Entrevista con el Desarrollador: Nate Guagenti

Conoce a Nate GuagentiDurante más de una década, Nate ha implementado e ingenierizado SIEMs de red y endpoint que se han escalado a varios TB/día de ingesta, mientras simultáneamente usa y entrena a otros en la solución implementada. Como Nate ha trabajado en todas las facetas de IT, agrega la experiencia única de alguien que ha realizado tanto monitoreo de seguridad de endpoint como de red. Su trabajo en la caza de amenazas y detección de amenazas internas se ha mostrado en varias conferencias. Nate es un contribuyente al proyecto de código abierto HELK (https://github.com/Cyb3rWard0g/HELK), que se centra en la caza de amenazas a través de datos de endpoint usando Elastic Stack, así como el marco SIGMA, que es un proyecto de código abierto que estandariza firmas y métodos de detección.Nate, cuéntanos sobre tu experiencia en ciberseguridad y por qué decidiste enfocarte en soluciones de código abierto como Elastic.Comencé mi carrera en ciberseguridad en 2012 donde trabajé como cliente gubernamental. A partir de ahí, pasé de ser analista de SOC a análisis de malware. Con el tiempo, esto se expandió a la caza de amenazas y roles que incluían la ingeniería de implementaciones de sensores NSM Zeek (Bro) de más de 10 Gbps y clústeres de Elastic.

Como defensor, nos enfrentamos a una montaña de desafíos, muchos de los cuales están fuera de nuestro control. Sin embargo, hay cosas que podemos controlar y solucionar, y no podemos esperar hasta el próximo trimestre para una corrección o característica de un proveedor. Implementar software de código abierto, como Elastic, me permitió corregir brechas defensivas críticas al día siguiente. Además, al eliminar la barrera financiera para usar y aprender el producto, me permitió acelerar mi comprensión desde casa.En tu opinión, ¿cuáles son las tendencias más importantes en la caza de amenazas en la industria ahora?La industria ya ha demostrado que el problema de la recolección (telemetría) y los grandes datos se puede resolver. Esto ha permitido que muchas tendencias y procesos evolucionen, maduren y existan. Una de estas tendencias es la documentación de datos (mostrada en OSSEM por @Cyb3rWard0g), la normalización de datos y los lenguajes de consulta estandarizados (SIGMA). Además, se está explorando la telemetría incorporada para reemplazar o complementar soluciones empresariales y se comparte abiertamente. A cambio, las personas ahora pueden validar, explorar y usar estos datos compartidos para construir detecciones y modelos sin la necesidad de soluciones empresariales costosas o un entorno de laboratorio grande. Además, la comunidad está construyendo detecciones más amplias en torno a tácticas y técnicas. Algo como el marco Mitre ATT&CK es un ejemplo perfecto. Las reglas SIGMA existentes para el descubrimiento de entornos o procesos de generación de Microsoft Office lo muestran en práctica. Por último, veremos un enfoque continuo en la representación gráfica, el pivote y las uniones de datos como mejoras para la caza. Ambos, que creo que la plataforma HELK ha hecho un gran trabajo al mostrar e implementar a través de Jupyter Notebooks.Como arquitecto de soluciones, ¿crees que Sigma puede cambiar la forma en que las organizaciones construyen su defensa cibernética?Durante más de 20 años con reglas snort y más de 10 años para reglas yara, la industria no ha tenido un avance universal como SIGMA. No solo eso, sino que la industria nunca ha tenido un formato universal para logs y telemetría. ¡Sobre lo que se construye fundamentalmente la ciberseguridad! Además, es importante, como empresa, nunca querrás casarte con una sola tecnología. Tus analistas/operadores deben centrarse en implementar detecciones, no en aprender tu solución de registro. Ya sea que hoy estés usando Elastic, Splunk o QRadar y mañana venga una nueva solución, puedes estar seguro de que SIGMA la apoyará.

Independientemente de mi opinión, la comunidad ya ha mostrado que SIGMA seguirá cambiando la forma en que detectamos amenazas. Dos de las mejores soluciones de caza de código abierto, HELK y SecurityOnion, han implementado SIGMA y hay tutoriales y blogs sobre SIGMA de proveedores empresariales.¿Cómo tomas una decisión sobre qué reglas u otros tipos de contenido de detección de amenazas deberían implementarse primero?Creo que esto se explica mejor con las verdades fundamentales de la industria, a) no puedes proteger todos los activos y b) descubre qué es importante para tu negocio. Defiende lo que es la amenaza más plausible e impactante. Por ejemplo, mi experiencia defendiendo una red de gestión puso esta verdad justo en mi cara. El administrador del dominio no era la amenaza más preocupante ni tampoco el malware tradicional. Tenía que enfrentarme a usuarios ya privilegiados. ¿Era ese cambio de configuración o inicio de un proceso anormal una solución de problemas o el inicio de una intención maliciosa? Con cientos de estos usuarios tuve que reducir el alcance de lo que estaba defendiendo. Algo como el carácter destructivo o la degradación de la red, el descubrimiento de entornos, la lectura de documentos con necesidad de saber o los cambios de configuración maliciosos. Quizás un ejemplo más práctico podría ser si tienes servidores de intercambio/correo implementar las reglas SIGMA que cubren la creación de procesos o modificaciones de archivos en estos servidores.¿Qué tipos de ciberamenazas crees que representarán los mayores riesgos para las organizaciones en el próximo año? ¿Alguna sugerencia sobre cómo mejorar las capacidades de detección contra dichas amenazas?Ataques a servidores web, abuso de APIs y robo/abuso de credenciales de soluciones en la nube. En cuanto a ataques web y APIs, esto continuará madurando en SIGMA. Tiene la capacidad de compartir reglas similares a WAF, reglas de procesos/endpoints, junto con reglas más avanzadas, por ejemplo: una sola IP causando diez errores 400/404 en un servidor web seguidos de un error 500 de su servidor web. Esto podría ser indicativo de que un atacante está pasando de explorar a atacar con éxito ese servidor.

Además, los ICS (sistemas de control industrial) seguirán siendo un riesgo continuo. A pesar de que ICS no es mi área de especialización, ya veo las posibilidades de detección para esta industria con el soporte de logs de Zeek en SIGMA. Zeek tiene analizadores para muchos de los protocolos ICS. A medida que las empresas implementan registros Zeek y la comunidad escribe reglas SIGMA para ICS, creo que el resultado se explica por sí mismo.¿Qué problemas enfrentan generalmente las organizaciones cuando intentan pasar de una defensa cibernética reactiva a proactiva?Creo que decidir qué priorizar e incluso por dónde empezar se convierte en un desafío para todos. Muchas cosas que mencioné en la pregunta 4 también son muy ciertas para esta pregunta. Después de que descubras tus activos críticos, puede haber un gran obstáculo para validar la recolección de registros/telemetría y cualquier analítica/detección correspondiente. Sin embargo, la combinación de marcos de prueba de equipos rojos atómicos, conjuntos de datos de código abierto (Mordor) y reglas de la comunidad reduce considerablemente este obstáculo.Nate, ¿cuál sería tu recomendación para los jóvenes especialistas en ciberseguridad que están decidiendo qué camino elegir?Primero, haz un seguimiento de algunos de tus objetivos y cuando los logres. Toma la mayor cantidad de notas (en línea) que puedas. Aprenderás tanto y tan rápido y te enfrentarás a muchas cosas difíciles en el camino. Por lo tanto, es importante recordarte a ti mismo cuán lejos has llegado. Las notas las consultarás a lo largo de toda tu carrera.

Desde una perspectiva de aprendizaje, ingresa a Twitter y sigue a tantos investigadores y empresas tecnológicas como puedas. A partir de ahí, sigue y lee sus blogs y tutoriales utilizando un lector RSS. Hay muchos gigantes en esta industria, puedes ser fácilmente uno solo con estar en sus hombros. Solo asegúrate de siempre dar crédito y no olvidar tus humildes comienzos.¿Qué piensas, puede el Programa de Amenazas Bounty de SOC Prime ayudar a las organizaciones a detectar amenazas de manera más eficiente?El Programa de Amenazas Bounty proporciona beneficios similares a cómo los conjuntos de reglas IDS ya se usan en miles de organizaciones (es decir, conjuntos de reglas de Emerging Threat o Sourcefire). Sin embargo, hay un beneficio único de tener la capacidad de usar detecciones de investigadores que trabajan en varias industrias de todo el mundo. Además, los investigadores que escriben el contenido son esencialmente sus propios entidades/negocios dentro del programa de SOC Prime. Similar a cómo funciona Etsy, los consumidores se benefician de tiendas motivadas que serían los investigadores en este caso.

La entrevista anterior con Thomas Patzkke está aquí: https://socprime.com/en/blog/interview-with-developer-thomas-patzke/