Entrevista con el Desarrollador: Den Iuzvyk

[post-views]
abril 27, 2020 · 4 min de lectura
Entrevista con el Desarrollador: Den Iuzvyk

SOC Prime está presentando otra entrevista con un participante del Programa de Desarrolladores de Threat Bounty de SOC Prime (https://my.socprime.com/en/tdm-developers). Queremos presentarles a Den Iuzvyk, quien publicó más de 60 reglas comunitarias de la más alta calidad y valor de detección durante seis meses de su participación en el Programa Threat Bounty.Lea más entrevistas con desarrolladores de contenido en nuestro blog: https://socprime.com/en/tag/interview/

Cuéntanos un poco sobre ti y tu experiencia en la búsqueda de amenazas.

Mi nombre es Den Iuzvyk, soy de Kyiv, Ucrania, y tengo 34 años. Soy CTO en una empresa llamada Simplerity.

Comencé mi carrera en 2003 como desarrollador de software. Me interesé en la ciberseguridad en 2015. Más tarde, me convertí en cofundador de una empresa donde creamos una plataforma para el análisis de registros y la búsqueda de amenazas. Creé diversas herramientas de detección de malware, simuladores de ataques automatizados, verifiqué los sistemas de detección modernos en busca de debilidades.

Den, ¿cuál es la diferencia entre la búsqueda de amenazas y la detección de amenazas?

La búsqueda de amenazas es parte del proceso de detección de amenazas que se centra en la detección proactiva de amenazas que han pasado a través de los sistemas de seguridad y alarma existentes.La detección de amenazas es un conjunto de acciones que tienen como objetivo la detección de amenazas en cada etapa de su ciclo de vida.

En tu opinión, ¿qué hace a Sigma un instrumento tan eficiente para la búsqueda de amenazas?

Sigma es la elección ideal para un cazador de amenazas porque su formato de alto nivel permite usar, almacenar y compartir análisis sin estar vinculado a ningún backend en particular.Sigma ayuda a dejar de lado los nombres de campo en los registros y centrarse en los resultados. Mi parte favorita de Sigma son las “referencias”, la fuente que inspiró al autor para crear la detección.

¿Qué habilidades son necesarias para desarrollar reglas Sigma para la búsqueda de amenazas?

En primer lugar, es el enfoque analítico en el procesamiento de datos. Porque debes detectar patrones que puedes usar para crear detecciones efectivas.

La segunda habilidad es conocer los TTPs de los atacantes.

El tercer punto es un buen dominio de la disposición interna de los sistemas operativos.

El cuarto es la comprensión de la seguridad de la red y de los datos.

¿Qué tipos de amenazas son las más complicadas de detectar? Den, ¿tal vez puedas dar un ejemplo de la vida real?

Lo más difícil de detectar son los rootkits.Lo siguiente son los controladores firmados que se liberaron con errores que permiten explotarlos y trabajar directamente en el modo kernel, y como resultado, un estafador puede eludir los sistemas de seguridad.Luego vienen las amenazas con .NET Framework (AppDomainManagery la carga de ensamblados).Pero lo que puede mantenernos felices es el crecimiento de la comprensión de los vectores de amenazas probables, y como resultado, aparecen nuevas visibilidades como la integración de AMSI con la versión 4.8 de .NET, y ETW (EventTracing for Windows)

¿Cuál crees que es el mayor beneficio del Programa Threat Bounty de SOC Prime?

Desde la perspectiva del creador de reglas de detección, el Programa Threat Bountypresenta las necesidades de los clientes y permite profundizar en la investigación dondeobtienes conocimiento y experiencia, y eres recompensado por SOC Prime.

La fuga de datos es un problema muy común para muchas organizaciones ahora. ¿Qué medidas crees que podrían ser las más eficientes para evitar una violación de datos (si no es causada por empleados irresponsables)?

Depende de la estrategia elegida, que puede diferir según el tipo de empresa. Pero los siguientes pasos son esenciales:

Evaluación del sistema de seguridad actual, solución de problemas en las áreas de vulnerabilidad.

Clasificación de datos. Es muy importante saber dónde y qué información se almacena. No toda la información necesita ser protegida.

Clasificación de acceso. Es esencial saber quién tiene acceso a la información, tanto físico como de red.

Monitoreo continuo. Recolección y análisis de registros recibidos de almacenamiento de datos y estaciones de trabajo.

Educación e informar oportunamente al personal.

Encriptación. Todos los datos almacenados y transferidos deben estar encriptados.

Gestión de parches.

Como cazador de amenazas experimentado, ¿cuál crees que debería ser la prioridad número 1 para las organizaciones que quieren construir una defensa cibernética robusta? (y por qué)

Habilitar MFA 🙂En mi opinión, antes que nada, debes entender la importancia de cada paso. No hay una bala de plata mágica, es un proceso continuo.El enfoque proactivo sería la mejor elección aquí, aunque es bastante costoso al principio, es más rentable en el futuro.La prioridad en el desarrollo de un enfoque de ciberseguridad para una empresa es definir los activos críticos para el negocio de los que depende toda la operación empresarial.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas