Die neue Ära des Bedrohungs-Bounty-Programms

[post-views]
Juni 18, 2024 · 8 min zu lesen
Die neue Ära des Bedrohungs-Bounty-Programms

Wie Crowdsourcing zukünftige Cyber-Abwehrstrategien formt

Crowdsourcing ist eine der wichtigsten Säulen für den Aufbau einer fortschrittlichen Cyber-Abwehr, die den neuen Herausforderungen der modernen Bedrohungslandschaft gewachsen ist. Mit über 30.000 neu entdeckten Schwachstellen allein im Jahr 2023 und Cyberangriffen, die jede Minute stattfinden, können eigenständige Teams kaum mit der Flut bestehender Bedrohungen Schritt halten. Wissensaustausch ist ein Muss, um Gegner zu übertreffen und zu überlisten.

Durch die Aggregation von Daten und Erkenntnissen aus verschiedenen Quellen bieten crowdsourced Bedrohungserkennungsinitiativen ein umfassenderes Verständnis der Angriffsfläche und ermöglichen schnellere und koordinierte Reaktionen. Dieser kollaborative Ansatz optimiert Ressourcen, gewährleistet den Austausch in Echtzeit und fördert kontinuierliche Verbesserungen durch eine iterative Rückkopplungsschleife. Mit seiner globalen Reichweite und Innovationskraft baut Crowdsourcing ein widerstandsfähiges und skalierbares Verteidigungsnetzwerk auf, das effektive, gemeinschaftlich getriebene Cybersicherheitspraktiken vorantreibt, um anspruchsvolle und sich entwickelnde Cyber-Bedrohungen zu bekämpfen.

Als die Evangelisten des kollektiven Cyber-Abwehransatzes, auf dem dritten EU ATT&CK Community Workshop im Mai 2019startete SOC Prime das branchenweit erste Bounty-Programm für Cyber-Verteidiger. Zum 5-jährigen Jubiläum des Threat Bounty Programms stellen wir das verbesserte Werkzeugset und die erweiterten Beitragsmöglichkeiten vor, die die Kernprinzipien der modernen Cybersicherheit widerspiegeln und den Mitgliedern der crowdbasierten Community die fortschrittlichsten Technologien von SOC Prime für die Erkennungstechnik bieten.

Treten Sie dem Threat Bounty bei

Zurück zu den Wurzeln

Die Anerkennung persönlicher Exzellenz und die Anerkennung von Urheberrechten sind grundlegende Elemente der Initiative von SOC Prime, die Spezialisten weltweit vereint und ihnen die Möglichkeit bietet, zur globalen Cyber-Abwehr beizutragen.

Die Threat Bounty-Initiative erhielt Unterstützung von Mitgliedern der Cybersicherheitsgemeinschaft, die sich nach der Ankündigung eifrig anmeldeten und vorregistrierten. Als prompte Reaktion auf die Bereitschaft und Nachfrage der Gemeinschaft starteten wir im Juni 2019 das Developer Portal, das fünf Jahre lang als Hauptknotenpunkt für die Beitragsregelorganisation an SOC Prime diente.

Seit dem ersten Tag ist das Threat Bounty Programm von SOC Prime als vertrauensvolle und unterstützende Umgebung bekannt, für all jene, die ihre Fähigkeiten in der Erkennungstechnik herausfordern und dabei Geld verdienen möchten, während sie beobachten, wie ihre Erkennungsregeln Unternehmen weltweit helfen, aufkommende oder bekannte Cyber-Bedrohungen abzuwehren.

Die Entwicklung und Transformation des Programms war schon immer mit der Branchen- und Technologieentwicklung abgestimmt, was es uns ermöglicht, hohe Professionalität und Motivation für diejenigen, die bereit sind, ihre Erkennungstechnik zu erweitern und Teil des Crowdsourced Blue Teams zu werden, das Organisationen weltweit Erkennungen bereitstellt, aufrechtzuerhalten. Heutzutage heben wir das Benutzererlebnis der Threat Bounty Mitglieder auf das nächste Level, indem wir sie mit den fortschrittlichsten SOC Prime Technologien und Werkzeugen für die Erkennungstechnik ausstatten.

Die Gemeinschaft lenken

Mit der Idee des grenzenlosen Wissensaustauschs innerhalb der Gemeinschaft startete SOC Prime im Jahr 2018 Uncoder.IO, das als schneller, privater und benutzerfreundlicher Online-Übersetzer für Sigma-Regeln fungierte und 100 % Privatsphäre seiner Nutzer sicherstellte. Aufgrund des Erfolgs von Uncoder als Community-Werkzeug hat das SOC Prime Team im November 2023 Uncoder.IO als vollständig quelloffenes Werkzeug unter der Apache 2.0 Lizenz. Da Uncoder mit Blick auf den Datenschutz entwickelt wurde, stellt die SaaS-Version des Tools unter https://uncoder.io sicher, dass kein Cookie-Tracking, Daten- oder Codeprotokollierung oder Datenweitergabe an Dritte stattfindet. Dies bedeutet für die Community, dass sowohl erfahrene Sicherheitsprofis als auch Anfänger in der Cyber-Abwehr von grundlegender IOC-Konvertierung, Inhaltsübersetzung und der Erstellung von Sigma- und Roota-Regeln profitieren.

Seit der ersten Vorregistrierung zum Threat Bounty Program im April 2019 hat SOC Prime fast 2.000 Bewerbungen für die Teilnahme am Programm erhalten und über 600 Personen willkommen geheißen, die ihre Bereitschaft gezeigt haben, durch SOC Prime zur globalen Cyber-Abwehr beizutragen. Das Beitragen zur crowdsourced Erkennungstechnik erfordert oft, dass die Autoren von Bedrohungserkennungsregeln über den vertrauten Bereich professioneller Interessen und Fähigkeiten hinausgehen, die im Betrieb, in der Organisation oder sogar der Branche etabliert sind, und ihre Expertenkompetenzen und Analysen der globalen Cyber-Bedrohungslandschaft erweitern.

Obwohl die Ausrichtung der Bemühungen der crowdsourced Bedrohungserkennungsingenieure auf den tatsächlichen Marktbedarf ein wesentlicher, wenn nicht sogar grundlegender Bestandteil des Threat Bounty Programms ist, ist es für die Inhaltsautoren immer eine Herausforderung, ihre Fähigkeiten im Einklang mit den zeitgleichen Anforderungen hinsichtlich der Komplexität der Erkennungen und der sich ständig ändernden Bedrohungslandschaft zu halten.

Die Programmmitglieder, die seit den Anfangstagen mit der Gemeinschaft verbunden sind, erinnern sich, wie einfach und mühelos es war, ihre Inhalte auf der SOC Prime-Plattform zu veröffentlichen. Autoren konnten ihre Erkennungsalgorithmen für eine Premium- oder Community-Veröffentlichung einreichen, und dieser Ansatz gab den Autoren mehr Flexibilität, insbesondere wenn die Erkennung nicht komplex war. Allerdings ist die Förderung von geringstem Aufwand gegen die Prinzipien des Programms.

The Threat Bounty Program is a demanding environment that promotes the development of personal talent in the cybersecurity workforce of any organization and cybersecurity vendor. The program enables experts specializing in various technologies to further develop and utilize their applied skills in an ethical and competitive setting with strict requirements for following laws and regulations regarding IP rights and personal data, as well as an understanding of generic Sigma format and deep knowledge of vendor-specific formats.

Noch dazu die Entwicklung und Evolution von Uncoder IO und die Einführung der IOC-Konvertierung zu benutzerdefinierten Abfragevorgängen markierten einen weiteren Durchbruch in der Transformation des Threat Bounty Programms und der Anforderungen an die Annahme von Inhalten. Als Reaktion auf die Evolution des Programms mussten Inhaltsautoren, die mit ihren eigenen Erkennungen Geld verdienen wollen, sich an die anspruchsvollere Umgebung anpassen und Zeit investieren, um komplexere Regeln zu entwickeln.

Belohnungen

Die Möglichkeit, mit SOC Prime’s Threat Bounty Program Erkennungsregeln zu monetarisieren, ist zweifellos ein wichtiger Punkt, den all jene betrachten sollten, die nach Möglichkeiten suchen, zusätzliches Einkommen aus ihrem professionellen Wissen zu erzielen.

Das auf Bewertungen basierende Belohnungssystem ist ein Mittel, um globales Feedback zu Erkennungsinhalten zu liefern, das Trends in der Nachfrage nach Erkennungsabdeckung von Technologien, spezifischen Protokollquellen, Verhaltensweisen und Werkzeugen bestimmter APT-Gruppen widerspiegelt.

Dieser Ansatz der Belohnung von Inhaltsautoren war mehr als hilfreich, um die allgemeinen Empfehlungen für akzeptierte Regeln mit der tatsächlichen Nachfrage regelmäßiger Plattformnutzer abzustimmen. Beispielsweise wurde klar, dass eine minimale Erkennung oder ein einfaches IOC nicht zur effizienten Bedrohungserkennung als Teil des Angebots von SOC Prime an die globale Gemeinschaft beitragen kann.

Das auf Bewertungen basierende Belohnungssystem, zusammen mit den etablierten Standards für die Qualität von Einreichungen, ermöglicht SOC Prime, Autoren auszuzeichnen, die verwertbare Inhalte liefern, die böswillige Werkzeuge und Verhaltensweisen in realen Umgebungen von Unternehmen und Regierungen erkennen können.

Information ist der Schlüssel

Der kontinuierliche Austausch von Feedback ist entscheidend, um hohe Standards bei der Entwicklung von crowdsourced Inhalten zu wahren, das anhaltende Engagement der Cyber-Community bei der Entwicklung verwertbarer Erkennungen sicherzustellen, die Inhaltsqualität zu verbessern und Glaubwürdigkeit bei den Endnutzern zu stärken. Während wir den Autoren Feedback zu ihren eingereichten Regeln per E-Mail geben, bieten die SOC Prime-Ingenieure, die die zur Veröffentlichung vorgeschlagenen Erkennungen prüfen, keine persönlichen professionellen Beratungen oder Coachings an. Stattdessen ermutigen wir die Mitglieder des Threat Bounty Programms, an gemeinschaftsgetriebenen Diskussionen teilzunehmen, von denen wir glauben, dass sie für die Threat Bounty-Community wertvoller sind als individuelle Beratungen, da sie Transparenz erhöhen, den Informationsaustausch fördern und die Fähigkeitenentwicklung unter Threat Bounty-Autoren anregen.

Um den Mitgliedern des Threat Bounty Programms eine Gemeinschaft des offenen Lernens und Wissensaustauschs zu bieten, haben wir einen Discord-Kanal eingerichtet, der als Drehscheibe dient, wo erfahrene Praktiker großzügig ihr Wissen und ihre Einblicke mit neugierigen Neulingen teilen, um eine Peer-getriebene Zusammenarbeit zu fördern, lebhafte Diskussionen zu führen, mit den neuesten Cybersicherheitstrends Schritt zu halten und ihre Hard Skills zu fördern.

Was gibt’s Neues?

Die crowdsourced Bedrohungserkennung kommt immer mit einer einheitlichen Sprache, sodass jeder Sicherheitspraktiker von der kollektiven Cyber-Abwehr profitieren kann. Das Threat Bounty Program begann mit Sigma Regeln im Kern, die Community-Beiträge auf viele SIEM- und EDR-Sprachen portierbar machen. Doch um der Branche zu ermöglichen, die Grenzen der Sigma-Regeln beim Beschreiben und Portieren komplexer verhaltensbasierter Erkennungen zu überwinden, führte das SOC Prime-Team Roota im Jahr 2023 ein.

Mit Roota als Wrapper können Cyber-Verteidiger eine native Regel oder Abfrage nehmen und sie mit Metadaten erweitern, mit Hilfe von Uncoder AI den Code in andere SIEM-, EDR- und Data Lake-Sprachen übersetzen. Inspiriert vom Erfolg der Yara- und Sigma-Regeln konzentriert sich Roota auf eine breitere Anwendbarkeit durch eine größere Gemeinschaft von Verteidigern. Dies bedeutet, dass Sie in Roota in jeder Sprache schreiben können, die Sie bereits kennen, und Uncoder hilft, in andere gängige Sprachen zu übersetzen, was die Notwendigkeit beseitigt, eine neue spezifische oder generische Abfragesprache zu lernen. Ziel ist es, jedem, der Erfahrung im Regel schreiben hat, bessere Werkzeuge bei der Arbeit zu bieten. Auf diese Weise nutzen nicht nur erfahrene Threat Hunters, DFIR- und Sigma-Regel-Experten, sondern auch SOC-Analysten, die zum Kollektivguten durch das Threat Bounty Program beitragen möchten, die fortschrittliche Detection-Engineering-Suite von SOC Prime mit Uncoder als Herzstück. SOC Prime bietet unseren Threat Bounty-Mitgliedern nun eine private KI, die ihren Code nicht leakt, die Einhaltung der Detection Rule Licensing-Unterstützung gewährleistet und sicherstellt, dass Urheberrechte für geistiges Eigentum in der Übersetzung nicht verloren gehen, alles auf einer privaten Entwicklerumgebung, die nicht von generativer KI ausgeschlachtet wird, einem persönlichen Repo zur Speicherung ihrer Erkennungen in einer Cloud SOC 2 Typ II-Umgebung und mehreren IDE-ähnlichen Funktionen, einschließlich Code-Vervollständigung, MITRE ATT&CK-Tagging, QA, Korrekturen und einem eingebetteten Workflow für Code-Überprüfung und -Nutzung.

Treten Sie dem Threat Bounty bei

Das neue Zeitalter von SOC Prime’s crowdsourced Detection-Engineering-Programm vereint all unsere Community-Initiativen und schafft einen benutzerfreundlichen, All-in-One-Workflow, der persönliches Talent entfesseln, Erkennungstechnik und Bedrohungsjagdfähigkeiten verbessern und technologische Expertise erweitern soll. Das Threat Bounty Program bietet ein sicheres, ethisches und wettbewerbsfähiges Umfeld für Teilnehmer, um zur Cyber-Abwehr beizutragen, während sie Anerkennung und greifbare Vorteile für ihre Bemühungen erhalten.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko