Entrevista con el Desarrollador: Sittikorn Sangrattanapitak
Hoy queremos presentar a nuestros lectores a uno de los nuevos autores de contenido de detecciĂłn en Threat Detection Marketplace. Conozcan a Sittikorn Sangrattanapitak, miembro activo del programa de recompensas para amenazas de SOC Prime.
Lee sobre el Programa de Recompensas para Amenazas – https://my.socprime.com/tdm-developers
Más entrevistas con desarrolladores del Programa de Recompensas para Amenazas – https://socprime.com/tag/interview/
Cuéntanos un poco sobre ti y tu trayectoria como profesional de la ciberseguridad.
Mi nombre es Sittikorn. Soy de Tailandia. Me interesĂ© por la ciberseguridad desde que estaba en la universidad. ComencĂ© mi trabajo en este campo como ingeniero de seguridad de la informaciĂłn. ProporcionĂ© soporte a los clientes para soluciones de seguridad como WAF, NGFW y SIEM. Me interesĂł especialmente la soluciĂłn SIEM porque agrega datos relevantes de mĂşltiples fuentes, mĂşltiples productos y luego correlaciona muchos eventos para identificar desviaciones de la actividad normal. Cuando cambiĂ© de trabajo, trabajĂ© en un MSSP local. Luego, en 2016, escuchĂ© por primera vez sobre SOC Prime cuando buscaba un paquete de caza para ArcSight. TrabajĂ© en muchos roles como ingeniero de SIEM, especialista en análisis SOC, analista de inteligencia de amenazas. Hoy en dĂa, trabajo como cazador de amenazas, investigador de inteligencia de amenazas e investigador de seguridad.
Sittikorn, una vez que te uniste al Programa de Recompensas para Amenazas, te convertiste en uno de los lĂderes en la contribuciĂłn de contenido de detecciĂłn de amenazas. ÂżQuĂ© te motiva a compartir tu contenido con la comunidad?
Los programas de recompensas por errores donde se necesitan habilidades de equipo rojo ya son bien conocidos. Me preguntaba si algunas empresas ya han creado un programa de recompensas para desafiar también a las habilidades del equipo azul. Es una buena manera de desarrollar tus habilidades, visión, nuevas ideas, y ganar dinero como pentester.
Cuando comencé un nuevo trabajo este año, enfrenté la necesidad de contenido de detección nuevo y recordé el Threat Detection Marketplace. Visité el sitio web de SOC Prime y decidà unirme a este programa. Mi experiencia en el Centro de Operaciones de Seguridad y Caza de Amenazas es de más de 10 años, y creo que puedo crear nuevo contenido de detección que sea útil para los miembros de la comunidad de Threat Detection Marketplace. Y este año, investigo ataques cibernéticos en la nube y quiero compartir mi experiencia con la comunidad para prevenir muchos ataques cibernéticos en la nube.
Escribes mucho contenido relacionado con la nube y eso es genial. ¿Cuál es la razón de esto?
Hoy en dĂa, la mayorĂa de las organizaciones se mudan a la nube porque son fácilmente gestionables, reducen costos y son escalables. Muchas personas todavĂa carecen de conocimiento y comprensiĂłn sobre la ciberseguridad de la nube, pero el propietario del negocio quiere entregar el producto lo más rápido posible a sus clientes. Esta razĂłn puede llevar a un nĂşmero de vulnerabilidades o debilidades que serán objetivo de los hackers para intentar penetrar en el sistema en la nube y robar tus datos. Es un objetivo fácil para un hacker si el administrador ignora la ciberseguridad sobre la nube. En el Ăşltimo año, una gran cantidad de informaciĂłn importante y datos de clientes ha sido filtrada de muchos sistemas en la nube como British Airways. Estas razones son por las que intento estudiar y encontrar nuevos mĂ©todos de detecciĂłn para mantenerme al tanto de la situaciĂłn actual.
¿Cuánto tiempo te tomó dominar la escritura de reglas Sigma? ¿Qué antecedentes técnicos se requieren para dominarlo? Sittikorn, ¿cuánto tiempo necesitas en promedio para escribir una nueva regla Sigma de IOC y una regla de caza de amenazas Sigma?
Básicamente, comencĂ© a aprender a escribir reglas Sigma el mes pasado. LeĂ un artĂculo sobre la escritura de Reglas Sigma en el sitio web de Thomas Patzke y revisĂ© muchas reglas Sigma en Threat Detection Marketplace y GitHub. IntentĂ© traducir mi regla para ArcSight SIEM a Regla Sigma para luego enviarla a Threat Detection Marketplace. Tuve que corregirla varias veces para obtener el estado de «aprobado», y eso me ayudĂł a entender mejor Sigma. En mi opiniĂłn, si quieres convertirte en un maestro, solo necesitas empezar a escribir una regla Sigma basada en el comportamiento o las fuentes de registro que entiendas muy bien. No llevará mucho tiempo.
El tiempo promedio requerido para escribir una nueva regla Sigma depende de la complejidad de la regla, el ejemplo del registro de eventos y las condiciones especĂficas para disminuir las detecciones falsas tambiĂ©n. Generalmente, tomarĂ© entre 15 a 60 minutos por regla.
Sittikorn, la pandemia es otro desafĂo para un profesional de la ciberseguridad ya que muchos actores de amenazas han aumentado sus actividades. CuĂ©ntanos cĂłmo influyĂł en tu trabajo diario.
Debemos pensar como un hacker. Creo que deberĂamos aumentar el monitoreo de seguridad sobre los canales remotos, la gestiĂłn de consolas en la nube, la gestiĂłn de clientes y monitorear la inteligencia de amenazas sobre la campaña de la Pandemia actualizada, luego tomar IoC para aplicar con la protecciĂłn de seguridad.
¿Cuál crees que es el mayor beneficio del Programa de Recompensas para Amenazas de SOC Prime?
El programa de recompensas por amenazas es un programa perfecto para los miembros del equipo azul para monetizar su experiencia en SOC y caza de amenazas. No es inferior a los programas de recompensas por errores para pentesters. Es una nueva pasión por aprender nuevos métodos de detección sobre nuevos ataques y nuevo malware y pensamiento creativo.
