Erfolgsgeschichte des Threat Bounty: Kyaw Pyiyt Htet

Heute möchten wir Ihnen die Geschichte von Kyaw Pyiyt Htet erzählen, dem Inhaltsautor, der seit fast vier Jahren beim Threat Bounty Program ist. Wir haben Kyaw Pyiyt Htet auf unserem Blog vorgestellt und einige Informationen über seinen persönlichen und beruflichen Hintergrund erwähnt.

Es ist spannend, jetzt von Kyaw Pyiyt Htet zu hören und mehr über seine berufliche Entwicklung, seinen Karrierefortschritt und seine Zukunftspläne zu erfahren.

Erzählen Sie uns von sich, Ihrem aktuellen Unternehmen und Ihrer Position im Unternehmen.

Ich bin Kyaw Pyiyt Htet. Mein Name ist etwas schwer auszusprechen. Derzeit arbeite ich als Senior Threat Analyst bei LMNTRIX, einem australischen XDR-Dienst. Das Unternehmen bietet Cyber-Abwehrmaßnahmen in der APAC- und nordamerikanischen Region an. Meine täglichen Aufgaben konzentrieren sich hauptsächlich auf die Bedrohungsabwehr durch Nutzung von EDR/XDR. Das ist, was ich in meiner aktuellen Position und als mein täglicher Job tue.

Bevor ich dem Threat Bounty Program beigetreten bin, arbeitete ich als L1-Analyst. Ich habe die Erkennungsregeln verfeinert, mich auf Signaturen und reaktive Überwachung verlassen. Ich habe auch gelernt, wie Bedrohungserkennungsingenieure arbeiten und wie man Cybervorfälle effektiv identifiziert.

Wie lange sind Sie bereits Mitglied des Threat Bounty Program? Was sind Ihre größten Erfolge und Meilensteine als Threat Bounty Inhaltsautor?

Ich nehme seit drei Jahren und acht Monaten am Threat Bounty Program teil und trage weiterhin bei. Mein größter Erfolg und Meilenstein ist, dass ich in den monatlichen Berichten als Top-Autor im August, Oktober und November 2022 aufgeführt wurde. Monatsbericht. Kürzlich wurde ich anerkannt als einer der Top 20 SOC Prime Beiträge.

Apropos Regelbeiträge: Können Sie uns sagen, wie viele Regeln Sie während Ihrer Teilnahme am Programm eingereicht haben?

Derzeit wurden 189 Regeln erfolgreich auf dem Threat Detection Marketplace veröffentlicht. Insgesamt könnten über 200 Regeln eingereicht worden sein, aber leider kann ich mich nicht im Detail daran erinnern. Viele meiner Einreichungen wurden abgelehnt. Auch wenn ich viele Ablehnungen erhalten habe, habe ich Erfahrung gesammelt, die ich nutze, um hochwertige Sigma-Regeln zu erstellen.

Haben Sie einen persönlichen Zeitplan oder Meilensteine für die Einreichung Ihrer Regeln? Beobachtungen der Aktivität der Threat Bounty Community zufolge variiert die Anzahl der Einreichungen der aktiv veröffentlichenden Autoren erheblich, von 5 bis 50+ Einreichungen pro Woche. Wie schaffen Sie das?

Ich habe kein festes Ziel. Und 50+ Einreichungen monatlich – das mache ich nicht. Aber ich kann Ihnen von meinem Ansatz erzählen.

Zuerst lese ich Open-Source-Bedrohungsberichte, wie Unit 42, Cybereason, Cisco Talos und ähnliche. Normalerweise lese ich die Berichte und suche nach einigen Erkennungsartefakten. Zum Beispiel, ob es Anzeichen für die Erstellung von Registrierungsschlüsseln gibt oder geplante Operationen durch den Angreifer, und so weiter. Und dann nehme ich dieses Erkennungsartefakt, erstelle eine Sigma-Regelund trage zum Threat Bounty Program bei.

Parallel dazu erforsche ich das benutzerdefinierte C2-Framework in meiner eigenen Laborumgebung und dort kann ich andere bedeutende Erkennungsartefakte finden. Derzeit habe ich mehrere Erkennungsregeln auf der SOC Prime Plattform, die zu 100% aus meiner internen Forschung stammen.

Diese beiden Ansätze verwende ich, um Erkennungsregeln zu schreiben, die ich beisteuere.

Haben Sie spezifische Themen oder Richtungen im Threat Hunting, die Sie besonders leidenschaftlich interessieren und begeistern?

Wenn ich einen Threat Intelligence-Bericht lese, suche ich zuerst nach Indikatoren eines Angriffs, anstatt nach Indikatoren für einen Kompromiss. Wenn ich ein robustes Erkennungsinhalt erstellen muss, sollte es auf Indikatoren eines Angriffs basieren, da es aus der Perspektive des Angreifers schwierig zu ändern ist.

Zum Beispiel, wenn wir eine Sigma-Regel auf Basis von IOC schreiben, wie einer IP-Adresse oder einem Domainnamen, ist das nicht wirklich zuverlässig als langfristige Erkennung.

Deshalb achte ich auf Befehlszeilenausführungen oder andere Schlüsselregistrierungsartefakte, die in einer Operation eines Angreifers schwer zu ändern sind.

Lassen Sie uns über den unangenehmsten Teil der Inhaltseinreichungen sprechen, nämlich die Ablehnung von Inhalten. Wie sind Ihre Erfahrungen?

Ehrlich gesagt habe ich früher auf IOCs vertraut, um Sigma-Regeln zu erstellen, und das war der Hauptgrund, warum meine Regeln abgelehnt wurden. Ein weiterer Grund ist, dass ich manchmal Regeln sehr spät erstelle, sodass Inhalte anderer Beitragender bereits vor mir die Verifizierung bestanden haben.

Jedes Mal, wenn ich eine Ablehnung erhalte, gibt das Verifizierungsteam von SOC Prime einen Grund an. Sie empfahlen mir, mich darauf zu konzentrieren, qualitativ hochwertige und hochpräzise Erkennungsregeln zu erstellen. Ich habe diese Erfahrung gesammelt, auch wenn ich viele Ablehnungen erhalten habe.

Und wie haben Sie den Wechsel vom Schreiben von IOC-basierten Regeln hin zu Verhaltensinhalten vollzogen?

Später begann ich, das Piramyd of Pain Model anzuwenden, weil wir mit diesem Modell die Fähigkeit des Angreifers aufgrund des Schwierigkeitsgrads bewerten können. Was ich damit meine – je höher das Niveau der Artefakte im Pyramid of Pain ist, desto höher ist die Genauigkeit der Erkennungsregel.

Ich wende immer das Pyramid of Pain Model an, wenn ich Bedrohungsberichte lese oder meine eigene Forschung betreibe. Wenn ich einige gute Artefakte finde, erstelle ich eine Sigma-Regel und reiche sie ein.

Hat diese Erfahrung Ihnen geholfen, sich beruflich weiterzuentwickeln?

Ja, genau. Zum Beispiel bin ich sehr aufmerksam gegenüber den Empfehlungen des SOC Prime Teams, wenn sie sagen, dass meine Regel schwach ist oder dass ich einige Erkennungsparameter anpassen muss. Solche Empfehlungen helfen mir auch in meinem Job sehr. Ich kann eine bessere Feinabstimmung vornehmen und die Fehlalarme reduzieren. Ich denke, ich habe viel aus meiner Erfahrung im Threat Bounty Program gewonnen.

Was war Ihre Hauptmotivation, am Threat Bounty teilzunehmen? Ging es um Geld, Selbstverbesserung oder vielleicht um eine Herausforderung?

Um Regeln für das Threat Bounty Program zu erstellen, muss ich Nachrichten über aufkommende Bedrohungen lesen. Das hilft mir sehr bei meiner täglichen Arbeit, denn zu meinen Aufgaben gehört die Cyber Threat Intelligence. Das bedeutet, dass ich ständig mit Informationen über aufkommende Bedrohungen verbunden sein und fast täglich Erkennungsregeln erstellen muss. Tatsächlich ist die Teilnahme am Threat Bounty Program und die Arbeit in meinem Alltag eng miteinander verbunden, und es gibt keinen großen Unterschied. Deshalb ermutige ich jeden, am Threat Bounty Program teilzunehmen, da dies unsere Fähigkeiten steigern und für die Unternehmen, für die wir arbeiten, von Vorteil sein wird.

Was ist Ihre persönliche Motivation, kontinuierlich Regeln für Threat Bounty beizusteuern?

Zuerst einmal möchte ich der internationalen Gemeinschaft beitragen, weil ich berühmt sein möchte. Das ist meine persönliche Motivation und mein Ego. Natürlich möchte ich ein zusätzliches Einkommen haben und in der Lage sein, mir zu kaufen, was ich möchte. Ein weiterer wichtiger Antrieb für mich ist, dass ich meine Karriere und Fähigkeiten präsentieren kann indem ich am Threat Bounty Program teilnehme. Ich kann dies meinem Lebenslauf hinzufügen, wenn ich mich für einen neuen Job auf dem internationalen Cybersecurity-Markt bewerbe.

Lassen Sie uns über Ihre Community sprechen. Teilen Sie Ihre Erfahrungen und empfehlen Sie Ihren Freunden und Kollegen, dem Threat Bounty Program beizutreten?

Ja, sicher, einige meiner Freunde tragen bereits aktiv zum Threat Bounty Program bei. Für diejenigen, die noch keine Mitglieder dieses Programms sind, ermutige ich sie stets zur Teilnahme. Auch wenn Sie am Anfang viele Ablehnungen erhalten, ist es parallel, wie ich bereits erwähnt habe, eine großartige Gelegenheit, zu lernen, wie man gereifte Erkennungsregeln erstellt. Geben Sie nicht auf!

Der andere Vorteil ist, dass wir Sigma-Regeln erstellen, sodass wir wissen, was die abnormale Aktivität ist und die vorhandenen Regeln besser anpassen können. Dies ist die Art von Fähigkeiten, die Sie durch die Teilnahme am Threat Bounty Program erlangen können.

Wie planen Sie, sich beruflich weiterzuentwickeln? Verlassen Sie sich hier auf SOC Prime?

Mit Hilfe von SOC Prime — und es ist wirklich eine der Hauptbestandteile meiner Karriereentwicklung — möchte ich in fünf Jahren ein Cyber Threat Intelligence Experte werden. Mit Hilfe von SOC Prime habe ich die Möglichkeit erhalten, mit der internationalen Gemeinschaft auf dem Discord-Server zu interagieren und Feedback vom Verifizierungsteam zu erhalten, was auch ein wichtiger Teil der Selbstverbesserung ist.

Auch mit Uncoder AIkann ich Sigma-Regeln leicht in die EDR-Sprache konvertieren, die wir in unserem Unternehmen verwenden, was ebenfalls hilfreich ist.

Ihre Erfahrung ist sehr interessant und inspirierend. Ich glaube, dass mehr Enthusiasten, die gerade ihre Karriere beginnen, Ihrem Beispiel und Rat folgen sollten und dem Threat Bounty Program beitreten.