Entrevista con el Desarrollador: Lee Archinal
Estamos comenzando una serie de entrevistas con participantes del Programa de Desarrolladores (https://my.socprime.com/en/tdm-developers) para presentarles a estas maravillosas personas que están buscando en la web amenazas relevantes y crean contenido único para su detección. ¡Conozcan a Lee Archinal!
Hola Lee, espero que hoy estés lo suficientemente inspirado para escribir un poco sobre ti y tu experiencia con el Programa de Desarrolladores.
Tómate un café y por favor cuéntame un poco acerca de tu experiencia en ciberseguridad.
Mi experiencia en ciberseguridad comenzó en 2015, cuando dejé mi posición anterior como Administrador de Red Junior. Un muy buen amigo mío escuchó que estaba buscando el próximo paso en mi carrera y me introdujo en la vida como Analista de Seguridad trabajando en un Centro de Operaciones de Seguridad. ¡Desde entonces nunca miré atrás! Comencé como analista de nivel I simplemente respondiendo a eventos de casos de uso cuando me topé con Sysmon, lo cual dio a mi carrera un enfoque y un camino. Comencé a investigar y probar Sysmon en mi ordenador personal y luego me trasladé a un grupo de prueba en mi organización y finalmente terminé desplegando Sysmon a nivel empresarial y se me dio el título (responsabilidad) de E.M.P del punto final (todavía intento estar a la altura de ese título). Desde entonces también se me dio la responsabilidad de comenzar a crear contenido en torno a la detección de puntos finales, lo que me llevó a SOC Prime. Luego, el camino tomó otro giro cuando creé un laboratorio de malware en el trabajo y comencé a detonar y analizar diferentes piezas de malware y diferentes técnicas de ataque (Pruebas Rojas). Eso nos lleva a donde estoy hoy y mi objetivo es convertirme en un analista más completo e intentar obtener experiencia en más que solo los puntos finales.
Por favor, cuéntanos sobre Sigma – ¿cuál fue tu primera experiencia con Sigma, cuándo comenzaste a usarlo?
Comencé a investigar Sigma en 2017. Un colega analista había regresado de una conferencia de seguridad y me dijo que debería interesarme por SOC Prime así como por el lenguaje Sigma. Una vez que aprendí lo que SOC Prime ofrecía, principalmente el Mercado de Detección de Amenazas, me enganché. Continué investigando Sigma mientras Jorda Camba se comunicaba conmigo. Discutimos las capacidades de SOC Prime y cómo Sigma podría ser una herramienta poderosa al diseñar contenido. Una vez que obtuve la idea principal y un poco de experiencia, comencé a diseñar contenido para mi SOC estrictamente en Sigma. Esto nos daría una flexibilidad futura cuando se trata de qué SIEM usamos Y me proporcionó mucha experiencia desarrollando en el lenguaje Sigma.
¿Qué hay de tu experiencia con Sigma UI? ¿Tienes alguna idea sobre cómo hacerlo más útil/conveniente para los desarrolladores?
Desde que comencé a escribir en Sigma a principios de 2018, he creado muchas piezas de contenido usándolo. Mi SOC ahora tiene un buen repositorio de las reglas que creé en caso de que alguna vez cambiemos de SIEM y mantengamos el contenido que aún tenemos. La única cosa en la que puedo pensar para aumentar la conveniencia para los desarrolladores es ya sea posibles hojas de referencia sobre los mapeos de campos de Sigma a otros SIEMs (principalmente para un analista o investigador junior, como yo, que no tiene mucha experiencia fuera de dos SIEMs) o, en el sitio Uncoder.io tal vez proporcionar menús desplegables o pestañas para dar a los desarrolladores posibles ideas de qué campos podrían utilizarse. Personalmente, realmente me he quedado con los campos que conozco pero en el futuro quiero aprender más.
¿Cuánto tiempo te lleva crear una regla?
Dependiendo de cuál sea mi fuente, puedo crear una regla en menos de 10 minutos (esto sería de un informe que es MUY analítico) hasta más de 4 horas. Las reglas que me llevan horas crear son las reglas cuya fuente es una pieza de malware que he descargado de una fuente, como el sitio Any.Run. Descargo múltiples piezas que sean del mismo tipo, las detono en un sandbox y en un laboratorio de malware. De esta manera, puedo tomar los resultados del sandbox, compararlos con los resultados manuales y encontrar los procesos y acciones comunes. Una vez que me siento cómodo con mis resultados (horas después) escribo la regla en Sigma y luego la traduzco al SIEM de elección. Luego borro todos los datos y ejecuto nuevamente el malware desde un snapshot y pruebo mi traducción Sigma para determinar si puede encontrar los resultados que espero. Si lo hace, lo publico y si no, comienzo de nuevo.
¿Cómo tomas la decisión de qué regla crear?
Realmente no decido, dejo que internet lo haga. Me mantengo al tanto de sitios web de seguridad y sus informes y si leo sobre un nuevo malware, hago lo posible por encontrar una muestra o un informe analítico y lo creo. Una vez que he agotado estos informes (lo que rara vez sucede) entonces recurro al Mercado de Detección de Amenazas de SOC Prime. Después de que Jordan me introdujera en las Pruebas Rojas de RedCanary, mi objetivo es crear contenido que refleje el lado del equipo azul de esas pruebas rojas. Mi registro principal, por ahora, es Sysmon, así que mucho de mi contenido será contenido de detección de puntos finales.
¿Qué piensas, puede el Programa de Desarrolladores ayudar a las organizaciones de todo el mundo a mejorar su ciberseguridad?
Es un fácil “Sí”. El Programa de Desarrolladores está ofreciendo un asiento abierto a desarrolladores de todo el mundo que tienen diferentes niveles de experiencia para ayudar a mantener el ritmo con los actores maliciosos. Un asiento en el Programa de Desarrolladores no es solo un honor, sino realmente una responsabilidad para los equipos de seguridad y organizaciones alrededor del mundo, y no debe ser tomado a la ligera.
Puedes explorar el contenido de detección desarrollado por Lee Archinal aquí.
Entrevistas con otros participantes en el Programa de Recompensas por Amenazas: https://socprime.com/tag/interview/
