Interview mit dem Threat-Bounty-Entwickler: Onur Atali
Erfahren Sie mehr über die neuesten Nachrichten der SOC Prime Entwickler Gemeinschaft! Heute möchten wir Onur Atali vorstellen, einen engagierten Entwickler, der seit Juni 2021 zu unserem Threat Bounty Program beiträgt. Onur ist ein aktiver Content-Ersteller, der sich auf Sigma-Regeln konzentriert. Sie können sich auf Onurs Detektionen von höchster Qualität und Wert im Threat Detection Marketplace beziehen.
Erzählen Sie uns ein wenig über sich und Ihre Erfahrungen in der Cybersicherheit
Ich bin 26 Jahre alt und seit etwa 4 Jahren in der Cybersicherheitsbranche tätig. Ich habe in den roten und blauen Teams gearbeitet. Insbesondere kam ich in den Cybersicherheitssektor, als ich während meiner Schulzeit ein Webanwendungsprogramm durchführte. Als ich den Code meiner eigenen Webanwendung überprüfte, bemerkte ich, dass er eine Schwachstelle auslösen könnte, also begann ich, über sicheres Codieren zu recherchieren, und interessierte mich für Webanwendungssicherheit. So bin ich in das Gebiet der Cybersicherheit eingetreten.
Ich war während meiner Schuljahre an Netzwerken und Sicherheit interessiert und habe dort tatsächlich die Grundlagen gelernt. Auch damals führte meine Universität eine Abteilung für Information Security Technology ein, die grundlegende Netzwerksicherheit, Netzwerkprogrammierung, Webanwendungssicherheit umfasste – Schlüsselthemen, die ich im College über Cybersicherheit gelernt habe. Gleichzeitig entdeckte ich das Konzept von CTF und testete mich durch zahlreiche CTF-Wettbewerbe, um Auszeichnungen zu gewinnen und Abschlüsse zu erhalten. Die Wettbewerbe haben mich stark motiviert und mein Interesse an Cybersicherheit noch mehr geweckt, so dass ich nach dem Abschluss als Penetration Tester zu arbeiten begann.
Wie haben Sie sich entschieden, sich mit Threat Hunting zu beschäftigen? Welche Themen interessieren Sie in der Cybersicherheit?
Als ich als Penetration Tester arbeitete, musste ich umfangreiche Recherchen über die Ziele durchführen und nach Schwachstellen suchen. Je besser wir den Service kennen, desto mehr Informationen haben wir, um das Problem zu lösen und negative Konsequenzen zu verhindern. Ich arbeitete etwa 2 Jahre als Penetration Tester und sah viele Exploit-Codes, Exploit-Methoden, Techniken der seitlichen Bewegung. Damals entschied ich mich, in Praktiken der Bedrohungserkennung und Angriffsanalysen einzutauchen und wurde Mitglied des blauen Teams. Während ich Angriffstechniken erforschte und Verteidigungsmethoden entwickelte, verbrachte ich viel Zeit mit der Entwicklung spezifischer Erkennungsregeln basierend auf den Angriffsspuren. Tatsächlich reproduzierte ich die Angriffe auf meiner eigenen virtuellen Maschine, um die Forschung durchzuführen. Die Anzahl der Cyberangriffe hat im Vergleich zu früheren Jahren erheblich zugenommen. Arten von Angriffen, Arten von Malware und Bedrohungsakteur-Profile sind ziemlich unterschiedlich und zahlreich. Daher sollten Threat Hunting-Studien präzise durchgeführt werden und erfordern eine gründliche Recherche.
Meine Interessenschwerpunkte in der Cybersicherheit umfassen Threat Hunting, das Schreiben von Jagdregeln und Playbooks, die Entwicklung von Sicherheitssoftware, die Erstellung sicherer Netzwerkarchitekturen und die Sicherheit von mobilen/Webanwendungen. Ich bereite auch Phishing-Simulationssoftware und Phishing-Vorlagen vor.
Welche Tools werden von verschiedenen Bedrohungsakteuren am häufigsten verwendet und welche Empfehlung hätten Sie zur Verbesserung der Verteidigung gegen diese Tools? Beispiele wären großartig!
Angreifer konzentrieren ihre Bemühungen auf legitime Systemanwendungen, um Spuren zu verbergen. Hacker denken, dass sie so sowohl Sicherheitsanalysten als auch Sicherheitsbedrohungserkennungslösungen umgehen. Während meiner Recherchen habe ich Werkzeuge wie Impacket, Bloodhound, Rubeus, Mimikatz für seitliche Bewegungen gesehen. Andere Werkzeuge, die ich sehr oft gesehen habe, sind Open-Source-Software wie Proxychains, Tor, Hydra, Nmap. Um spezielle Bedrohungstools, die von Angreifern verwendet werden, zu erkennen, ist es wichtig, Befehle auf Betriebssystemebene zu protokollieren. Viele Angreifer führen Befehle wie „whoami, ipconfig, ping 8.8.8.8“ aus, und es ist notwendig, diese als verdächtig zu behandeln. Zum Beispiel sollte ein Alarm generiert werden, wenn autorisierte Administratoren auf Systemen abgefragt werden, die Active Directory-Dienste in SIEM für die Erkennung seitlicher Bewegungen bereitstellen. Angreifer könnten das System, das sie übernommen haben, entführen, ändern oder böswillige Anwendungen herunterladen wollen, daher ist es nützlich, den Internetverkehr und Webadressen von Ihren Systemen zu überprüfen, insbesondere wenn eine Anfrage an Tor-Dienste erfolgt. Der Alarm kann auf eine mögliche Bedrohung hinweisen. Brute-Force Angriffe sind heutzutage die häufigste Angriffsart, daher muss der SIEM-Dienst IP-Adressen erkennen und automatisch blockieren, die in 5 Minuten mindestens 10 verschiedene Ports scannen oder versuchen, sich mit mindestens 10 verschiedenen Benutzernamen bei kritischen Diensten wie RDP, SSH, FTP anzumelden. Ich denke, SOC Prime ist die reichste Plattform der Welt, was Regeln zur Bedrohungserkennung betrifft.
Wie lange hat es gedauert, bis Sie das Schreiben von Sigma-Regeln beherrschten? Welcher technische Hintergrund ist dafür nötig?
Ich denke, es ist notwendig, die Protokollierungsdienste gut zu kennen, insbesondere auf Betriebssystemebene, um Sigma-Regeln zu schreiben. Um eine Regel zu schreiben, muss man die Bewegungen der Angreifer gut überwachen und Fehlalarme minimieren. Andernfalls können zu viele Alarme auftreten und die tatsächliche Bedrohung übersehen werden. Sigma-Regeln sind sehr effizient in Bezug auf die Bedrohungserkennung und helfen uns, gezielte Erkennungen zu machen. Ich verbessere meine Fähigkeit, Regeln zu schreiben, durch das Studium von Malware-Analysen, die Überprüfung von Incident-Response- und Cybersicherheitsberichten. Beim Schreiben einer Regel ist es notwendig, sicherzustellen, dass die Erkennungsquelle und der Inhalt der geschriebenen Regel dem erwarteten Alarm entsprechen.
Wie haben Sie vom SOC Prime Threat Bounty Program erfahren?
Ich benutzte die SOC Prime-Plattform, um nach Threat-Hunting-Regeln zu suchen, aber ich erfuhr von dem Belohnungsprogramm durch meine Freunde. Ich bin sehr glücklich, im Programm zu sein, weil ich hier viel lerne und mich verbessere.
Erzählen Sie uns von Ihrer Reise mit dem Threat Bounty Program. Wie viel Zeit benötigen Sie durchschnittlich, um eine Sigma-Regel zu schreiben, die im Threat Detection Marketplace ohne Korrekturen veröffentlicht wird?
Ich war wirklich interessiert, als ich vom SOC Prime Threat Bounty Belohnungsprogramm hörte und habe mich sofort beworben. Das SOC Prime Team hat meine Bewerbung ziemlich schnell genehmigt und sich mit mir in Verbindung gesetzt, was mich sehr gefreut hat. Bevor ich die Regeln schrieb, habe ich die bestehenden Regeln studiert und den Prozess erlernt.
Um fehlerfrei Regeln auf der Plattform zu schreiben, insbesondere in der Malware-Analyse und Incident Response, müssen Entwickler mindestens 1 Jahr Erfahrung in der Cybersicherheit haben. Allerdings kann der erste Versuch bereits in 1-2 Wochen nach dem Studium der bestehenden Regeln innerhalb der Plattform und dem Lesen der Richtlinien erfolgen.
Was ist der größte Wert für Sie durch die Teilnahme am Threat Bounty Program?
Der beste Wert der Teilnahme am Threat Bounty Program ist, dass die von mir geschriebenen Regeln interessant sind und der Gemeinschaft helfen. Denn wenn die Regeln, die Sie schreiben, nicht funktionieren, machen sie offensichtlich keinen Sinn. Mit dem Threat Bounty-Programm hatte ich die Gelegenheit, mich in Bezug auf das Schreiben einer Sigma-Regel zu verbessern, und beim Schreiben einer Regel können Sie auch etwas über detaillierte Sicherheitskonfigurationen auf Betriebssystemebene lernen, was Ihnen technisch eine Verbesserung bringt. Ich bin glücklich, am Threat Bounty Program teilzunehmen, sowohl um mich selbst zu verbessern als auch um zur Gemeinschaft beizutragen.
