Entrevista con el Desarrollador de Threat Bounty: Onur Atali
Conozca el último boletÃn informativo sobre la comunidad de Desarrolladores de SOC Prime! Hoy queremos presentar a Onur Atali, un entusiasta desarrollador que contribuye a nuestro Programa de Recompensas por Amenazas desde junio de 2021. Onur es un creador de contenido activo, concentrando sus esfuerzos en las reglas Sigma. Puede referirse a las detecciones de Onur de la más alta calidad y valor en el Mercado de Detección de Amenazas.
Cuéntanos un poco sobre ti y tu experiencia en ciberseguridad
Tengo 26 años y he estado en la industria de la ciberseguridad durante unos 4 años. Trabajé en los Equipos Rojo y Azul. Particularmente, me involucré en el sector de ciberseguridad cuando estaba haciendo un programa de aplicaciones web durante mis años de escuela secundaria. Mientras revisaba el código de mi propia aplicación web, vi que podÃa desencadenar una vulnerabilidad, asà que comencé a investigar sobre codificación segura y me interesé en la seguridad de aplicaciones web. Asà fue como entré en el campo de la ciberseguridad.
TenÃa curiosidad por las redes y la seguridad durante mis años de escuela secundaria, y de hecho, aprendà lo básico allÃ. También, en ese entonces, mi universidad habÃa introducido una sección de TecnologÃa de Seguridad Informática, que incluÃa seguridad de redes básica, programación de redes, seguridad en aplicaciones web, que son temas clave que aprendà sobre ciberseguridad en la universidad. Simultáneamente, descubrà el concepto de CTF y me probé en múltiples competiciones CTF para ganar premios y recibir tÃtulos. Las competiciones me motivaron mucho y aumentaron mi curiosidad sobre la ciberseguridad aún más, asà que comencé a trabajar como pentester después de graduarme.
¿Cómo decidiste involucrarte en actividades de caza de amenazas? ¿Cuáles son tus temas de interés en ciberseguridad?
Cuando trabajaba como pentester, tenÃa que hacer una investigación extensa sobre los objetivos y buscar debilidades. Cuanto mejor conocemos el servicio, más información tenemos para capturar la falla y prevenir consecuencias negativas. Trabajé como pentester durante unos 2 años y vi muchos códigos de explotación, métodos de explotación, técnicas de movimiento lateral. En ese entonces decidà adentrarme en las prácticas de detección de amenazas y análisis de ataques, convirtiéndome en miembro del Equipo Azul. Mientras investigaba técnicas de ataque y creaba métodos de defensa, pasé mucho tiempo desarrollando reglas de detección especÃficas basadas en las trazas de los ataques. De hecho, reproduje los ataques en mi propia máquina virtual para realizar la investigación. El número de ciberataques ha crecido significativamente en comparación con años anteriores. Los tipos de ataques, tipos de malware y perfiles de actores de amenazas son bastante diferentes y numerosos. Por lo tanto, los estudios de caza de amenazas deben realizarse con precisión y requieren una investigación minuciosa.
Mis áreas de interés en ciberseguridad incluyen caza de amenazas, escritura de reglas de caza y libros de jugadas, desarrollo de software de seguridad, creación de arquitecturas de red seguras y seguridad de aplicaciones móviles/web. También preparo simulaciones de phishing y plantillas de phishing.
¿Cuáles son las herramientas más comúnmente utilizadas por diferentes actores de amenazas y cuál serÃa tu recomendación para mejorar la defensa contra esas herramientas? ¡Los ejemplos serÃan geniales!
Los atacantes concentran sus esfuerzos en aplicaciones legÃtimas del sistema en un esfuerzo por ocultar los rastros. Los hackers piensan que de esta manera eludirán tanto a los analistas de seguridad como a las soluciones de detección de amenazas de seguridad. Durante mi investigación, he visto herramientas como Impacket, Bloodhound, Rubeus, Mimikatz para el movimiento lateral. Otras herramientas con las que me he encontrado muy a menudo son software de código abierto como Proxychains, Tor, Hdyra, Nmap. Para detectar herramientas de amenazas especiales utilizadas por los atacantes, es importante registrar comandos que se ejecutan a nivel del sistema operativo. Muchos atacantes ejecutan comandos como «whoami,ipconfig, ping 8.8.8.8», y es necesario tratarlos como sospechosos. Por ejemplo, se deberÃa generar una alarma si se consultan administradores autorizados en sistemas que proporcionan servicio de Active Directory en SIEM para la detección de movimiento lateral. Los atacantes pueden querer secuestrar, cambiar o descargar aplicaciones maliciosas en el sistema que han tomado, por lo que es útil verificar el tráfico de Internet y las direcciones web desde sus sistemas, especialmente cuando ocurre una solicitud a servicios de Tor. La alarma puede indicar una posible amenaza. Fuerza Bruta los ataques son el tipo de ataque más común hoy en dÃa, por lo que el servicio SIEM debe detectar y bloquear automáticamente las direcciones IP que escanean al menos 10 puertos diferentes en 5 minutos o intentan iniciar sesión en servicios crÃticos como RDP, SSH, FTP con al menos 10 nombres de usuario diferentes. Creo que SOC Prime es la plataforma más rica del mundo en términos de reglas de detección de amenazas.
¿Cuánto tiempo te llevó dominar la escritura de reglas Sigma? ¿Qué conocimientos técnicos se necesitan para eso?
Creo que es necesario conocer bien los servicios de registro, especialmente a nivel del sistema operativo, para escribir reglas Sigma. Para escribir una regla, necesitas monitorear bien los movimientos de los atacantes y minimizar la detección de falsos positivos. De lo contrario, pueden ocurrir demasiadas alarmas y podrÃas pasar por alto la amenaza real. Las reglas Sigma son muy eficientes en términos de detección de amenazas y nos ayudan a realizar tiros precisos. Mejoro mi habilidad para escribir reglas estudiando análisis de malware, revisión de Respuesta a Incidentes e informes de amenazas cibernéticas. Al escribir una regla, es necesario asegurarse de que la fuente de detección y el contenido de la regla escrita cumplan con la alarma esperada.
¿Cómo te enteraste del Programa de Recompensas por Amenazas de SOC Prime?
Estaba usando la plataforma de SOC Prime para buscar reglas de caza de amenazas, pero me enteré del programa de recompensas por amigos. Estoy muy feliz de estar en el programa, porque estoy aprendiendo muchas cosas aquà y mejorando a mà mismo.
Cuéntanos sobre tu trayectoria en el Programa de Recompensas por Amenazas. ¿Cuánto tiempo necesitas en promedio para escribir una regla Sigma que se publique en el Mercado de Detección de Amenazas sin ninguna corrección?
Me interesé mucho cuando escuché sobre el programa de recompensas por amenazas de SOC Prime y me postulé inmediatamente. El equipo de SOC Prime aprobó mi solicitud bastante rápido y se pusieron en contacto conmigo, lo cual me hizo muy feliz. Antes de escribir las reglas, estudié las reglas existentes y aprendà sobre el proceso.
Para escribir reglas sin errores en la plataforma, especialmente en análisis de malware y Respuesta a Incidentes, los desarrolladores necesitan tener al menos 1 año de experiencia en ciberseguridad. Sin embargo, el primer intento podrÃa hacerse ya en 1-2 semanas después de examinar las reglas existentes dentro de la plataforma y leer las guÃas.
¿Cuál es el mayor valor para ti al participar en el Programa de Recompensas por Amenazas?
El mejor valor de participar en el Programa de Recompensas por Amenazas es que las reglas que escribo son interesantes y ayudan a la comunidad. Porque si las reglas que escribes no son funcionales, obviamente no tienen sentido. Junto con el programa de recompensas por amenazas, tuve la oportunidad de mejorarme a mà mismo en el punto de escribir una regla Sigma, y al escribir una regla, también puedes aprender sobre configuraciones de seguridad detalladas a nivel del sistema operativo, lo cual te brinda una mejora técnica. Estoy feliz de participar en el Programa de Recompensas por Amenazas, mejorándome a mà mismo y contribuyendo a la comunidad.
Ir a la Plataforma Unirse al Programa de Recompensas por Amenazas
