Entrevista con el Desarrollador: Ariel Millahuel

Realizamos otra entrevista con uno de los participantes del Programa de Desarrolladores de SOC Prime (https://my.socprime.com/en/tdm-developers). Queremos presentarles a Ariel Millahuel.Ariel, ¿podrías presentarte y contarnos sobre tu experiencia en Threat Hunting?Soy Ariel Millahuel de Buenos Aires, Argentina y tengo 30 años.
Comencé en el mundo del Threat Hunting hace 2 años, cuando pasé de un SOC a un trabajo en el Blue Team. Este fue mi punto de partida y ahora es una de mis pasiones.Hablemos de la industria de threat-hunting. ¿Cómo crees que cuáles son las tendencias más importantes ahora y los puntos débiles?En mi opinión, las tendencias más importantes son la caza de malware, los registros de Sysmon y las tecnologías en la nube. Creo que el punto más débil está en la integración del aprendizaje automático en la industria.Cuéntanos sobre tu experiencia con Sigma. ¿Cuándo comenzaste a usarlo y por qué?La primera vez que vi Sigma fue en TDM, explorando las reglas y demás. En ese momento, comencé a aprender sobre Sysmon y el monitoreo de procesos, hace unos 5 meses. Me tomó al menos 3 meses empezar a escribir algunas reglas simples de Sigma.En tu opinión, ¿cuáles son los principales beneficios de Sigma como herramienta de threat-hunting? ¿Puede Sigma cambiar la forma en que las organizaciones construyen su ciberdefensa?Los principales beneficios de Sigma están en la integración con los SIEM más importantes de la industria y la oportunidad de crear contenido constantemente a medida que nuevas amenazas llegan al escenario principal.
Sigma puede cambiar no la forma en que las organizaciones construyen su ciberdefensa, sino todo el escenario para los equipos azul y rojo.¿Cuál crees que es la parte más complicada y que más tiempo consume al escribir una nueva regla Sigma?La parte más complicada y que más tiempo consume es validar lo que estás poniendo en una regla específica. Hago esto en mi laboratorio virtual.¿Cuánto tiempo necesitas para escribir una nueva regla Sigma? ¿Cómo decides qué regla crear?Todo el proceso me lleva al menos 2 horas por regla. Esto ocurre cuando veo un nuevo comportamiento en el malware que analizo en un sandbox.En tu opinión, ¿qué se puede mejorar en Sigma?Sigma ha crecido desde que comencé a usarlo, y fue increíble ver el tipo de cosas que ustedes están haciendo. Sería genial si el Uncoder tuviera algún feedback sobre errores de análisis o errores «desconocidos». Los he visto y, a veces, es difícil ver qué estás haciendo mal.¿Qué recomendarías a los especialistas en ciberseguridad que recién están aprendiendo a escribir reglas Sigma, algún consejo para dominar la escritura de Sigma?Recomiendo a estas personas el estudio de Sysmon a un nivel profundo y siempre aprender cómo piensan los atacantes y cómo se mueven.¿Has intentado usar Sigma UI? ¿Qué piensas, cómo podría mejorarse?Sigma UI es una herramienta poderosa y es simplemente perfecta. La usé para ver cómo el código sigma sin procesar se ve en ArcSight.¿Tienes un laboratorio? ¿Cómo pruebas tus reglas y qué fuentes de log prefieres trabajar?Tengo un laboratorio pequeño pero efectivo donde se prueban las reglas. Siempre prefiero los registros de Sysmon.Eres participante del Programa de Desarrolladores de SOC Prime, ¿qué piensas, puede el Programa de Desarrolladores ayudar a las organizaciones de todo el mundo a mejorar su ciberseguridad?TDM y el programa de desarrolladores de SOC Prime ayudarán mucho, y probablemente harán un gran cambio con la excelente idea de pagar dinero a los desarrolladores.En SOC Prime lanzamos el Programa de Recompensas por Amenazas que fomenta el intercambio de contenido entre profesionales de ciberseguridad. Ariel, ¿te gusta la idea de recompensar a los desarrolladores por compartir reglas Sigma y otros contenidos de detección de amenazas?Sí, 100%. Este es uno de los puntos que me convenció para unirme a este programa.¿Cuál sería tu recomendación para los jóvenes especialistas en ciberseguridad que recién están decidiendo qué camino elegir?Antes de elegir cualquier camino, recomiendo a los jóvenes entusiastas de la seguridad que se mantengan siempre informados y aprendiendo. Nunca es suficiente en este mundo.Ariel, eres el primer desarrollador que publica sus reglas en Twitter, y eso es genial. ¿Sería interesante para la comunidad de ciberseguridad tener un ‘feed’ en Twitter/Telegram, donde se publiquen informaciones sobre las nuevas reglas?Un botón de «compartir» con una vista previa de la regla sigma sería muy interesante para el TDM. Un feed también sería increíble. Esto probablemente impulse las reglas y los beneficios para los desarrolladores y SOC Prime también.Twitter… ¿cómo puedes controlar quién está leyendo tu feed? Si proporcionas alguna idea, lo que se necesita detectar, los malos podrían leer y usar esta información en contra de alguien más. A veces un buen enfoque puede usarse no de la manera correcta… ¿Qué piensas sobre esto?Estoy 100% de acuerdo con esto. No publico en Twitter algunas nuevas ideas hasta que creo algunas reglas sigma o contenido para mi trabajo. Esta es una buena manera de prevenir un mal uso de tus ideas.Tenemos una pregunta más específica para ti. El análisis de malware suele ser una acción reactiva y algunas organizaciones pueden haber sido hackeadas ya con ese malware. Ariel, ¿qué opinas sobre la detección predictiva? ¿Es posible? Si es así, ¿cómo buscas nuevas ideas que necesiten ser detectadas?La detección predictiva es complicada pero no imposible. Lo digo por la variedad de comportamientos del malware «en el entorno salvaje». Puedes lograr una buena matriz de predicción si tu organización se toma en serio la seguridad y si puedes usar aplicaciones para el análisis de malware como Sandboxes.