Entrevista con el Desarrollador: Sreeman Shanker

Conoce a Sreeman, uno de los participantes más activos de SOC Prime Programa de Recompensas de Amenazas. Sreeman ha estado participando en el Programa de Recompensas de Amenazas desde diciembre de 2019.

Antes de comenzar a publicar su propio contenido desarrollado en el Mercado de Detección de Amenazas, Sreeman había contribuido con una gran cantidad de cambios y mejoras a las traducciones del contenido existente de TDM para Azure Sentinel y Microsoft Defender ATP.

Consulta el enlace para ver las Reglas desarrolladas por Sreeman: https://tdm.socprime.com/?searchValue=tags.author:sreeman

Sreeman, cuéntanos un poco acerca de ti y de tu experiencia en ciberseguridad.

Mi primera introducción a la seguridad fue cuando vi la película favorita de culto «Wargames». Inmediatamente supe que la seguridad de la información era lo que iba a especializarme cuando asistiera a la Universidad. He estado en el campo de la seguridad por casi 6 años, comenzando como analista de seguridad y actualmente haciendo más caza de amenazas y respuesta a incidentes. Paso demasiado tiempo a la semana leyendo, investigando y tratando de entender la lógica de nuevos métodos de explotación. También soy un miembro activo del equipo de la conferencia de seguridad Hack In The Box.

¿Qué tan difícil es dominar el lenguaje Sigma teniendo experiencia en la escritura de reglas para diferentes sistemas de seguridad?

Honestamente, es tan fácil como aprender a andar en bicicleta. Una vez que entiendes lo básico y le quitas las ruedas de entrenamiento, es prácticamente lo mismo avanzar ya que el formato y las sintaxis se vuelven familiares rápidamente. Es una sorpresa que nunca se haya creado mucho antes, pero Florian Roth pensó fuera de lo convencional y tuvo la idea que realmente ayuda a todos los que trabajan en un equipo azul/entorno SOC. Los diferentes SIEM tienen diferentes maneras de escribir reglas, pero la lógica central es esencialmente la misma. Esto es exactamente lo que hace SIGMA. Solo estamos escribiendo lo que la estrategia de detección necesita ser en términos sencillos, y luego la gente simplemente lo convierte a su lenguaje de consulta SIEM.

Admito que todavía cometo una serie de errores de sintaxis, y estoy seguro de que las personas en TDM probablemente están molestas por mi imprudencia, pero agradecido de que se tomen el tiempo para hacerme saber qué está mal para que pueda corregirlo.

Participas activamente en el desarrollo de la comunidad: no solo publicas tu contenido de detección sino que también revisas otras reglas publicadas por la comunidad y ofreces tus propias traducciones a las plataformas si la regla no puede traducirse automáticamente mediante Uncoder. ¿Cuánto tiempo toma eso?

Como se mencionó antes, la lógica transmitida por una regla SIGMA es bastante fácil de entender. Si sabemos de qué trata la regla, es muy sencillo replicarla en otras plataformas. Saber cómo escribir consultas eficientes en esa plataforma es lo que dicta el tiempo. Algunas consultas pueden tomar tan solo un par de minutos, y otras un poco más.

Todo el contenido de detección de amenazas que contribuyes al Mercado de Detección de Amenazas está disponible de forma gratuita y ayuda a los especialistas en ciberseguridad de todo el mundo a detectar amenazas. ¿Qué te motiva a publicar solo reglas comunitarias?

Lo grandioso de la comunidad de seguridad es que todos comparten su conocimiento y hallazgos. Encuentras personas como Samir Bousseaden, Florian Roth, @hexacorn, Oddvar Moe y muchos más que se toman el tiempo para explicar y demostrar un exploit y también escribir reglas para cazar. He aprendido mucho de todas estas personas, y sin pagar un centavo. Siento que es justo que contribuya de vuelta a la comunidad sin pedir nada después de absorber todo este conocimiento.

¿Cuál crees que es el mayor beneficio del Programa de Recompensas de Amenazas de SOC Prime?

Es una plataforma realmente buena (¿quizás la única?) que ayuda a los equipos azules/cazadores de amenazas de todo el mundo a llegar a un solo panel de vidrio e identificar y usar las reglas de detección de amenazas que necesitan. No solo eso, podría ser el repositorio más grande del mundo de reglas de detección que atienden a todos los SIEM/recopiladores de registros que existen. Un SOC que está comenzando puede aprovechar estas reglas y obtener una ventaja inmediata en la madurez de sus reglas. El mapeo MITRE ATT&CK también permite a los equipos incorporar reglas de detección que son adecuadas para su industria y para aumentar las reglas de detección para tácticas que estaban ausentes. SOC Prime y los desarrolladores independientes están agregando reglas a diario basadas en nuevos hallazgos de seguridad.

Además, el mercado de TDM permite a las organizaciones solicitar reglas de detección que estén más adaptadas a sus necesidades organizacionales (reglas específicas de APT que pueden no estar disponibles). Esto no solo proporciona un beneficio a la organización, sino como incentivos a los desarrolladores que crean reglas. Piense en ello como un programa de «recompensa por errores» para reglas de detección, ¡lo cual no creo que muchas otras plataformas ofrezcan!

Consulta nuestro último resumen de reglas y mira el ejemplo de contenido desarrollado por Sreeman: https://socprime.com/en/blog/rule-digest-trojans-cyberspies-and-raticate-group/

Lee entrevistas con otros desarrolladores: https://socprime.com/en/tag/interview/