Entrevista con el Desarrollador: Adam Swan

Continuamos nuestra serie de entrevistas con participantes del Programa de Desarrolladores (https://my.socprime.com/en/tdm-developers), cazadores de amenazas y entusiastas de la ciberseguridad para presentarles a estas maravillosas personas que buscan en la web amenazas relevantes y crean contenido único para su detección. Conozcan a Adam Swan, Ingeniero Senior de Caza de Amenazas de SOC Prime.

Adam, cuéntanos un poco sobre ti y sobre tu experiencia en caza de amenazas.

Cuando era niño y las salas de chat de AOL estaban de moda, recuerdo haberme fascinado con un truco que encontré que me permitía engañar a otros para que cambiaran su mensaje de ausencia al acceder a un enlace creado. Este tipo de vislumbres de ‘hacking’ encendieron una chispa que me llevó por este camino profesional casi sin proponérmelo. Terminé tomando todas las clases de programación disponibles en la escuela secundaria (para ser honesto, las únicas clases que me importaban) y luego supe que podía convertir la ciberseguridad en una carrera mientras miraba programas universitarios. Terminé ingresando a un programa de Garantía de la Información en el Pennsylvania College of Technology. El programa era una mezcla de lo técnico y lo político y sin duda abrió una puerta que eventualmente me condujo a la caza de amenazas.

Después de la universidad, comencé inmediatamente a acumular certificaciones para cumplir con el estándar 8570 del Departamento de Defensa de EE. UU. con la esperanza de que me abrieran más oportunidades técnicas donde trabajaba. Sin embargo, incluso después de aprobar varias certificaciones, incluida la CISSP para ‘cumplir con todos los requisitos’, sentí que realmente no *sabía* nada. Fue entonces cuando se abrió una posición de análisis de malware, y el gerente dijo que necesitaba obtener la certificación GREM para ser elegible. Sin ningún conocimiento previo de análisis de malware, enfrenté la certificación después de algunas semanas de estudio intenso. Realmente disfruté el material y finalmente sentí que se despejó un camino hacia un trabajo altamente técnico. Fui aceptado en una posición junior y pasé algunos años perfeccionando mis habilidades en análisis de malware, respuesta a incidentes y forense de discos duros.

Sin embargo, no fue hasta que Nate (@neu5ron) me pidió que me uniera a su equipo que realmente entré en la caza de amenazas. Me introdujo a Elastic, y nos enganchamos con el poder de centralizar y buscar en los registros de eventos de Windows. Esto culminó en nosotros realizando una pequeña gira de charlas evangelizando el poder de los registros de Windows. Este período es cuando me convertí en un cazador y realmente nunca miré atrás. He estado practicando por aproximadamente dos años y medio. Así que, comparado con quizás algunos de los otros analistas que ha entrevistado SOC Prime, todavía soy nuevo.

¿Qué piensas, cuáles son las tendencias más importantes de caza de amenazas en la industria actualmente?

Hay tres tendencias que me gustaría abordar.

Primero, más organizaciones están comenzando programas de caza de amenazas o están tomando conceptos básicos de caza de amenazas y agregándolos a su función SOC existente. Esto es enorme ya que los fundamentos de la caza de amenazas son, en mi opinión, altamente efectivos para mejorar los programas de seguridad.

En segundo lugar, otra tendencia en la caza de amenazas es la dependencia en la Detección y Respuesta en el Endpoint (EDR, por sus siglas en inglés). Prefiero aquellos que proporcionan acceso a datos pasivos ricos sobre eventos importantes en sistemas, contra los cuales los analistas pueden escribir lógica de detección o realizar análisis manual. La dirección debe ser cautelosa con cualquier proveedor que afirme simplificar completamente o automatizar la totalidad de la detección de amenazas. Los adversarios son conscientes y pueden eludir estas herramientas.

Finalmente, la comunidad de caza de amenazas no existiría o estaría donde está sin compartir. Proyectos como SIGMA que permiten compartir en la caza de amenazas han establecido una base sólida para futuros éxitos.

Adam, ¿qué opinas sobre Sigma, cuál fue tu primera experiencia con Sigma, cuándo empezaste a usarlo?

SIGMA ha estado presente en mi conciencia desde su anuncio, pero mi primer uso en producción fue a principios de 2018 cuando un cliente recopiló registros de Windows que se remontaban a muchos meses pero no tenía muchas detecciones/alertas aparte de las detecciones predefinidas del proveedor. Con la ayuda del ingeniero de SIEM, implementé las reglas públicas de SIGMA relevantes.

Y, ¿cómo crees que puede Sigma cambiar la forma en que las organizaciones construyen su defensa cibernética?

Primero, SIGMA permite compartir lógica de detección entre organizaciones con arquitecturas diferentes pero fuentes de datos y amenazas comunes. Así que, si yo tengo Splunk y tú tienes Elastic y ambos estamos recopilando registros de Windows, podemos usar SIGMA como un lenguaje común para compartir lógica de detección contra nuestras amenazas comunes como el ransomware.

En segundo lugar, SIGMA nos permite escribir lógica de detección y rodearla con metadatos útiles que pueden no estar (fácilmente) integrados en las alertas de tu SIEM. Por ejemplo, si estás rastreando tu cobertura de MITRE ATT&CK en algunos SIEMs no es obvio o fácil vincular estas reglas con su técnica asociada. Con el archivo YAML de SIGMA, tienes el poder de etiquetar las reglas como desees.

Tercero, si mantienes tu lógica de detección escrita en SIGMA, te preparas para el éxito en la adopción inevitable de un nuevo SIEM. Si de repente tu SOC es responsable de adoptar un nuevo SIEM (digamos durante una adquisición) o tu dirección decide cambiar a un nuevo SIEM, con SIGMA estás habilitando la transición ágil o la adopción de la nueva tecnología. Esto es especialmente importante si ofreces SOC/caza de amenazas como servicio (MSSP).

¿Cuál crees que es la parte más complicada y que consume más tiempo al escribir nuevas reglas de Sigma y cuánto tiempo promedio te lleva escribir una nueva regla de Sigma? ¿Te resulta conveniente usar Sigma como herramienta para escribir nuevas reglas? Y ¿cómo decides qué regla crear?

Las reglas más inmediatamente accionables se basan en observaciones directas. Sin embargo, las reglas basadas en una hipótesis educada sobre el comportamiento del adversario o cómo afecta el comportamiento del adversario a un sistema dado son igualmente válidas. La parte que consume más tiempo al escribir una regla SIGMA es la investigación y verificación de que la lógica escrita detectará la técnica/herramienta/amenaza prevista. Escribir una regla en SIGMA no debería llevar más tiempo que escribir una consulta contra cualquier SIEM. Esto se debe a que SIGMA no se interpone en tu camino, no es exigente, y la sintaxis se familiariza rápidamente.

Para asegurar la calidad, recomiendo encarecidamente a cualquiera que escriba alertas SIGMA que tenga en cuenta la charla de Daniel Bohannon sobre firmas resilientes (https://www.slideshare.net/DanielBohannon2/signaturesaredead-long-live-resilient-signatures).

¿Qué puedes decir sobre tu experiencia con Sigma UI, Adam? ¿Tienes alguna idea sobre cómo hacerlo más útil/conveniente para los desarrolladores?

La interfaz de usuario de SIGMA es excelente, uso uncoder.io para verificar que mi regla de sigma se convertirá correctamente ya que copiar y pegar una regla es muy simple. Sería bueno si la interfaz de usuario de SIGMA hiciera sugerencias o recomendaciones para la compatibilidad con diferentes sistemas. Por ejemplo, depender mucho de comodines puede causarte problemas de compatibilidad con Elastic.

Adam, como escritor de contenido, probablemente tienes un laboratorio. ¿Cómo pruebas tus reglas y qué fuentes de registro prefieres trabajar?

Tener un laboratorio para simular ataques y confirmar/probar la resistencia de tus firmas es muy importante. Prefiero trabajar con registros a los que una organización promedio tiene acceso. Hoy en día, escribir una regla para el registro de endpoints nativo es la mayor red posible.

¿Qué tipos de amenazas cibernéticas crees que representarán los mayores riesgos para las organizaciones en el próximo año? ¿Alguna sugerencia sobre cómo mejorar las capacidades de detección contra tales amenazas?

Las amenazas varían significativamente entre organizaciones. Diría que la mayor amenaza para una organización promedio es la adopción de exploits/técnicas que se pueden propagar en ransomware o cualquier tipo de malware destructivo. Los días de la intrusión de Schrödinger han quedado atrás para las organizaciones promedio, la mayoría sabrá que han sido hackeadas cuando sus datos sean tomados como rehenes. Afortunadamente, los métodos para prevenir y detectar estos tipos de ataques son relativamente maduros. La ejecución de estos métodos puede variar desde ser relativamente simple hasta extremadamente complejo dependiendo del alcance y la complejidad de las redes/sistemas que alguien esté defendiendo. Así que, mi recomendación es realmente para la dirección. Siempre que sea posible, avancen hacia la simplicidad.

En SOC Prime hemos lanzado el Programa de Recompensas por Amenazas que fomenta el intercambio de contenido entre profesionales de la ciberseguridad. Adam, ¿te gusta la idea de recompensar a los desarrolladores por compartir reglas Sigma y otro contenido de detección de amenazas?

Sí. Si estás haciendo cualquier tipo de investigación en seguridad. Por favor, piensa en cómo puedes compartir la detección. Todo lo que se necesita es aumentar la verbosidad de los registros en tu laboratorio y luego revisar los registros en busca de posibles detecciones tras ejecutar una prueba de concepto. Si no sabes cómo empezar, contáctame en @acalarch y te prometo que es increíblemente simple.

Adam, ¿cuál sería tu recomendación para jóvenes especialistas en ciberseguridad que están decidiendo qué camino elegir?

Aquí están las cosas que desearía haber hecho:

1. Aprovecha el entrenamiento que puedes obtener asistiendo a conferencias. Es más barato y estarás rodeado de colegas y posibles mentores.
2. Sé tu propio defensor y sé escéptico/realista. Clarifica tus intenciones de carrera a tu gestión, sé persistente sobre tus intenciones, busca mentores y no temas avanzar.