Entrevista con el Desarrollador: Roman Ranskyi

Hoy queremos presentar a nuestros lectores a uno de los autores de contenido de detección cuyo nombre pueden ver en los Leaderboards del SOC Prime Threat Detection Marketplace. Conozcan a Roman Ranskyi, ingeniero desarrollador de contenido/caza de amenazas en SOC Prime.

Roman, cuéntanos un poco sobre ti y tu experiencia en ciberseguridad

Me interesé en la seguridad de la información en el año 2008, cuando solía pasar tiempo en foros de culto de la época como hackzona, zloibiz, antichat, y por un tiempo incluso moderé uno de los hilos del foro. Mientras estudiaba en la universidad, trabajé como administrador de sistemas. También enseñé clases de laboratorio de Cisco CCNA y cursos de fundamentos de seguridad de la información práctica.

Más tarde, comencé a trabajar en una empresa integradora donde trabajé como ingeniero y preventa para soluciones de seguridad, también me ocupaba de todas las soluciones, AV, DLP, NGFW, diferentes sandbox, sistemas de protección contra ataques DDoS. Obtuve varias certificaciones como lo requiere el negocio – Arbor, Fireeye. Y la segunda realmente despertó mi interés con sus fascinantes informes en su blog, y las tecnologías parecían revolucionarias. También subí al escenario en varias conferencias cerradas para socios y clientes donde intenté contar no solo sobre nuestras soluciones, sino también sobre técnicas, métodos, y vectores de atacantes y mercados grises. Algunas presentaciones aún están disponibles en mi perfil de LinkedIn.

¿Y cómo evolucionó tu hobby hacia la caza de amenazas?

Tomé un curso de Certified Ethical Hacking, que encontré bastante teórico e incluso aburrido debido a la falta de tareas prácticas. Siempre he mantenido la opinión de que para saber defenderse, debes saber cómo atacar. Tenía el hábito de quedarme hasta tarde en nuestro laboratorio donde probábamos soluciones que presentamos a clientes y probamos varios escenarios de ataques reales para estudiar la reacción en detalle e intentar eludir las medidas de seguridad. Entre tanto, estudié materiales de cursos de Offensive Security (PWK), cursos de SANS y otros.

Después de la empresa integradora de sistemas, estuve trabajando para una empresa donde me encargaba del desarrollo como Ingeniero Senior de Seguridad de la Información. Luego, me uní a SOC Prime como Ingeniero Desarrollador de Contenido/Caza de Amenazas.

¿Qué es la caza de amenazas para ti?

Básicamente, la caza de amenazas surge de la informática forense y la respuesta a incidentes. Se trata de todos los conocimientos y análisis en todo el entorno. La caza de amenazas no consiste en la investigación de incidentes, es una búsqueda proactiva de amenazas conocidas y desconocidas, por lo que un cazador de amenazas no puede simplemente sentarse y esperar hasta que algo suceda.

En tu opinión, ¿cuáles son las habilidades necesarias para un cazador de amenazas?

Por un lado, debes pensar como un atacante: cómo puedes lograr el objetivo, cómo eludir las medidas del equipo azul, y pasar desapercibido.

Por otro lado, debes tener una forma de pensar analítica, tener conocimiento de Big Data, y tener un buen dominio de diferentes instrumentos aunque sean bastante similares.

En resumen, es una mezcla de habilidades del equipo rojo y del equipo azul.

Roman, ¿es posible prever ataques de diferentes actores de amenazas y cuál sería tu recomendación para mejorar la defensa contra sus herramientas? ¡Ejemplos serían geniales!

Es imposible predecir todas las amenazas. En gran medida, el éxito de un ataque depende del conocimiento del área temática. Y hablando de una infraestructura corporativa en general, donde hay protección, existe una elusión.

Hablando de infraestructuras de dominio que son vitales para grandes empresas, lo primero es una buena configuración, incluyendo endurecimiento y auditorías extendidas. Me gusta el concepto de Red Forest Design, y si haces todo bien, puedes detectar casi todos los pasos y actividades de un atacante.

Roman, cuéntanos más sobre el tipo de Sigma como Threat-Hunting Sigma, ¿cuál es el valor principal de esta herramienta y cómo puede ayudar a las organizaciones a mejorar sus capacidades de detección?

El valor principal de Sigma es que puedes apegarte a ciertos patrones de actividad anormal que puedes usar como un punto de pivote para un buceo más profundo, y como consecuencia, aprobar o rechazar el hecho de actividad sospechosa.

En tu opinión, ¿puede el contenido y la experiencia compartida del Programa de Recompensas por Amenazas de SOC Prime dentro de la comunidad de ciberseguridad y por qué es importante?

Threat Bounty es un lugar perfecto con competencia saludable para monetizar tu experiencia de caza de amenazas. Inspira a buscar varios nuevos métodos de detección para ataques conocidos y novedosos.

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad de TDM.