Entrevista con el Desarrollador: Thomas Patzke

Seguimos entrevistando a los desarrolladores de nuestro Programa de Recompensas de Amenazas (https://my.socprime.com/en/tdm-developers) para animar a los profesionales de la ciberseguridad a desarrollar más reglas Sigma, compartir su contenido de detección de amenazas y construir una comunidad más fuerte. La entrevista anterior está aquí https://socprime.com/blog/interview-with-developer-florian-roth/

Conozca a Thomas Patzke

Thomas es uno de los expertos más inspiradores en la comunidad de ciberseguridad, con más de 13 años de experiencia en el área de seguridad de la información, trabaja como blue teamer y cazador de amenazas en ThyssenKrupp CERT y es el creador de Sigma junto con Florian Roth. Thomas Patzke no solo es un colaborador del proyecto Sigma, sino también un desarrollador experimentado que escribe el código para Sigmac y comparte herramientas relacionadas con la ciberseguridad con la comunidad (https://gist.github.com/thomaspatzke).

Cuéntanos un poco sobre ti y sobre tu experiencia en Caza de Amenazas.

Comencé a trabajar en seguridad de la información en 2006 como consultor en una amplia gama de proyectos. Rápidamente, pasé a la seguridad ofensiva, concretamente la seguridad de aplicaciones y ocasionalmente hice análisis de logs y forense en proyectos de respuesta a incidentes. Incluso cuando estos trabajos IR eran bastante pequeños, las tareas eran muy interesantes y mi interés en temas defensivos ha crecido con el tiempo y obtuvo un impulso en 2015 cuando empecé a trabajar en un CERT y continuamente estuve en contacto con incidentes interesantes y actores de amenazas. Escarbar en enormes cantidades de datos para encontrar un atacante me fascinó desde el principio y finalmente, me cambié completamente de la seguridad ofensiva a la caza de amenazas y respuesta a incidentes.

Eres uno de los inventores de Sigma, ¿cuánto tiempo tomó convertir la idea de Sigma en un concepto completo? Thomas, ¿por qué se eligió el nombre «Sigma»? ¿Esperabas en ese entonces que Sigma sería utilizado por miles de profesionales de ciberseguridad de todo el mundo?

Construir Sigma fue un proceso fluido y muy ágil. Cuando Florian me contactó por primera vez con la idea de un formato de firma para eventos de logs, sus ideas ya eran muy concretas. Refinamos esta idea juntos enviando mensajes de voz de un lado a otro y al día siguiente, Florian ya escribió las primeras reglas Sigma (https://github.com/Neo23x0/sigma/commit/87deb349adb22331aae1b923420d382fea278d2c) que no difieren mucho de cómo se escriben las reglas Sigma hoy. El nombre «Sigma» fue idea de Florian y, según lo conozco, seguramente hay una historia detrás, pero debes preguntarle a él para saberla 😉 Me gustó el nombre y así lo decidimos.

En el tiempo siguiente, refinamos aún más Sigma y descubrimos muchos desafíos en la compartición de firmas de logs, como diferentes convenciones de nombres de campos, y los resolvimos en el lenguaje de firmas y herramientas de conversión. Después de dos a tres meses teníamos algo que considerábamos listo para publicar, pero incluso después del lanzamiento inicial, se agregaron nuevos conceptos y también se agregarán en el futuro.

Esperaba que Sigma fuera útil para algunas personas porque se construyó sobre el dolor que Florian y yo experimentamos manejando incidentes y sabíamos que otras personas en este área tenían el mismo dolor. La retroalimentación positiva de tanta gente y la adopción por equipos de respuesta a incidentes de varias organizaciones superó con creces mis expectativas.

Thomas, ¿cuáles son los principales beneficios de Sigma como herramienta de caza de amenazas?

El principal beneficio de Sigma radica en la distribución de un resultado de hacer caza de amenazas, firmas de logs para eventos específicos. Si es posible expresarlo como una regla Sigma, puedes distribuirlo fácilmente en una organización con una infraestructura de detección heterogénea. Es usual en grandes organizaciones tener diferentes sistemas SIEM debido a una infraestructura de TI que ha crecido históricamente o porque se usan diferentes soluciones para diferentes propósitos. Con Sigma, tienes que escribir la regla una vez y puedes convertirla en una consulta de Splunk y ArcSight para los SIEMs, una consulta de Elasticsearch para el Data Lake, una línea de comando Grep o PowerShell para triar un sistema sospechoso y compartirlo con la comunidad.

¿Cuál crees que es la parte más complicada y que consume más tiempo al escribir nuevas reglas Sigma y cuánto tiempo te lleva en promedio escribir una nueva regla Sigma?

Para mí, solo toma unos pocos minutos escribir una regla Sigma, que es solo una pequeña fracción del tiempo que usualmente paso en la investigación que lleva a la firma de logs. Florian y yo pusimos algo de esfuerzo en diseñar Sigma para ser amigable para humanos y fácil de escribir. Creo que estoy demasiado sesgado para identificar partes complicadas de Sigma. Esto es algo en lo que confiamos en la retroalimentación de nuestros usuarios, quienes no deberían dudar en contactarnos a través del problema de GitHub o directamente si hay algo que pueda mejorarse.

Sigma se está volviendo cada vez más popular en todo el mundo, en tu opinión, ¿cómo está influyendo la regla Sigma en la industria y cómo ves el futuro de Sigma, alguna idea específica sobre su desarrollo futuro?

Sé de algunos usuarios de Sigma que colocan Sigma como un requisito en las RFPs para productos de seguridad porque creen en ella y ya hemos tenido contacto con varios proveedores de seguridad que quieren integrar el soporte de Sigma en sus productos. Sería genial ver soporte nativo de Sigma en productos de seguridad como YARA y Snort ya están integrados en muchos productos. He desarrollado grandes partes del convertidor de Sigma, pero estoy totalmente bien con que se vuelva obsoleto por el soporte nativo de Sigma.

En SOC Prime hemos lanzado el Programa de Recompensas de Amenazas que anima al intercambio de contenido entre profesionales de ciberseguridad. Thomas, ¿te gusta la idea de recompensar a los desarrolladores por compartir reglas Sigma y otro contenido de detección de amenazas?

¡Sí! Como investigador de seguridad ofensiva, puedes elegir durante años si quieres que te paguen por tu investigación o publicarla abiertamente y aumentar tu reputación. La recompensa de amenazas extiende esto a la investigación defensiva y es un buen paso para corregir el desequilibrio de recompensas entre ambas áreas. Soy un gran amigo de publicar resultados de investigación libremente y creo que la gente seguirá haciendo esto en el futuro. Las recompensas de amenazas podrían incluso motivar a más personas a dedicar algo de tiempo a la investigación de seguridad defensiva y mejorar la situación en general.

¿Qué recomendarías a los especialistas en ciberseguridad que están aprendiendo a escribir reglas Sigma, algún consejo para dominar la escritura de Sigma?

¡El contenido importa! Creo que escribir reglas Sigma es relativamente fácil y la curva de aprendizaje es bastante pronunciada. Un editor con soporte para YAML es suficiente y hay herramientas basadas en web como la interfaz Sigma de SOC Prime que apoyan al analista en la escritura de reglas Sigma. Así que mi consejo para aprender Sigma es muy simple: sigue adelante, haz alguna investigación interesante o toma alguna investigación existente (¡no olvides los créditos!) y haz una regla Sigma a partir de ella. Automáticamente te harás fluido con Sigma después de un tiempo.