Entrevista con el Desarrollador: Sittikorn Sangrattanapitak

Hoy queremos presentar a nuestros lectores a uno de los nuevos autores de contenido de detección en Threat Detection Marketplace. Conozcan a Sittikorn Sangrattanapitak, miembro activo del programa de recompensas para amenazas de SOC Prime.

Lee sobre el Programa de Recompensas para Amenazas – https://my.socprime.com/tdm-developers
Más entrevistas con desarrolladores del Programa de Recompensas para Amenazas – https://socprime.com/tag/interview/

Cuéntanos un poco sobre ti y tu trayectoria como profesional de la ciberseguridad.

Mi nombre es Sittikorn. Soy de Tailandia. Me interesé por la ciberseguridad desde que estaba en la universidad. Comencé mi trabajo en este campo como ingeniero de seguridad de la información. Proporcioné soporte a los clientes para soluciones de seguridad como WAF, NGFW y SIEM. Me interesó especialmente la solución SIEM porque agrega datos relevantes de múltiples fuentes, múltiples productos y luego correlaciona muchos eventos para identificar desviaciones de la actividad normal. Cuando cambié de trabajo, trabajé en un MSSP local. Luego, en 2016, escuché por primera vez sobre SOC Prime cuando buscaba un paquete de caza para ArcSight. Trabajé en muchos roles como ingeniero de SIEM, especialista en análisis SOC, analista de inteligencia de amenazas. Hoy en día, trabajo como cazador de amenazas, investigador de inteligencia de amenazas e investigador de seguridad.

Sittikorn, una vez que te uniste al Programa de Recompensas para Amenazas, te convertiste en uno de los líderes en la contribución de contenido de detección de amenazas. ¿Qué te motiva a compartir tu contenido con la comunidad?

Los programas de recompensas por errores donde se necesitan habilidades de equipo rojo ya son bien conocidos. Me preguntaba si algunas empresas ya han creado un programa de recompensas para desafiar también a las habilidades del equipo azul. Es una buena manera de desarrollar tus habilidades, visión, nuevas ideas, y ganar dinero como pentester.

Cuando comencé un nuevo trabajo este año, enfrenté la necesidad de contenido de detección nuevo y recordé el Threat Detection Marketplace. Visité el sitio web de SOC Prime y decidí unirme a este programa. Mi experiencia en el Centro de Operaciones de Seguridad y Caza de Amenazas es de más de 10 años, y creo que puedo crear nuevo contenido de detección que sea útil para los miembros de la comunidad de Threat Detection Marketplace. Y este año, investigo ataques cibernéticos en la nube y quiero compartir mi experiencia con la comunidad para prevenir muchos ataques cibernéticos en la nube.

Escribes mucho contenido relacionado con la nube y eso es genial. ¿Cuál es la razón de esto?

Hoy en día, la mayoría de las organizaciones se mudan a la nube porque son fácilmente gestionables, reducen costos y son escalables. Muchas personas todavía carecen de conocimiento y comprensión sobre la ciberseguridad de la nube, pero el propietario del negocio quiere entregar el producto lo más rápido posible a sus clientes. Esta razón puede llevar a un número de vulnerabilidades o debilidades que serán objetivo de los hackers para intentar penetrar en el sistema en la nube y robar tus datos. Es un objetivo fácil para un hacker si el administrador ignora la ciberseguridad sobre la nube. En el último año, una gran cantidad de información importante y datos de clientes ha sido filtrada de muchos sistemas en la nube como British Airways. Estas razones son por las que intento estudiar y encontrar nuevos métodos de detección para mantenerme al tanto de la situación actual.

¿Cuánto tiempo te tomó dominar la escritura de reglas Sigma? ¿Qué antecedentes técnicos se requieren para dominarlo? Sittikorn, ¿cuánto tiempo necesitas en promedio para escribir una nueva regla Sigma de IOC y una regla de caza de amenazas Sigma?

Básicamente, comencé a aprender a escribir reglas Sigma el mes pasado. Leí un artículo sobre la escritura de Reglas Sigma en el sitio web de Thomas Patzke y revisé muchas reglas Sigma en Threat Detection Marketplace y GitHub. Intenté traducir mi regla para ArcSight SIEM a Regla Sigma para luego enviarla a Threat Detection Marketplace. Tuve que corregirla varias veces para obtener el estado de «aprobado», y eso me ayudó a entender mejor Sigma. En mi opinión, si quieres convertirte en un maestro, solo necesitas empezar a escribir una regla Sigma basada en el comportamiento o las fuentes de registro que entiendas muy bien. No llevará mucho tiempo.

El tiempo promedio requerido para escribir una nueva regla Sigma depende de la complejidad de la regla, el ejemplo del registro de eventos y las condiciones específicas para disminuir las detecciones falsas también. Generalmente, tomaré entre 15 a 60 minutos por regla.

Sittikorn, la pandemia es otro desafío para un profesional de la ciberseguridad ya que muchos actores de amenazas han aumentado sus actividades. Cuéntanos cómo influyó en tu trabajo diario.

Debemos pensar como un hacker. Creo que deberíamos aumentar el monitoreo de seguridad sobre los canales remotos, la gestión de consolas en la nube, la gestión de clientes y monitorear la inteligencia de amenazas sobre la campaña de la Pandemia actualizada, luego tomar IoC para aplicar con la protección de seguridad.

¿Cuál crees que es el mayor beneficio del Programa de Recompensas para Amenazas de SOC Prime?

El programa de recompensas por amenazas es un programa perfecto para los miembros del equipo azul para monetizar su experiencia en SOC y caza de amenazas. No es inferior a los programas de recompensas por errores para pentesters. Es una nueva pasión por aprender nuevos métodos de detección sobre nuevos ataques y nuevo malware y pensamiento creativo.