Interview mit Threat Bounty Entwickler: Wirapong Petshagun

SOC Prime Threat Bounty Programm vereinigt weiterhin enthusiastische und aufmerksame Entwickler von Erkennungsinhalten, die der Gemeinschaft beigetreten sind um zur kollektiven Cyber-Verteidigung beizutragen und ihre exklusiven Erkennungen auf derSOC Prime Plattform zu monetarisieren. Bitte treffen Sie Wirapong Petshagun, der der Threat Bounty Community im Juni 2022 beigetreten ist und regelmäßig qualitativ hochwertige Regeln veröffentlicht, um SOC Prime Benutzern dabei zu helfen, bestehende und aufkommende Bedrohungen rechtzeitig zu erkennen. ImSeptember 2022 September 2022war Wirapong einer der 5 am höchsten bewerteten Threat Bounty Content-Entwickler.

Erkennungen von Wirapong Petshagun

1. Erzählen Sie uns ein wenig über sich, Ihre berufliche Ausbildung und Ihre Erfahrung in der Cybersicherheit.

Grüße, mein Name ist Wirapong Petshagun und ich komme aus Thailand. Ich habe ein Master-Studium in Cybersecurity Management abgeschlossen. Seit meiner Universitätszeit interessiere ich mich für Cybersicherheit. Mein erster Job war als Cybersecurity Incident Response bei einem der größten Telekommunikationsunternehmen Thailands. Es war schwierig für mich, da ich neu in diesem Bereich war. Mir wurde die Aufgabe zugewiesen, Erkennungsregeln für Sicherheitslösungen wie IPS, WAF, EDR und SIEM zu erstellen. Abgesehen davon habe ich zahlreiche Cybervorfälle bearbeitet und auch automatisierte Playbooks entworfen und erstellt, um sie mit SOAR zu implementieren.

Derzeit arbeite ich als Cyber Incident Responder für ein Sicherheitsberatungsunternehmen. Mir wurde die Aufgabe übertragen, einem Kunden Sicherheitsnachrichten und Erkennungsmethoden bereitzustellen. Ich habe viele Websites recherchiert, bis ich SOC Primegefunden habe. Außerdem habe ich viele CTF-Herausforderungen erstellt, was mir geholfen hat, ein tiefes Verständnis dafür zu erlangen, wie man angreift und erkennt.

2. Was sind Ihre Interessengebiete in der Cybersicherheit und warum? Wie möchten Sie als Cybersicherheitsexperte wachsen?

Ich interessiere mich für Cybervorfälle, weil es spannend ist, neue Techniken zu sehen, die von verschiedenen APT-Gruppen verwendet werden. Als Incident Responder habe ich keine Angst, mich herausfordernden Aufgaben zu stellen, weil ich glaube, dass es der effizienteste Weg ist, um meine Fähigkeiten zu verbessern.

3. Wie haben Sie vom Threat Bounty Programm erfahren und warum haben Sie sich entschieden, teilzunehmen?

Ich entdeckte die SOC Prime Plattform, als ich nach einer Erkennungsregel suchte, um sie mit dem SIEM zu verwenden, um neue CVEs und Techniken zu erkennen. Danach fand ich das Threat Bounty Programm bei SOC Prime und entschied mich sofort beizutreten, da dies die einzige Plattform ist, die ein Threat Bounty Programm hat, welches es Blue Teamern ermöglicht, Erkennungsregeln zu veröffentlichen, um vielen Organisationen dabei zu helfen, Cyberangriffe zu erkennen. Ich glaube auch, dass das Threat Bounty Programm mir helfen könnte, mein Wissen und meine Fähigkeiten zu verbessern.

4. Erzählen Sie uns von Ihrer Reise und Erfahrung mit dem Threat Bounty Programm. Was hat Sie am meisten überrascht?

Ich habe gerade erst angefangen, zu lernen, wie man Sigma-Regeln und Snort-Regeln schreibt, bevor ich dem Threat Bounty Programm beigetreten bin. Ich war überrascht, als ich Erkennungsregeln bei SOC Prime erstellte und einreichte. Jede Regel wird im Detail überprüft und vom Prüfer auch Feedback gegeben. Das könnte mir helfen, meine Fähigkeiten im Schreiben qualitativ hochwertiger Regeln zu verbessern.

Eine weitere Überraschung für mich war, dass ich eine Sigma-Regel entwickelt habe, die einige bösartige Payloads enthält, und sie von der WAF der SOC Prime Plattform blockiert wurde. Ich hatte Angst, dass ich gesperrt werde, aber als ich SOC Prime in Slack kontaktierte, informierten sie mich darüber, dass es ein Bug war und empfahlen mir, es im Bug-Listen-Kanal zu melden.

5. Wie viel Zeit benötigen Sie durchschnittlich, um eine Sigma-Regel zu erstellen, die auf der SOC Prime Plattform veröffentlicht wird?

Die durchschnittliche Zeit hängt von der Komplexität der Regel, dem Regeltyp und den von Bedrohungsakteuren verwendeten Techniken ab. Einige Techniken müssen getestet werden, um sicherzustellen, dass sie funktionieren, und angepasst werden, um Fehlalarme zu reduzieren, was sich auch darauf auswirkt, wie lange es dauert, sie zu schreiben. Normalerweise verbringe ich zwischen 15 und 30 Minuten an jeder Sigma-Regel.

6. Was ist Ihrer Meinung nach der größte Vorteil des SOC Prime Threat Bounty Programms für die Cybersicherheit und Sie persönlich?

Das SOC Prime Threat Bounty Programm ist der einzige Weg für Blue Teamer wie mich, wertvolle Erfahrungen im Schreiben von Bedrohungserkennungsregeln unter der Aufsicht des SOC Prime Teams zu sammeln. Das Programm ist auch eine neue Leidenschaft, um neue Angriffstechniken zu erkunden, die von Bedrohungsakteuren weltweit eingesetzt werden.

7. Was würden Sie Anfängern im Threat Bounty Bereich aus Ihrer eigenen Erfahrung empfehlen?

Wenn Sie neu im Threat Bounty Programmsind, beginnen Sie mit einem Blick auf SigmaHQs Sigma-Regeln oder die kostenlosen Zugangsregeln von SOC Prime, überprüfen Sie dann die Angriffsinformationen aus dem Link in der Regelreferenz und versuchen Sie, sie in Bedingungen umzuwandeln, um die Angriffe selbst zu erkennen. Dies ist der schnellste Weg, mehr darüber zu lernen, wie man die Sigma Regeln schreibt.