Entrevista con el Desarrollador de Threat Bounty – Aung Kyaw Min Naing

Ya se ha convertido en una buena tradición en SOC Prime cuando Threat Bounty miembros comparten historias sobre sus caminos profesionales y su experiencia y logros con Threat Bounty. Hoy estamos aquí con Aung Kyaw Min Naing, quien se unió al programa en junio de 2022 y ya se ha demostrado como un contribuyente activo a la defensa cibernética colectiva.

Reglas de Aung Kyaw Min Naing

Por favor, cuéntanos un poco sobre ti y tu experiencia en ciberseguridad.

¡Hola! Soy Aung Kyaw Min Naing, y vengo de la ciudad de Mandalay en Myanmar. Desde que me gradué en Ingeniería Electrónica en 2017, mi interés en la ciberseguridad me ha impulsado a seguir una carrera en este campo. Actualmente, trabajo como Analista de Seguridad Cibernética (Threat Hunting) en una empresa proveedora de servicios de seguridad gestionada con sede en Tailandia. Mis principales responsabilidades incluyen la búsqueda proactiva de actividades maliciosas en noticias de ciberamenazas, realizar investigaciones exhaustivas para mejorar las detecciones basadas en comportamiento para abordar amenazas cibernéticas emergentes y técnicas de ataque, y gestionar eficazmente incidentes de seguridad críticos. En los primeros días de mi carrera, adquirí experiencia práctica como ingeniero de redes en una compañía proveedora de servicios de Internet mientras, simultáneamente, me adentraba en el ámbito de la ciberseguridad. Llevando mi pasión más allá, emprendí mi trayectoria profesional en ciberseguridad como Ingeniero en un Centro de Operaciones de Seguridad especializado en prevención de DDoS en una empresa local de soluciones y seguridad informática. Además, tuve la oportunidad de trabajar con el banco privado local más grande y una Corporación Pública de Bebidas en Myanmar como profesional de ciberseguridad, donde desempeñé este papel en la implementación de proyectos PCS-DSS y controles de seguridad CIS desde un punto de vista técnico. Esto involucró la realización de escaneos de VA, la participación en operaciones de monitoreo de seguridad diaria para detectar y mitigar ataques cibernéticos, y la colaboración con ingenieros de sistemas y desarrolladores de equipos internos y organizaciones externas de terceros. Además, mientras trabajaba en esta posición, revisé muchas certificaciones internacionales de ciberseguridad de varias plataformas, como el examinador de penetración de eLearnsecurity, Analista de Ciberseguridad de CompTIA (CySA+), Analista de Operaciones de Seguridad de Microsoft, etc.

¿Cómo te enteraste de SOC Prime? ¿Por qué decidiste unirte al Programa Threat Bounty?

Después de descubrir SOC Prime en LinkedIn, mis excompañeros de equipo me recomendaron unirme al Programa Threat Bounty como desarrollador para escribir reglas y contribuir a la detección de ciberataques, lo cual se alinea perfectamente con mi pasión por investigar nuevos métodos de ataque a diario y ayudar a las organizaciones a mejorar sus capacidades de ciberseguridad. Estoy firmemente convencido de que participar en el Programa Threat Bounty no solo me permitirá mejorar mis conocimientos y habilidades, sino también tener un impacto significativo en la comunidad de ciberseguridad. Y luego, estoy particularmente interesado en las actividades de los colectivos APT, y tengo curiosidad por saber qué podría estar dentro de la mente de un miembro de un grupo APT. Por lo tanto, he decidido adquirir las habilidades para escribir reglas Sigma y aplicarlas para detectar actividades de adversarios.

Hoy en día, las organizaciones se enfrentan al desafío de resistir los ataques de la guerra cibernética global. ¿Qué medidas crees que podrían ser las más eficaces para proteger las infraestructuras?

Aprovechando el lenguaje Sigma y el enfoque impulsado por la comunidad, el Programa Threat Bounty de SOC Prime ayuda a las organizaciones a fortalecer la protección de su infraestructura al detectar proactivamente amenazas emergentes y fomentar la colaboración entre profesionales de la ciberseguridad. En mi perspectiva, la noción prevalente en el campo de la ciberseguridad es que la Prevención es Ideal, pero la Detección es Obligatoria. Por lo tanto, Sigma emerge como un recurso valioso, permitiendo robustas capacidades de detección contra amenazas modernas como malware, los últimos CVE y actividades APT dirigidas.

Basado en tu experiencia, ¿qué amenazas son más difíciles de detectar?

En mi opinión, el primer paso es identificar qué tipos de fuentes de registros y fuentes de datos son necesarios para capturar la evidencia para un punto de detección específico. El abuso de aplicaciones legítimas y los ataques de inyección de memoria son difíciles de detectar. Los beneficios de Sigma son que es un lenguaje único, flexible, fácil de escribir y genérico para reglas de detección contra amenazas cibernéticas sofisticadas y complejas que permite operaciones de seguridad multiplataforma. El punto limitante es que no soporta a todos los proveedores, y algunas de las reglas no funcionan correctamente para los casos de uso de seguridad existentes.

¿Qué habilidades consideras necesarias para desarrollar reglas Sigma de búsqueda de amenazas que tengan más posibilidades de ser publicadas en la Plataforma SOC Prime?

En cuanto al desarrollo de reglas Sigma, mi enfoque habitual implica crear plantillas derivadas de diversos recursos. La mayoría de mis contribuciones Sigma a SOC Prime se construyen sobre estas plantillas, con algunos ajustes menores incorporados. Mi método para crear la regla Sigma se describe en la siguiente lista, paso a paso:

• Mantente actualizado e investiga sobre las noticias y reportes de amenazas.
• Rastrea grupos de actores de amenazas y aprende nuevos patrones de ataque.
• Comprende profundamente el lenguaje Sigma y la sintaxis.
• Tener un sólido entendimiento de los conceptos de ataque en ciberseguridad, servicios de registro y fuentes de datos.
• Examinar la pila de detección existente en Plataforma SOC Prime usando la búsqueda Lucene antes de escribir la regla.
• Use Uncoder AI para validar la regla y convertirla al formato de lenguaje requerido.

¿Qué beneficios ves en participar en el Programa Threat Bounty de SOC Prime? ¿Puedes recomendar a otros unirse al programa? ¿Por qué?

El SOC Programa Threat Bounty de Prime proporciona beneficios tanto a empresas como a desarrolladores individuales. Participar en este programa permite a las organizaciones adelantarse a amenazas emergentes mientras ofrece oportunidades para que los desarrolladores contribuyan, mejoren sus habilidades y sean recompensados por su valioso trabajo.