Entrevista con el Desarrollador de Threat Bounty – Mehmet Kadir CIRIK

A medida que continuamos contando sobre nuestros entusiastas miembros del programa Threat Bounty de SOC Prime compartiendo historias sobre su crecimiento profesional al extender su experiencia desarrollando reglas que contribuyen a la defensa cibernética global, hoy presentamos a Mehmet Kadir CIRIK, quien se unió al programa en enero de 2023 y ha estado contribuyendo activamente con sus detecciones desde entonces.

Mehmet Kadir CIRIK

Cuéntanos un poco sobre ti y tu experiencia en ciberseguridad.

¡Hola! Soy Mehmet Kadir CIRIK, tengo 22 años. Nací en Mersin, Turquía, en 2001 y crecí allí. Actualmente soy estudiante de último año en los departamentos de Ingeniería Informática Forense e Ingeniería Informática en la Universidad Firat. En mi segundo año de universidad, estudié en el departamento de Ciencias de la Computación en Macedonia del Norte durante unos 8 meses bajo el programa Erasmus. He estado trabajando a tiempo completo en el campo de la ciberseguridad desde mi segundo año de universidad. Actualmente trabajo como Ingeniero de Blue Team e Investigador de Amenazas en una empresa con sede en Estambul. Mis responsabilidades principales incluyen la investigación proactiva de actividades maliciosas dentro de los feeds de noticias de amenazas cibernéticas, investigaciones exhaustivas para desarrollar detecciones basadas en comportamientos que aborden amenazas cibernéticas emergentes y técnicas de ataque, y la gestión efectiva de incidentes de seguridad críticos. Comencé mi carrera en Inteligencia de Amenazas Cibernéticas. Luego trabajé como analista de MDR y desarrollé mis habilidades en informática forense.

¿Cómo te enteraste de SOC Prime? ¿Por qué decidiste unirte al Programa Threat Bounty?

Descubrí por primera vez a SOC Prime a través de publicaciones en LinkedIn. Estaba interesado en escribir reglas Sigma antes, pero nunca había escrito ninguna regla Sigma yo mismo en ese momento. En la empresa para la que actualmente trabajo, recibí apoyo y orientación de mis colegas mayores sobre cómo escribir reglas Sigma y cómo enviarlas para su publicación en la plataforma de SOC Prime. Al escribir reglas Sigma, puedo mejorar mis habilidades y adquirir conocimientos sobre muchas vulnerabilidades y técnicas de ataque en muy poco tiempo. Estoy particularmente interesado en las actividades de los colectivos APT y me pregunto qué podría tener en mente un miembro de un grupo APT. Por eso me uní como miembro del Threat Bounty de SOC Prime y me preocupo de escribir mis reglas regularmente.

¿Qué habilidades consideras necesarias para desarrollar reglas Sigma que tengan más posibilidades de ser publicadas en la Plataforma de SOC Prime?

Para aumentar las posibilidades de ser publicado en la Plataforma de SOC Prime, me aseguro de escribir reglas prestando una atención excepcional al contenido de la regla para que no cree ninguna percepción falsa o engañosa sobre la detección. Además, me aseguro de construir mis reglas de manera que sean capaces de detectar actividades maliciosas por un largo tiempo. Al apuntar directamente al comportamiento TTP de cualquier grupo APT o malware, escribo mis reglas de acuerdo a estos TTPs. Así, incluso si los atacantes cambian el comportamiento (nombres de archivos, hashes de archivos y nombres de dominio), me aseguro de que las reglas que he escrito estén constantemente capturando los ataques.

Hoy en día, las organizaciones enfrentan el desafío de resistir los ataques de la ciberguerra global. ¿Qué medidas crees que podrían ser las más eficientes para proteger las infraestructuras?

Las organizaciones pueden proteger su infraestructura utilizando algoritmos de detección dentro de la Plataforma de SOC Prime, especialmente las reglas Sigma desarrolladas y compartidas por los miembros de Threat Bounty. Tales reglas actúan como un mecanismo de detección válido para las vulnerabilidades recién descubiertas, actividades de grupos APT y malware. Por eso, Sigma surge como un recurso valioso, proporcionando capacidades de detección poderosas contra las amenazas de malware modernas, los últimos CVEs y actividades APT dirigidas.

¿Qué tipos de amenazas son las más complicadas de detectar? ¿Quizás puedas dar un ejemplo de la vida real?

Los ataques cibernéticos avanzados o los ataques dirigidos generalmente se consideran los tipos de amenazas más complejos de detectar. Estos son ataques que requieren técnicas sofisticadas, medidas de privacidad y habilidades avanzadas. Tales ataques son usualmente llevados a cabo por colectivos patrocinados por estados, amenazas persistentes avanzadas (APTs) o atacantes experimentados.

Por ejemplo, el ciberataque conocido como «Stuxnet» fue un virus gusano muy complejo de entregar y propagar. Este ataque se realizó contra el programa nuclear iraní en 2010 e infiltró a sus objetivos, interrumpiendo los sistemas de control de los reactores nucleares. Aunque las identidades de los perpetradores son desconocidas, se piensa que el ataque fue altamente sofisticado y posiblemente una operación patrocinada por un estado.

Sugiero que las empresas presten atención a las reglas publicadas recientemente en la Plataforma de SOC Prime porque los ciberataques se vuelven cada vez más sofisticados, con cada vez más empresas, instituciones e individuos siendo afectados por estos ataques.

¿Qué crees que debería ser la prioridad #1 para las organizaciones que desean construir una defensa cibernética sólida?

Como un cazador de amenazas experimentado, puedo decir que la prioridad #1 para las organizaciones debería ser la monitorización continua y la recopilación de inteligencia de amenazas. Una buena inteligencia de amenazas es crítica para detectar ataques y fortalecer las defensas. En un entorno donde las amenazas cambian y evolucionan constantemente, es vital establecer una estrategia de defensa basada en información de amenazas actualizada. En particular, los siguientes temas son áreas donde los cazadores de amenazas pueden ofrecer ideas valiosas:

• Nuevos métodos y técnicas de ataque: Detectar nuevas técnicas y métodos de ataque que están emergiendo constantemente es crítico para mantener las medidas defensivas actualizadas.
• Descubrimiento de vulnerabilidades: Detectar y reportar vulnerabilidades en los sistemas hace una gran contribución a la defensa contra ataques. En particular, los descubrimientos hechos con técnicas como pruebas de penetración y escaneos de vulnerabilidades juegan un papel importante en la defensa cibernética.
• Malware y actividad maliciosa: La detección, el análisis y la prevención de malware son vitales para mantener la seguridad de una organización. Las detecciones hechas en esta área contribuyen a la inteligencia de amenazas compartida.

¿Cuál crees que es el mayor beneficio del Programa Threat Bounty de SOC Prime?

En mi opinión, los mayores beneficios del Programa Threat Bounty de SOC Prime son:

• Compromiso de la comunidad: El Programa Threat Bounty fomenta una comunidad global de cazadores de amenazas, alentando a los expertos en ciberseguridad a conectarse y compartir conocimientos. Esto asegura una detección y defensa efectiva de amenazas al aprovechar diferentes experiencias y perspectivas.
• Recompensas y motivación: el programa ofrece a los participantes recompensas financieras por sus contribuciones. Esto motiva a los cazadores de amenazas y fomenta una mayor participación. Además, los participantes tienen la oportunidad de mostrar su talento y ser reconocidos en la industria.
• Desarrollo de inteligencia de amenazas: el programa permite a los participantes especializarse en inteligencia de amenazas. Las detecciones publicadas contribuyen a la inteligencia de amenazas compartida y pueden usarse para proporcionar una defensa cibernética más fuerte.

Desde mi experiencia, creo que las personas que deseen participar en el Programa Threat Bounty y ganar dinero con sus detecciones deberían tener las siguientes competencias mínimas de ciberseguridad:

• Seguridad de la red: es importante tener conocimiento y experiencia en problemas básicos de seguridad de la red. Es necesario contar con un buen conjunto de habilidades, como análisis de tráfico de red, reglas de firewall y detección de vulnerabilidades de la red.
• Análisis de malware: las capacidades de análisis de malware son esenciales para detectar y analizar archivos maliciosos y comprender la actividad maliciosa. Es crucial tener una buena comprensión y habilidades técnicas.
• Pruebas de penetración: las capacidades de pruebas de penetración son esenciales para detectar vulnerabilidades y explotaciones en los sistemas. La capacidad de ver los sistemas a través de los ojos de un atacante y detectar vulnerabilidades es vital.

¿Interesado en unirte al Programa Threat Bounty? No dudes en solicitar participación y unirte a la iniciativa de crowdsourcing que te anima a desarrollarte profesionalmente mientras monetizas tus detecciones.