Entrevista con el Desarrollador de Threat Bounty: Onur Atali
Conozca el Ăşltimo boletĂn informativo sobre la comunidad de Desarrolladores de SOC Prime! Hoy queremos presentar a Onur Atali, un entusiasta desarrollador que contribuye a nuestro Programa de Recompensas por Amenazas desde junio de 2021. Onur es un creador de contenido activo, concentrando sus esfuerzos en las reglas Sigma. Puede referirse a las detecciones de Onur de la más alta calidad y valor en el Mercado de DetecciĂłn de Amenazas.
Cuéntanos un poco sobre ti y tu experiencia en ciberseguridad
Tengo 26 años y he estado en la industria de la ciberseguridad durante unos 4 años. TrabajĂ© en los Equipos Rojo y Azul. Particularmente, me involucrĂ© en el sector de ciberseguridad cuando estaba haciendo un programa de aplicaciones web durante mis años de escuela secundaria. Mientras revisaba el cĂłdigo de mi propia aplicaciĂłn web, vi que podĂa desencadenar una vulnerabilidad, asĂ que comencĂ© a investigar sobre codificaciĂłn segura y me interesĂ© en la seguridad de aplicaciones web. AsĂ fue como entrĂ© en el campo de la ciberseguridad.
TenĂa curiosidad por las redes y la seguridad durante mis años de escuela secundaria, y de hecho, aprendĂ lo básico allĂ. TambiĂ©n, en ese entonces, mi universidad habĂa introducido una secciĂłn de TecnologĂa de Seguridad Informática, que incluĂa seguridad de redes básica, programaciĂłn de redes, seguridad en aplicaciones web, que son temas clave que aprendĂ sobre ciberseguridad en la universidad. Simultáneamente, descubrĂ el concepto de CTF y me probĂ© en mĂşltiples competiciones CTF para ganar premios y recibir tĂtulos. Las competiciones me motivaron mucho y aumentaron mi curiosidad sobre la ciberseguridad aĂşn más, asĂ que comencĂ© a trabajar como pentester despuĂ©s de graduarme.
¿Cómo decidiste involucrarte en actividades de caza de amenazas? ¿Cuáles son tus temas de interés en ciberseguridad?
Cuando trabajaba como pentester, tenĂa que hacer una investigaciĂłn extensa sobre los objetivos y buscar debilidades. Cuanto mejor conocemos el servicio, más informaciĂłn tenemos para capturar la falla y prevenir consecuencias negativas. TrabajĂ© como pentester durante unos 2 años y vi muchos cĂłdigos de explotaciĂłn, mĂ©todos de explotaciĂłn, tĂ©cnicas de movimiento lateral. En ese entonces decidĂ adentrarme en las prácticas de detecciĂłn de amenazas y análisis de ataques, convirtiĂ©ndome en miembro del Equipo Azul. Mientras investigaba tĂ©cnicas de ataque y creaba mĂ©todos de defensa, pasĂ© mucho tiempo desarrollando reglas de detecciĂłn especĂficas basadas en las trazas de los ataques. De hecho, reproduje los ataques en mi propia máquina virtual para realizar la investigaciĂłn. El nĂşmero de ciberataques ha crecido significativamente en comparaciĂłn con años anteriores. Los tipos de ataques, tipos de malware y perfiles de actores de amenazas son bastante diferentes y numerosos. Por lo tanto, los estudios de caza de amenazas deben realizarse con precisiĂłn y requieren una investigaciĂłn minuciosa.
Mis áreas de interés en ciberseguridad incluyen caza de amenazas, escritura de reglas de caza y libros de jugadas, desarrollo de software de seguridad, creación de arquitecturas de red seguras y seguridad de aplicaciones móviles/web. También preparo simulaciones de phishing y plantillas de phishing.
ÂżCuáles son las herramientas más comĂşnmente utilizadas por diferentes actores de amenazas y cuál serĂa tu recomendaciĂłn para mejorar la defensa contra esas herramientas? ¡Los ejemplos serĂan geniales!
Los atacantes concentran sus esfuerzos en aplicaciones legĂtimas del sistema en un esfuerzo por ocultar los rastros. Los hackers piensan que de esta manera eludirán tanto a los analistas de seguridad como a las soluciones de detecciĂłn de amenazas de seguridad. Durante mi investigaciĂłn, he visto herramientas como Impacket, Bloodhound, Rubeus, Mimikatz para el movimiento lateral. Otras herramientas con las que me he encontrado muy a menudo son software de cĂłdigo abierto como Proxychains, Tor, Hdyra, Nmap. Para detectar herramientas de amenazas especiales utilizadas por los atacantes, es importante registrar comandos que se ejecutan a nivel del sistema operativo. Muchos atacantes ejecutan comandos como «whoami,ipconfig, ping 8.8.8.8», y es necesario tratarlos como sospechosos. Por ejemplo, se deberĂa generar una alarma si se consultan administradores autorizados en sistemas que proporcionan servicio de Active Directory en SIEM para la detecciĂłn de movimiento lateral. Los atacantes pueden querer secuestrar, cambiar o descargar aplicaciones maliciosas en el sistema que han tomado, por lo que es Ăştil verificar el tráfico de Internet y las direcciones web desde sus sistemas, especialmente cuando ocurre una solicitud a servicios de Tor. La alarma puede indicar una posible amenaza. Fuerza Bruta los ataques son el tipo de ataque más comĂşn hoy en dĂa, por lo que el servicio SIEM debe detectar y bloquear automáticamente las direcciones IP que escanean al menos 10 puertos diferentes en 5 minutos o intentan iniciar sesiĂłn en servicios crĂticos como RDP, SSH, FTP con al menos 10 nombres de usuario diferentes. Creo que SOC Prime es la plataforma más rica del mundo en tĂ©rminos de reglas de detecciĂłn de amenazas.
¿Cuánto tiempo te llevó dominar la escritura de reglas Sigma? ¿Qué conocimientos técnicos se necesitan para eso?
Creo que es necesario conocer bien los servicios de registro, especialmente a nivel del sistema operativo, para escribir reglas Sigma. Para escribir una regla, necesitas monitorear bien los movimientos de los atacantes y minimizar la detecciĂłn de falsos positivos. De lo contrario, pueden ocurrir demasiadas alarmas y podrĂas pasar por alto la amenaza real. Las reglas Sigma son muy eficientes en tĂ©rminos de detecciĂłn de amenazas y nos ayudan a realizar tiros precisos. Mejoro mi habilidad para escribir reglas estudiando análisis de malware, revisiĂłn de Respuesta a Incidentes e informes de amenazas cibernĂ©ticas. Al escribir una regla, es necesario asegurarse de que la fuente de detecciĂłn y el contenido de la regla escrita cumplan con la alarma esperada.
ÂżCĂłmo te enteraste del Programa de Recompensas por Amenazas de SOC Prime?
Estaba usando la plataforma de SOC Prime para buscar reglas de caza de amenazas, pero me enteré del programa de recompensas por amigos. Estoy muy feliz de estar en el programa, porque estoy aprendiendo muchas cosas aquà y mejorando a mà mismo.
Cuéntanos sobre tu trayectoria en el Programa de Recompensas por Amenazas. ¿Cuánto tiempo necesitas en promedio para escribir una regla Sigma que se publique en el Mercado de Detección de Amenazas sin ninguna corrección?
Me interesé mucho cuando escuché sobre el programa de recompensas por amenazas de SOC Prime y me postulé inmediatamente. El equipo de SOC Prime aprobó mi solicitud bastante rápido y se pusieron en contacto conmigo, lo cual me hizo muy feliz. Antes de escribir las reglas, estudié las reglas existentes y aprendà sobre el proceso.
Para escribir reglas sin errores en la plataforma, especialmente en análisis de malware y Respuesta a Incidentes, los desarrolladores necesitan tener al menos 1 año de experiencia en ciberseguridad. Sin embargo, el primer intento podrĂa hacerse ya en 1-2 semanas despuĂ©s de examinar las reglas existentes dentro de la plataforma y leer las guĂas.
¿Cuál es el mayor valor para ti al participar en el Programa de Recompensas por Amenazas?
El mejor valor de participar en el Programa de Recompensas por Amenazas es que las reglas que escribo son interesantes y ayudan a la comunidad. Porque si las reglas que escribes no son funcionales, obviamente no tienen sentido. Junto con el programa de recompensas por amenazas, tuve la oportunidad de mejorarme a mà mismo en el punto de escribir una regla Sigma, y al escribir una regla, también puedes aprender sobre configuraciones de seguridad detalladas a nivel del sistema operativo, lo cual te brinda una mejora técnica. Estoy feliz de participar en el Programa de Recompensas por Amenazas, mejorándome a mà mismo y contribuyendo a la comunidad.
Ir a la Plataforma Unirse al Programa de Recompensas por Amenazas
