Entrevista con el Desarrollador de Threat Bounty – Mustafa Gurkan Karakaya
Hoy queremos presentar a la comunidad de SOC Prime a uno de los miembros más activos del Programa Threat Bounty y al autor de detecciones validadas disponibles en la Plataforma de SOC Prime. Conozca a Mustafa Gürkan Karakaya, quien ha estado demostrando su conocimiento experto en ciberseguridad y el potencial para un mayor desarrollo desde que se unió al Programa en diciembre de 2022.
Reglas de Mustafa Gürkan KARAKAYA
Cuéntenos un poco sobre usted y su experiencia en ciberseguridad.
Mi nombre es Mustafa Gürkan KARAKAYA. Tengo 25 años. Vivo en Ankara, TurquÃa. Me gradué del Departamento de IngenierÃa Informática de la Universidad Ankara Yıldırım Beyazıt en 2020. Inicié mi viaje en el campo de la ciberseguridad enfocándome en el pentesting. Más tarde amplié mis intereses para incluir diversas actividades relacionadas con el equipo púrpura, en particular en las áreas de SIEM (Gestión de Información y Eventos de Seguridad), SOAR (Orquestación, Automatización y Respuesta de Seguridad), análisis de malware, análisis DFIR (Forense Digital y Respuesta a Incidentes) e investigaciones forenses. En mi primer trabajo, me dediqué principalmente a actividades de soporte técnico y consultorÃa para instituciones militares proporcionando asistencia y consejo en varios aspectos técnicos. En mi segunda empresa, continué proporcionando servicios de soporte técnico y consultorÃa, enfocándome especÃficamente en la implementación y mantenimiento de SIEM. Actualmente, trabajo como Ingeniero de Ciberseguridad.
¿Cómo se enteró de SOC Prime? ¿Por qué decidió unirse al Programa Threat Bounty?
Primero descubrà SOC Prime en LinkedIn, pero escuché sobre la oportunidad de escribir reglas en la plataforma por parte de mi lÃder de equipo en la compañÃa para la que trabajo actualmente. Me unà a este programa porque disfruto investigando nuevos métodos de ataque cada dÃa.
Basado en su propia experiencia, ¿qué habilidades se requieren para crear reglas con mayores posibilidades de ser publicadas? ¿Qué puede recomendar a aquellos que recién están comenzando a escribir reglas Sigma con Threat Bounty?
En mi opinión, el criterio más importante para la publicación de contenido es que la regla sea especÃfica y capaz de realizar determinaciones precisas, lo que reducirá la tasa de falsos positivos. Mi consejo para los autores de contenido que recién comienzan a escribir reglas Sigma es analizar las actividades del adversario en un escenario de ataque según el marco MITRE ATT&CK e intentar comprender las intenciones de los atacantes. Además, examinar las reglas preexistentes y entender qué rastros dejarÃa el ataque en qué fuentes de registro será muy beneficioso para desarrollar reglas adecuadas.
Basado en las detecciones que investiga y crea, ¿cuáles son las amenazas más crÃticas para las organizaciones modernas? ¿Qué medidas considera más eficientes para proteger infraestructuras?
Creo que la amenaza más importante es el factor humano. No importa cuán avanzadas o sofisticadas sean las medidas de seguridad y las tecnologÃas, las acciones y los comportamientos humanos pueden comprometer la seguridad. Los errores humanos, la negligencia, la falta de conciencia y las intenciones maliciosas pueden representar riesgos significativos para la confidencialidad, integridad y disponibilidad de la información sensible. Es crucial priorizar la educación del usuario, la formación en conciencia y establecer una fuerte cultura de seguridad para mitigar estos riesgos relacionados con los humanos. Por lo tanto, creo que los principales métodos de detección de amenazas se ubican en el punto final. Las organizaciones deben recolectar registros del punto final para métodos de detección de amenazas y análisis detallado. Las reglas son como luces que iluminan amenazas ocultas. Y cuanto más aumentemos la cantidad de luz, más aumentará la visibilidad de las amenazas.
¿Qué tipos de amenazas son las más complicadas de detectar? ¿Tal vez pueda dar un ejemplo de la vida real?
Creo que detectar ataques que ocurren dentro de rutas de aplicaciones aparentemente legÃtimas es lo más desafiante para las organizaciones. Si necesito proporcionar un ejemplo de mi propia regla, tomemos Comportamiento sospechoso del malware QakBot con lÃnea de comandos asociada al propagar un documento malicioso de OneNote (a través de process_creation). En esta regla, los atacantes propagan el malware Qakbot en la máquina de la vÃctima usando un documento de OneNote. Ningún producto de seguridad, incluidos AV y EDR, puede detectar este ataque porque todos los procesos involucrados están firmados por Microsoft y parecen legÃtimos. Sin embargo, cuando estos procesos legÃtimos se utilizan juntos, se desencadena el comportamiento malicioso. Se conecta a un servidor C2, descarga otras cargas maliciosas y propaga el malware Qakbot en la máquina de la vÃctima.
Como especialista en seguridad experimentado, ¿qué crees que deberÃa ser la prioridad número uno para las organizaciones que quieren construir una defensa cibernética robusta?
Para las organizaciones que se esfuerzan por establecer una defensa robusta, la prioridad más crucial es aumentar la conciencia entre los empleados sobre la ciberseguridad para que eviten abrir correos electrónicos inseguros. Además, mi recomendación para los equipos de ciberseguridad es monitorear las actividades de usuario anormales, filtrar las actividades de red inusuales, recolectar registros de clientes en toda la organización (que muchas organizaciones pasan por alto) y definir reglas correspondientes en los productos de seguridad.
¿Cuáles son los beneficios clave de ser miembro del Programa Threat Bounty de SOC Prime?
Creo que el beneficio más importante es que me permite estar informado sobre las vulnerabilidades y malware que emergen diariamente, asà como mantenerme actualizado sobre las últimas técnicas utilizadas por los atacantes. Recomiendo que las personas curiosas, trabajadoras y ansiosas por aprender cosas nuevas participen en Programa Threat Bounty.
