30 Minuten damit, Bedrohungen zu analysieren und eine Sigma-Regel zu schreiben.

Wie viel Zeit hat es gebraucht, um sich Sigma-Regelschreibfähigkeiten anzueignen? Welcher technische Hintergrund ist dafür nötig?

Ich habe etwa eine Woche damit verbracht, das Schreiben von Sigma-Regeln zu studieren, hauptsächlich durch die Untersuchung von Beispielen auf GitHub und im SOC Prime Threat Detection Marketplace. Diese Quellen halfen mir, die Vielfalt der Sigma-Regeltypen zu sehen. Jetzt erstelle ich normalerweise meine eigenen Vorlagen, um jeden Dienst von den verschiedenen Quellen zu trennen. Auf diese Weise ist es einfacher für mich, die Regeln zu implementieren. Darüber hinaus ist es wichtig, effizient Regeln zu schreiben. Am Anfang habe ich oft unpassend geschrieben, sodass meine Regeln zu verpassten Bedrohungen oder Fehlalarmen führten. Allerdings bietet die SOC Prime-Plattform Expertenhilfe, um meine Regeln vor der Veröffentlichung zu überprüfen. Ich kann meine Regeln bei Fehlern anpassen und lernen, mich zu verbessern und Fehler zu vermeiden.

Wie kann der kooperative Ansatz der Cyberabwehr helfen, solche schweren Risiken globalen Ausmaßes wie log4j zu mindern?

Eine Lücke zu schließen oder ein Risiko zu mindern, betrifft nicht nur die Technologie. Wir sollten zu den Grundlagen zurückkehren, einschließlich Menschen, Prozessen und Technologie. Diese sind die Schlüsselelemente zur Risikobewältigung und sollten gemeinsam betrachtet werden. Allein die Technologie mag tatsächlich in der Lage sein, die meisten Bedrohungen zu mindern. Doch ohne Menschen und Prozesse können wir keinen maximalen Schutz in Bezug auf Zeit und Qualität erreichen. Die Nutzung der SOC Prime-Plattform ist einer der Schritte, die helfen können, das Risiko zu reduzieren. Sie bietet breite Netzwerkgelegenheiten, damit Entwickler Jagdtechniken austauschen oder IOCs rechtzeitig finden können, was von Vorteil ist, um Risiken zu mindern.

Was halten Sie für den größten Vorteil des SOC Prime Threat Bounty-Programms?

Das SOC Prime Threat Bounty-Programm ermöglicht es mir, viel Erfahrung im Schreiben von Bedrohungserkennungsregeln unter der Aufsicht und Beratung des SOC Prime-Teams zu sammeln. Das Programm hilft mir, meine Fähigkeiten zu verbessern und unterstützt Organisationen weltweit, indem es eine Cybersecurity-Community unterstützt. Es ist eine große Ehre, wenn mir jemand eine Direktnachricht sendet und sagt, dass meine Erkennungsregeln ihrer Organisation helfen können. Solche Fälle motivieren mich, prompt neue Regeln zu initiieren, um neuen Bedrohungen zu begegnen und neue Techniken zu studieren, in der Hoffnung, dass mein Versuch der Community helfen kann, die Bedrohungen zu überstehen.

Was würden Sie Anfängern des Threat Bounty-Programms empfehlen?

Für alle, die ein Threat Bounty-Programm beginnen oder studieren, können Sie den Weg ebnen, indem Sie Bedrohungsnachrichten-Feeds lesen, Cyberangriffe weltweit überwachen oder zuverlässige Angriffprotokolle verwenden, um zu Beginn eine Sigma-Regel zu schreiben. Andernfalls könnten Sie die Beispiele auf GitHub und im Threat Detection Marketplace ansehen. Lassen Sie uns uns einmal herausfordern und gemeinsam der Cybersicherheits-Community helfen!

Zur Plattform gehen Threat Bounty beitreten

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Verwandte Beiträge