Entrevista con el Desarrollador de Threat Bounty: Wirapong Petshagun
SOC Prime Programa Threat Bounty sigue uniendo a desarrolladores de contenido de detección entusiastas y apasionados que se unieron a la comunidad para contribuir a la defensa cibernética colectiva y monetizar sus detecciones exclusivas en la Plataforma SOC Prime. Conozca a Wirapong Petshagun, quien se unió a la comunidad Threat Bounty en junio de 2022 y ha estado publicando regularmente reglas de alta calidad para ayudar a los usuarios de SOC Prime a detectar oportunamente amenazas existentes y emergentes. En septiembre de 2022, Wirapong fue uno de los 5 desarrolladores de contenido Threat Bounty mejor valorados.
Detecciones por Wirapong Petshagun
- Cuéntanos un poco sobre ti, tu formación profesional y tu experiencia en ciberseguridad.
Saludos, mi nombre es Wirapong Petshagun y soy de Tailandia. Me gradué con un programa de MaestrÃa en Ciencias en Gestión de Ciberseguridad. Me ha interesado la ciberseguridad desde que estaba en la universidad. Mi primer trabajo fue como respuesta a incidentes de ciberseguridad en una de las empresas de telecomunicaciones más grandes de Tailandia. Fue difÃcil para mà porque era nuevo en el campo. Me asignaron crear reglas de detección para soluciones de seguridad como IPS, WAF, EDR y SIEM. Además de eso, he manejado numerosos incidentes cibernéticos y también diseñado y creado libros de estrategias automatizadas para implementar con SOAR.
Actualmente, trabajo como Respondedor de Incidentes Cibernéticos para una empresa de consultorÃa de seguridad. Me asignaron brindar noticias de seguridad y métodos de detección a un cliente. Investigué en muchos sitios web hasta que encontré SOC Prime. Además de eso, he creado muchos desafÃos CTF, lo cual me ha ayudado a obtener una comprensión profunda de cómo atacar y detectar.
2. ¿Cuáles son tus temas de interés en ciberseguridad y por qué? ¿Cómo quieres crecer como profesional de la ciberseguridad?
Me interesan los incidentes cibernéticos porque es emocionante ver las nuevas técnicas que están siendo utilizadas por varios grupos APT. Como Respondedor de Incidentes, no tengo miedo de enfrentar tareas desafiantes porque creo que es la manera más eficiente para mejorar mis habilidades.
3. ¿Cómo te enteraste del Programa Threat Bounty y por qué decidiste unirte?
Descubrà la Plataforma SOC Prime cuando buscaba una regla de detección para usar con el SIEM para detectar nuevos CVEs y técnicas. Después de eso, encontré el Programa Threat Bounty en SOC Prime y decidà unirme de inmediato porque esta es la única plataforma que tiene un Programa Threat Bounty, que permite a los Blue Teamers publicar reglas de detección para ayudar a muchas organizaciones a detectar ciberataques. También creo que el Programa Threat Bounty podrÃa ayudarme a mejorar mi conocimiento y habilidades.
4. Cuéntanos sobre tu viaje y experiencia con el Programa Threat Bounty. ¿Qué te sorprendió más?
Acabo de comenzar a aprender a escribir reglas Sigma y reglas Snort el mes anterior a unirme al Programa Threat Bounty. Me sorprendà cuando creé y envié reglas de detección a SOC Prime. Cada regla es revisada en detalle y también se proporciona retroalimentación por parte del revisor. Eso podrÃa ayudarme a mejorar mis habilidades en la escritura de reglas de alta calidad.
Otra cosa que me sorprendió fue que desarrollé una regla Sigma que incluÃa algunas cargas maliciosas, y fue bloqueada por el WAF de la Plataforma SOC Prime. TemÃa que me prohibieran en ese momento, pero cuando contacté a SOC Prime en Slack, me informaron que era un error y me aconsejaron reportarlo en el canal de lista de errores.
5. ¿Cuánto tiempo necesitas en promedio para crear una regla Sigma que se publicará en la Plataforma SOC Prime?
El tiempo promedio depende de la complejidad de la regla, el tipo de regla y las técnicas utilizadas por los actores de amenazas. Algunas técnicas necesitan ser probadas para asegurar que funcionen y se ajusten para reducir falsos positivos, lo cual también afecta el tiempo que lleva redactar. Usualmente, invierto entre 15 y 30 minutos en cada regla Sigma.
6. ¿Cuál crees que es el mayor beneficio del Programa Threat Bounty de SOC Prime para la ciberseguridad y para ti personalmente?
El Programa Threat Bounty de SOC Prime es la única forma para Blue Teamers como yo de adquirir experiencia valiosa en la escritura de reglas de detección de amenazas bajo la supervisión del Equipo SOC Prime. El programa también es una nueva motivación para explorar nuevas técnicas de ataque utilizadas por actores de amenazas en todo el mundo.
7. ¿Qué recomendarÃas para los principiantes del Threat Bounty de tu propia experiencia?
Si eres nuevo en Programa Threat Bounty, comienza observando las reglas de SigmaHQ o las reglas de acceso gratuitode SOC Prime, luego verifica los detalles del ataque desde el enlace en la referencia de la regla e intenta convertirlos en condiciones para detectar los ataques por ti mismo. Esta es la manera más rápida de aprender más sobre cómo escribir las reglas Sigma .
