Entrevista con el Desarrollador: Florian Roth

Seguimos escribiendo una serie de entrevistas con participantes del Programa de Desarrolladores (https://my.socprime.com/en/tdm-developers). La entrevista anterior está aquí: https://socprime.com/blog/interview-with-developer-lee-archinal/

Conoce a Florian Roth.

Florian Roth es CTO de Nextron Systems GmbH. Es el creador de APT Scanner THOR – Escáner de Actividad de Atacantes y Herramientas de Hackeo y el desarrollador del servicio de alimentación de reglas Yara hechas a mano más completo de Nextron – Valhalla.
Creó el proyecto Sigma junto con Thomas Patzke. Florian también es el autor de numerosos proyectos de código abierto en Github, incluyendo yarGen, LOKI IOC Scanner, yarAnalyzer, FENRIR (Bash IOC Scanner) y varios proyectos OSINT como APT Group Mapping (Google Docs), miembro de YARA Exchange.

Florian, ¿podrías contarnos un poco sobre ti y tu experiencia en el área de ciberseguridad?Comencé mi carrera como investigador ofensivo en Siemens en Frankfurt en 2003. Durante ese tiempo realicé muchas pruebas de penetración, ajusté sistemas IDS/IPS y construí soluciones de monitoreo de seguridad para clientes en el área de Frankfurt (bancos y otras grandes empresas). En 2012 experimenté mi primer incidente que no involucraba un brote de virus sino acciones humanas en forma de un incidente de seguridad persistente en una gran corporación alemana. Desde entonces trabajé para otros clientes con problemas similares y empecé a desarrollar herramientas, guías y mecanismos de detección para detectar este tipo de amenazas.Eres uno de los inventores de Sigma. ¿Puedes contar cómo fue la experiencia? ¿Cómo se te ocurrió la idea de hacer algo como Sigma?La idea nació mientras trabajaba en un conjunto de casos de uso para un manual de detección de amenazas de un cliente. El cliente me dio un conjunto de documentos PDF de diferentes proveedores y me pidió que extrajera y escribiera consultas de búsqueda para detectar estas amenazas en su nuevo sistema SIEM. Parecía ser un ‘desperdicio de esfuerzo’, extraer y escribir un conjunto de consultas de búsqueda específicas de SIEM que solo un cliente pueda usar. Siempre imaginé una impresión de mi trabajo en un archivador y pensé:
‘Qué desperdicio. Debe haber una mejor forma, más genérica, de expresar estas ideas de detección. Debe haber muchos otros consultores como yo en este planeta trabajando en los mismos documentos y las mismas consultas de búsqueda para diferentes sistemas SIEM. Si uno de nosotros pudiera expresar y compartir su método con los demás, quienes podrían convertir la forma genérica en una forma específica para su sistema objetivo, todos nos beneficiaríamos.’¿Qué piensas, cuán conveniente es Sigma como herramienta para escribir reglas de detección?Decidimos integrar características en el estándar que tienen un amplio soporte entre muchas plataformas diferentes de SIEM o de gestión de registros. Hemos excluido características específicas de SIEM que solo son compatibles con una o dos plataformas. De esta forma, mantenemos el estándar limpio y simple de escribir y leer. Imagina que incluso el modificador ‘regex’ recién integrado no es compatible con todos los backends aún. Por lo tanto, creo que es tan conveniente como podría ser para escribir reglas, pero algunas ideas complejas de detección no pueden expresarse.Florian, ¿recomiendas Sigma como herramienta para caza de amenazas?Sí. Como alentamos a las personas a escribir reglas Sigma para detectar comportamientos maliciosos genéricos, puede ayudarte a detectar amenazas que tu Antivirus u otras soluciones no detectan. El repositorio público contiene numerosas ideas de detección que tienen varios años de antigüedad pero detectan las campañas más recientes de Emotet y no producen falsos positivos. Estas son las reglas que nos enorgullecen y tienen el más alto valor para los nuevos usuarios. Imagina que la mayoría de las reglas Sigma son gratuitas y abiertas. Es el conocimiento de detección que los proveedores venden a un precio increíblemente alto. Con Sigma, puedes potenciar tu solución existente de gestión de registros y aplicar métodos de detección proporcionados por la comunidad sin costos adicionales. Aún mejor, con un presupuesto, puedes extender fácilmente estas reglas con ofertas comerciales como las reglas proporcionadas en el TDM de SOC Prime.No es un secreto que la popularidad de Sigma no solo se debe a que es una herramienta conveniente, sino también a que la comunidad comparte activamente su contenido con todos. Compartir es gratis, pero ¿te gusta la idea de que escribir contenido complejo y exigente no solo puede hacer el mundo más seguro, sino también generar dinero?Sí. Creo que ambas formas de compartir ideas de detección deberían coexistir. Es la forma natural en que los mercados evolucionan: se diversifican y crecen.¿Cómo tomas la decisión sobre qué regla crear?A menudo creo reglas para la comunidad. Solo en casos en los que pienso que un método es altamente específico, he dedicado mucho esfuerzo en crear la regla o el método está dirigido solo a clientes corporativos (por ejemplo, comportamiento relacionado con APT) decido crear una regla como contenido pago.¿Cómo eliges qué reglas serían para uso de la comunidad? ¿Cuáles son los principales criterios de estas reglas?Me gusta proporcionar reglas para amenazas actuales que son temas populares en Twitter. Por ejemplo, si alguien informa sobre una nueva amenaza y proporciona una muestra (coder de explotación o malware), enciendo mi VM de análisis, que tiene Sysmon instalado, ejecuto las muestras, reviso los registros locales, escribo una regla y la envío al repositorio público. Esto me lleva entre 10 y 30 minutos. Imagina que los usuarios que recuperan y aplican el repositorio público automáticamente pueden obtener un método para detectar esa amenaza en su SIEM en menos de una hora desde su aparición pública en Twitter. En el pasado, esto era casi imposible o requería muchos más recursos para monitorear canales públicos, analizar una amenaza y escribir tus propias consultas de búsqueda.¿Cuánto tiempo te lleva crear una nueva regla?Unos pocos minutos. Normalmente tomo una antigua que es similar a la que me gustaría escribir y la utilizo como plantilla. Tenemos más de 300 reglas para muchas fuentes de registros diferentes para elegir.¿Qué falta en Sigma UI para que comiences a usarla?Nada. Prefiero un editor de texto con soporte de sintaxis YAML ya que no necesito la asistencia de Sigma UI para escribir reglas válidas.Florian, como escritor de contenido, probablemente tengas un laboratorio. La pregunta es cómo pruebas tus reglas y qué fuente de registros prefieres usar.Tengo diferentes VMs. Las máquinas Windows tienen Sysmon instalado, las máquinas Linux tienen auditd configurado. Para ser honesto, a menudo no reenvío mis registros a nuestro sistema interno de gestión de registros, sino que verifico las reglas localmente con nuestro escáner, que es capaz de aplicar reglas Sigma en un endpoint.¿Y qué piensas, puede el programa de Desarrolladores ayudar a organizaciones de todo el mundo a mejorar su ciberseguridad?Sí, porque crea los incentivos necesarios para los investigadores de seguridad y todos obtenemos más contenido, gratuito, abierto y comercial.
Especialmente, los investigadores en el sector ofensivo podrían llenar su tiempo entre compromisos creando grandes reglas que conllevan a un ingreso estable. Esos nuevos autores de reglas, que no estaban en el mercado antes, agregan contenido a mercados como TDM y más contenido, incluso si tiene un costo, siempre es mejor. A menudo deben proporcionar pruebas de la calidad de sus reglas antes de que la gente comience a comprar parte de su contenido. Agregarán reglas gratuitas a sus artículos de investigación y publicaciones públicas. Todos ganan.
Las empresas pueden recurrir a fuentes de reglas curadas o utilizar conjuntos de reglas de código abierto en muchos repositorios diferentes. Pueden pagar a alguien más por la duración o instruir a sus propios empleados para que recojan y mantengan un flujo constante de nuevas reglas de detección de amenazas. Una variedad siempre creciente de fuentes, gratuitas y comerciales, proporciona la solución adecuada para cada organización y les permite mejorar su ciberseguridad.