Entrevista con Desarrollador de Threat Bounty: Nattatorn Chuensangarun
¡Atrapa el último noticiero sobre la comunidad de SOC Prime! Hoy queremos presentar a Nattatorn Chuensangarun, un prolÃfico creador de contenido de detección que contribuye a nuestro Programa de Amenazas desde agosto de 2021. Nattatorn es un desarrollador de contenido activo, concentrando sus esfuerzos en reglas Sigma. Puede referirse a las detecciones de Nattatorn de la más alta calidad y valor en el repositorio del Mercado de Detección de Amenazas de la Plataforma SOC Prime:
Cuéntenos un poco sobre su carrera profesional y su experiencia en ciberseguridad.
¡Hola! Soy Nattatorn Chuensangarun de Tailandia. Como estoy interesado en la ciberseguridad, después de graduarme en Ciencias de la Computación en 2019, decidà comenzar mi primer trabajo en uno de los bancos más grandes de Tailandia como parte del equipo del Centro de Inteligencia y Operaciones de Seguridad. Fue muy nuevo para mà porque solo tenÃa experiencia en análisis de datos. Sin embargo, con el gran apoyo de mis compañeros de equipo, comencé a entrenarme para ser analista de SOC. Me asignaron la tarea de supervisar la sección de Inteligencia de Amenazas. Fue un desafÃo, ya que tenÃa que monitorear varias amenazas, aprovechando las amplias fuentes de noticias relacionadas con vulnerabilidades, filtración de datos o tendencias de ataques en curso. He investigado y creado reglas para detectar múltiples amenazas en la Plataforma de Inteligencia de Amenazas hasta que conocà SOC Prime.
¿Cuáles son sus temas de interés en ciberseguridad?
Estoy abierto a muchos temas en ciberseguridad. Sin embargo, probablemente estoy muy interesado en escribir manuales para implementar con Orquestación de Seguridad, Automatización y Respuesta (SOAR). Esto puede extenderse a la Caza de Amenazas, Respuesta Automática a Incidentes (IR) y podrÃa ayudar a enfrentar una gran cantidad de ataques básicos. De esta manera, el equipo de monitoreo puede reducir esfuerzos y dedicar más tiempo a investigar defensas y nuevos ataques. También me interesa la seguridad en la nube, los grupos de actores de amenazas, los nuevos desafÃos de ransomware y llevar big data para analizar ataques y comportamientos anormales.
¿Cómo se enteró del Programa de Amenazas? ¿Por qué decidió unirse?
El año pasado, conocà la Plataforma SOC Prime para buscar reglas de detección de amenazas que apliqué al sistema SIEM para buscar vulnerabilidades. Esa fue la primera vez que conocà a SOC Prime. Uno de mis compañeros de equipo sugirió que deberÃa intentar unirme al Programa de Amenazas como desarrollador. Pensé que era una idea interesante y decidà participar porque creo que este programa podrÃa ayudarme a mejorar mis habilidades. De hecho, con Threat Bounty, puedo profundizar mi experiencia en la escritura de reglas para diferentes tipos de amenazas, encontrar nuevos conocimientos y compartir información de seguridad con otros miembros de la comunidad de SOC Prime Threat Bounty. Mis reglas publicadas también pueden aplicarse para fortalecer las defensas de mi organización o compartirse con otras empresas para mitigar amenazas cibernéticas.
Cuéntenos sobre su experiencia con el Programa de Amenazas. ¿Cuánto tiempo necesita en promedio para escribir una regla Sigma publicada en la Plataforma SOC Prime?
He escrito reglas para herramientas de seguridad antes, pero estaban bastante restringidas y eran complicadas, ya que diferentes herramientas requieren diferentes formas de escritura. Después de conocer la Plataforma SOC Prime y aprender a escribir las reglas Sigma, se abrió un mundo sin fronteras para mÃ. Las recompensas de SOC Prime de amenazas también me inspiraron a llevar mis habilidades para escribir reglas Sigma al siguiente nivel. Disfruto aprendiendo nuevas técnicas y escribiendo reglas con energÃa para abordar nuevas amenazas.
En mi opinión, el tiempo promedio que lleva escribir una regla Sigma puede depender de la comprensión del tipo de regla, el comportamiento de los actores de amenazas y las técnicas de ataque. La variedad de IOCs también influye en el tiempo de escritura porque los profesionales de seguridad necesitan inspeccionar los metadatos para identificar comportamientos normales o anormales. Principalmente paso alrededor de 30 minutos analizando amenazas y escribiendo una regla Sigma.
¿Cuánto tiempo le tomó dominar las habilidades de escritura de reglas Sigma? ¿Qué antecedentes técnicos se necesitan para eso?
Pasé aproximadamente una semana estudiando cómo escribir reglas Sigma, principalmente inspeccionando ejemplos en GitHub y el Mercado de Detección de Amenazas de SOC Prime. Estos recursos me ayudaron a ver la variedad de tipos de reglas Sigma. Ahora, generalmente hago mis propias plantillas para separar cada servicio de las diferentes fuentes. De esta manera, es más fácil para mà implementar las reglas. Además, escribir reglas de manera eficiente es esencial. Al principio, a menudo escribÃa de manera inapropiada, por lo que mis reglas resultaban en amenazas omitidas o falsos positivos. Sin embargo, la Plataforma SOC Prime ofrece ayuda de expertos para revisar mis reglas antes de publicarlas. Puedo ajustar mis reglas en caso de errores y aprender a mejorar y evitar errores.
¿Cómo puede ayudar el enfoque de defensa cibernética colaborativa a mitigar riesgos tan crÃticos a escala global como log4j?
Cerrar una brecha o mitigar un riesgo no se trata solo de tecnologÃa. DeberÃamos volver a los fundamentos, incluyendo personas, procesos y tecnologÃa. Estos son los componentes clave para gestionar el riesgo, por lo que deben considerarse juntos. Solo la tecnologÃa podrÃa tener la capacidad de mitigar la mayorÃa de las amenazas. Sin embargo, no podemos alcanzar la máxima protección en términos de tiempo y calidad sin personas y procesos. Usar la Plataforma SOC Prime es uno de los pasos que puede ayudar a reducir el riesgo también. Ofrece amplias oportunidades de networking para que los desarrolladores puedan intercambiar técnicas de caza o encontrar IOCs oportunamente, lo cual es ventajoso para disminuir los riesgos.
¿Cuál cree que es el beneficio más significativo del Programa de Amenazas de SOC Prime?
El Programa de Amenazas de SOC Prime me permite obtener mucha experiencia escribiendo reglas de detección de amenazas bajo la supervisión y asesoramiento del Equipo de SOC Prime. El programa me ayuda a mejorar mis habilidades y asiste a organizaciones de todo el mundo al apoyar a una comunidad de ciberseguridad. Es un gran honor cuando alguien me envÃa un mensaje directo diciéndome que mis reglas de detección pueden ayudar a su organización. Tales casos me motivan a iniciar rápidamente nuevas reglas para enfrentar nuevas amenazas y estudiar nuevas técnicas, con la esperanza de que mi intento pueda ayudar a la comunidad a resistir las amenazas.
¿Qué recomendarÃa para los principiantes en Threat Bounty?
Para cualquiera que esté comenzando o estudiando un Programa de Amenazas, puedes abrir camino leyendo fuentes de noticias de amenazas, monitoreando ataques cibernéticos alrededor del mundo, o usando registros de ataques confiables para escribir una regla Sigma al principio. De lo contrario, podrÃas previsualizar los ejemplos en GitHub y el Mercado de Detección de Amenazas. ¡DesafÃate una vez y ayude a la comunidad de ciberseguridad juntos!
