Entrevista con el Desarrollador de Threat Bounty: Michel de Crevoisier

¡Descubre la última nueva emisión sobre la comunidad de Desarrolladores de SOC Prime! Hoy queremos presentar a Michel de Crevoisier, un prolífico desarrollador que ha estado contribuyendo a nuestro Programa Threat Bounty desde noviembre de 2020. Michel es un creador de contenido activo, concentrando sus esfuerzos en reglas Sigma. Puedes referirte a las detecciones de Michel de la más alta calidad y valor en el Threat Detection Marketplace.

Ver contenido de detección

1. Cuéntanos un poco sobre ti y tu experiencia en ciberseguridad

Comencé mi carrera en seguridad como analista de SOC en 2017 después de diferentes experiencias en administración de sistemas, red y virtualización. En mi mente, siempre ha estado claro que mi carrera debería construirse alrededor de la seguridad. De hecho, estuve involucrado en demasiados proyectos donde la seguridad no era una prioridad, exponiendo a las organizaciones a riesgos innecesarios. Asumí esto como un desafío personal al comenzar un blog y asistir a diferentes eventos de seguridad, también como orador. Recientemente asistí a un curso de seguridad de SANS sobre detección de amenazas para obtener una certificación GIAC y expandir, entre otras cosas, mis conocimientos y habilidades.

2. ¿Por qué decidiste enfocarte en las reglas Sigma como una de las principales herramientas para la caza de amenazas?

Desde una perspectiva de caza de amenazas, SIGMA proporciona capacidades avanzadas para compartir lógica de IOC simple o compleja en un formato común que es comprensible y utilizable por cualquier analista, independientemente de la tecnología SIEM en uso. Con el lanzamiento de este formato abierto y el auge de la “Githubificación de InfoSec” (fuente), SIGMA fue definitivamente la herramienta que necesitaba.

3. ¿Cuánto tiempo te llevó dominar la escritura de reglas Sigma? ¿Qué base técnica se requiere para dominarla? Y ¿cuánto tiempo necesitas en promedio para escribir una nueva regla IOC Sigma y una regla de caza de amenazas?

Dominar las reglas de SIGMA me tomó solo unas pocas semanas y normalmente escribir una regla me lleva alrededor de una hora, ya que siempre intento evaluar la amenaza en mi laboratorio para garantizar la calidad de la regla. También trato de adjuntar una muestra de registro real para que el analista pueda apreciar fácilmente el contexto.

Sin embargo, comprender los fundamentos del lenguaje es, desde mi punto de vista, insuficiente. De hecho, escribir buenas reglas también requiere una comprensión adecuada de la amenaza, sus comportamientos y los diferentes IOCs que puede activar. El conocimiento sobre marcos de seguridad como Metasploit o Cobalt Strike también es bastante útil, así como las habilidades ofensivas.

4. ¿Cuáles son tus temas de interés en ciberseguridad? ¿Qué tipos de amenazas son las más difíciles de detectar y combatir?

Los ataques a la cadena de suministro como CCleaner,, SolarWinds, or Codecov son uno de los más difíciles de detectar: la amenaza está incrustada en software legítimo conocido como confiable y utilizado por múltiples empresas. La intrusión lleva meses y es muy sigilosa. Además, las intrusiones en la nube combinadas con un movimiento lateral al entorno en las instalaciones (o viceversa) también son bastante difíciles de combatir ya que la madurez de la cobertura de detección no siempre es la misma en ambos lados o es manejada por diferentes partes con diferentes mentalidades. Por supuesto, los vectores de intrusión comunes siguen siendo válidos y no debemos olvidar el phishing, los exploits de servidores web y el abuso de PowerShell, DCOM or y la Instrumentación de Administración de Windows (WMI).

5. Ahora existen muchos grupos de actores de amenazas y su número está creciendo, ¿cuáles crees que son los actores de amenazas que representan la mayor amenaza? ¿Cómo medirías si un grupo de actores de amenazas es más o menos peligroso?

Actores como el detrás del ataque a la cadena de suministro SolarWinds han demostrado cuán poderosos pueden ser. Analizar sus capacidades de preparación e infiltración en proveedores de terceras partes antes de atacar a su objetivo final es realmente aterrador. Son multifacéticos, apuntando a infraestructuras en la nube y en las instalaciones, capaces de comprometer la infraestructura de construcción y firma de código… Y todo esto mientras permanecen casi invisibles bajo la cobertura del radar.

6. ¿Cómo te enteraste del Programa Threat Bounty de SOC Prime? ¿Por qué decidiste unirte? ¿Cuál es el mayor valor para ti de participar en el Programa Threat Bounty?

Unirme al programa Threat Bounty fue sobre todo una oportunidad para expandir mis conocimientos, empujándome fuera de la zona de confort para explorar nuevas amenazas y TTPs. Con el tiempo, me di cuenta de que estaba contribuyendo de manera más amplia a fortalecer a las organizaciones SOC y formar parte de una comunidad de desarrolladores talentosos.

¿Ansioso por monetizar tus habilidades de caza de amenazas y mejorar tu experiencia en defensa cibernética? SOC Prime está buscando miembros del Equipo Azul que mantengan un ojo atento a las últimas tendencias en ciberseguridad. Nuestro programa Threat Bounty paga recompensas recurrentes por contenido para SOC enfocado en detección de amenazas, caza de amenazas, y respuesta a incidentes – como SIGMA, Yara, Snort, Parseadores de Logs, y Contenido Nativo de SIEM. Envía detecciones para abordar solicitudes de la Lista de Deseados y duplica tus ganancias mientras ayudas a la comunidad del Threat Detection Marketplace a resistir nuevas amenazas cibernéticas.

¿Buscando una forma de enriquecer tu conocimiento en ciberseguridad? Explora la Biblioteca Cibernética de SOC Prime para dominar tus habilidades duras de SIEM, ver vídeos educativos detallados, y ponerte al día con guías prácticas sobre caza de amenazas.

Explorar Biblioteca Cibernética Unirse a Threat Bounty