Entrevista con el Desarrollador: Osman Demir

[post-views]
marzo 30, 2020 · 4 min de lectura
Entrevista con el Desarrollador: Osman Demir

Presentamos a su atención una nueva entrevista con el participante en el Programa de Desarrolladores de SOC Prime (https://my.socprime.com/en/tdm-developers). Conozca a Osman Demir.Cuéntanos un poco sobre ti y tu experiencia en la caza de amenazas.Hola, soy Osman Demir. Vivo en Estambul, Turquía, y tengo 25 años. Terminé mi educación en Ingeniería Informática en 2017 y trabajo como ingeniero de seguridad en una institución privada.
He estado lidiando con la caza de amenazas durante 2 años. Trabajo en un equipo SOC en la detección de amenazas actuales y su integración.
Sigo las noticias más importantes del mundo sobre la caza de amenazas, investigo métodos de grupos de ataque y desarrollo reglas de detección. Hago mi mejor esfuerzo para mantener el ritmo con los grupos de ataque.¿Cuál es la diferencia entre la caza de amenazas y la detección de amenazas?La caza de amenazas es el proceso de detectar el ataque lo antes posible antes de que los ataques que parecen ser una amenaza para la institución tengan éxito por completo. El factor humano es más importante en la caza de amenazas.
La detección de amenazas abarca los procesos generales de detección de un ataque. Es necesario tener un buen dominio de los productos de detección de amenazas y revisar bien los registros en el sistema.En su opinión, ¿qué hace de Sigma un instrumento tan eficiente para la caza de amenazas?Sigma ofrece a las personas un lenguaje universal. De esta manera, las reglas de Sigma se pueden integrar fácilmente en los sistemas SIEM sin importar qué producto sea.
Las instituciones pueden compartir fácilmente las reglas de detección de los ataques que han identificado con otras instituciones, independientemente del producto.
Gracias a la estructura simple y flexible de Sigma, se pueden escribir reglas completas.¿Qué habilidades son necesarias para desarrollar reglas Sigma para la caza de amenazas?En primer lugar, es necesario ser curioso y ser un investigador. Las reglas de amenaza de tendencia deben ser investigadas y se extraen métodos de detección. Los registros de Sysmon y Auditd deben ser bien conocidos. Los registros de acceso web deben ser dominados para detectar vectores de ataque que aparecen en el lado web. Generalmente, las fuentes de registro deben ser dominadas.¿Qué tipos de amenazas son las más complicadas de detectar? ¿Quizás puedas dar un ejemplo de la vida real?Las amenazas 0day son las más difíciles de detectar. Dado que no se publica información del ataque 0day, no se puede llevar a cabo una idea de los registros de eventos, solo se pueden escribir métodos de detección predictivos.
Si damos un ejemplo de la vida diaria, no se pudo escribir un método de detección para el ataque smbv3 RCE (CVE-2020-0796), solo se pueden escribir reglas de detección predictivas.¿Cuál crees que es el mayor beneficio del Programa de Recompensas de Amenazas de SOC Prime?Si doy un ejemplo de mí mismo, el Programa de Recompensas de Amenazas de Soc Prime me ayuda a mantener mi identidad como investigador.
Es un honor saber que tus reglas ayudan en los procesos de ciberseguridad de las empresas.
La parte más importante es que puedes ganar dinero con este programa.La fuga de datos es un problema muy común para muchas organizaciones ahora, ¿cuáles crees que podrían ser las medidas más eficientes para evitar la violación de datos (si no es causada por empleados irresponsables)?Los métodos de detección más efectivos para esto, debes usar el producto DLP y registrar el tráfico de salida de los usuarios como datos de paquete completo. De esta manera, puedes analizar el paquete que sale y mejorar las reglas de detección.
Los datos críticos (información personal, datos de clientes) deben ser bien monitoreados y el acceso no autorizado/horas anormales siempre deben ser cuestionados.Como cazador de amenazas experimentado, ¿cuál crees que debería ser la prioridad número 1 para las organizaciones que desean construir una defensa cibernética robusta? (y por qué)Una fuerte seguridad cibernética debe consistir en una comunidad activa de personas. Esto puede ser posible reuniendo a investigadores y desarrolladores.
Las inversiones en el producto no tienen sentido a menos que se realicen para la educación humana.

Saludos cordiales,
Osman Demir

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Entrevista con el Desarrollador de Threat Bounty – Mehmet Kadir CIRIK
Blog, Entrevista — 6 min de lectura
Entrevista con el Desarrollador de Threat Bounty – Mehmet Kadir CIRIK
Alla Yurchenko
Entrevista con el Desarrollador de Threat Bounty – Aung Kyaw Min Naing
Blog, Entrevista — 5 min de lectura
Entrevista con el Desarrollador de Threat Bounty – Aung Kyaw Min Naing
Alla Yurchenko
Entrevista con el Desarrollador de Threat Bounty – Mustafa Gurkan Karakaya
Blog, Entrevista — 5 min de lectura
Entrevista con el Desarrollador de Threat Bounty – Mustafa Gurkan Karakaya
Alla Yurchenko