La Nueva Era del Programa de Recompensas por Amenazas
Tabla de contenidos:
Cómo el Crowdsourcing moldea las futuras estrategias de defensa cibernética
El crowdsourcing es uno de los pilares clave para construir una defensa cibernética avanzada capaz de abordar los nuevos desafíos del panorama de amenazas moderno. Con más de 30 mil nuevas vulnerabilidades descubiertas únicamente en 2023 y ciberataques ocurriendo cada minuto, los equipos independientes apenas pueden hacer frente a la avalancha de amenazas existentes. El intercambio de conocimientos es fundamental para superar y burlar a los adversarios.
Al agregar datos e información de múltiples fuentes, las iniciativas de detección de amenazas basadas en crowdsourcing proporcionan una comprensión más profunda de la superficie de ataque y permiten respuestas más rápidas y coordinadas. Este enfoque colaborativo optimiza los recursos, asegura el intercambio de información en tiempo real y fomenta la mejora continua a través de un bucle de retroalimentación iterativo. Con su alcance global y capacidad para la innovación, el crowdsourcing construye una red de defensa resiliente y escalable, impulsando prácticas de ciberseguridad efectivas y orientadas a la comunidad para combatir amenazas cibernéticas sofisticadas y en evolución.
Siendo los evangelistas del enfoque de defensa cibernética colectiva, en el tercer taller comunitario de ATT&CK de la UE en mayo de 2019, SOC Prime lanzó el primer programa de recompensas de la industria para defensores cibernéticos. Conmemorando el quinto aniversario del Threat Bounty Program, presentamos el conjunto de herramientas mejorado y las capacidades ampliadas para contribuciones, reflejando los principios clave de la ciberseguridad moderna y proporcionando a los miembros de la comunidad basada en crowdsourcing las tecnologías más avanzadas de SOC Prime para la ingeniería de detección.
Volver a las raíces
Reconocer la excelencia personal y el reconocimiento de los derechos de autoría son fundamentales para la iniciativa de SOC Prime que une a especialistas de todo el mundo y les brinda la oportunidad de contribuir a la defensa cibernética global.
La iniciativa Threat Bounty recibió apoyo de los miembros de la comunidad de ciberseguridad que se apresuraron a aplicar y preinscribirse para el Programa tras el anuncio. Como una rápida reacción a la disposición y demanda de la comunidad, lanzamos el Developer Portal a principios de junio de 2019, que sirvió como el principal centro para contribuir con reglas de detección a SOC Prime durante cinco años.
Desde el primer día, el Threat Bounty Program de SOC Prime ha sido conocido como un entorno confiable y de apoyo para aquellos dispuestos a desafiar sus habilidades de ingeniería de detección y ganar algo de dinero mientras observan cómo sus reglas de detección ayudan a empresas de todo el mundo a resistir amenazas cibernéticas emergentes o conocidas.
El desarrollo y la transformación del Programa siempre han estado alineados con la evolución de la industria y la tecnología, lo que nos permite mantener un alto nivel de profesionalismo y motivación para aquellos dispuestos a expandir sus prácticas de ingeniería de detección y ser parte del equipo azul basado en crowdsourcing que proporciona detecciones a organizaciones de todo el mundo. Hoy en día, estamos llevando la experiencia del usuario de los miembros de Threat Bounty a un nivel completamente nuevo, equipándolos con las tecnologías y herramientas más avanzadas de SOC Prime para la ingeniería de detección.
Guiando a la Comunidad
Con la idea de un intercambio de conocimiento ilimitado dentro de la comunidad, en 2018, SOC Prime lanzó Uncoder.IO, que actuó como un traductor en línea rápido, privado y fácil de usar para las Sigma Rules, manteniendo el 100% de privacidad de sus usuarios. Al ver el éxito de Uncoder como herramienta comunitaria, en noviembre de 2023, el equipo de SOC Prime hizo de Uncoder.IO una herramienta totalmente de código abierto bajo la licencia Apache 2.0. Dado que Uncoder ha sido desarrollado con la privacidad en mente, la versión SaaS de la herramienta disponible en https://uncoder.io asegura que no haya seguimiento de cookies, registro de datos o códigos, o compartición con terceros. Para la comunidad, esto significa que cualquier profesional de seguridad experimentado o principiante en defensa cibernética se beneficia de la conversión básica de IOC, traducción de contenido y capacidades de creación de reglas Sigma & Roota.
Desde la primera preinscripción para el Threat Bounty Program en abril de 2019, SOC Prime ha recibido casi 2,000 solicitudes para unirse al Programa y ha dado la bienvenida a más de 600 individuos que demostraron su disposición de contribuir a la defensa cibernética global a través de SOC Prime. Contribuir con ingeniería de detección basada en crowdsourcing a menudo requiere que los autores de las reglas de detección de amenazas se aventuren más allá del ámbito familiar de intereses y habilidades profesionales establecidos en el lugar de trabajo, la organización o incluso la industria y expandan sus competencias expertas y análisis del panorama global de amenazas cibernéticas.
Aunque alinear el esfuerzo de los ingenieros de detección de amenazas basadas en crowdsourcing con la necesidad real del mercado es una parte esencial, o incluso vital del Threat Bounty Program, siempre es un desafío para los autores de contenido mantener sus habilidades alineadas con las demandas contemporáneas en cuanto a la complejidad de las detecciones y el panorama de amenazas en constante cambio.
Los miembros del programa que han estado con la comunidad desde los primeros días recuerdan lo fácil y sencillo que era publicar su contenido en la plataforma SOC Prime. Los autores podían enviar sus algoritmos de detección para una publicación Premium o de Comunidad, y este enfoque les proporcionaba más flexibilidad, especialmente cuando la lógica de detección no era compleja. Sin embargo, fomentar y promover las contribuciones de menor esfuerzo a la comunidad global va en contra de los principios del Programa.
The Threat Bounty Program is a demanding environment that promotes the development of personal talent in the cybersecurity workforce of any organization and cybersecurity vendor. The program enables experts specializing in various technologies to further develop and utilize their applied skills in an ethical and competitive setting with strict requirements for following laws and regulations regarding IP rights and personal data, as well as an understanding of generic Sigma format and deep knowledge of vendor-specific formats.
Además, el desarrollo y evolución de Uncoder IO y la introducción de la conversión IOC a consultas de caza personalizadas marcaron otro avance en la transformación del Threat Bounty Program y los requisitos de aceptación de contenido. En respuesta a la evolución del Programa, los autores de contenido que querían ganar dinero con sus propias detecciones tuvieron que adaptarse al entorno más exigente e invertir tiempo en desarrollar reglas más complejas.
Recompensas
La posibilidad de monetizar las reglas de detección con el Threat Bounty Program de SOC Prime es sin duda un punto importante a considerar para aquellos que buscan oportunidades para ganar ingresos adicionales de su conocimiento profesional.
El sistema de recompensas basado en calificaciones es un medio para entregar retroalimentación global sobre el contenido de detección, que incluye reflejar las tendencias en la demanda de cobertura de detección de tecnologías, fuentes de registro específicas, comportamientos y herramientas de grupos APT particulares.
Este enfoque de recompensar a los autores de contenido fue más que útil para alinear las recomendaciones generales para las reglas aceptadas con la demanda real de los usuarios regulares de la plataforma. Por ejemplo, quedó claro que una detección mínima viable o un IOC (Indicador de Compromiso) de bajo nivel no puede contribuir a una detección de amenazas eficiente como parte de la oferta de SOC Prime a la comunidad global.
El sistema de recompensas basado en calificaciones, junto con los estándares establecidos para la calidad de las presentaciones, permite a SOC Prime recompensar a los autores que entregan contenido procesable capaz de detectar herramientas y comportamientos maliciosos en los entornos reales de empresas y gobiernos.
La información es clave
Compartir retroalimentación continua es esencial para mantener altos estándares de desarrollo de contenido basado en crowdsourcing, asegurando la participación continua de la comunidad cibernética en el desarrollo de detecciones procesables, mejorando la calidad del contenido y aumentando la credibilidad entre los usuarios finales. Mientras proporcionamos a los autores retroalimentación sobre sus reglas enviadas por correo electrónico, los ingenieros de SOC Prime que verifican las detecciones sugeridas para publicación no extienden su retroalimentación a consultas profesionales personales o sesiones de coaching. En cambio, animamos a los miembros del Threat Bounty Program a participar en discusiones impulsadas por la comunidad, que creemos son más valiosas para la comunidad de Threat Bounty que las consultas individuales, ya que aumentan la transparencia, fomentan el intercambio de información e incentivan el desarrollo de habilidades entre los autores de Threat Bounty.
Para equipar a los miembros del Threat Bounty Program con una comunidad de aprendizaje abierto e intercambio de conocimiento, hemos introducido un canal de Discord que sirve como un centro donde los practicantes experimentados comparten generosamente su conocimiento e información con nuevos entusiastas para fomentar la colaboración impulsada por pares, participar en discusiones animadas, mantenerse al día con las últimas tendencias en ciberseguridad y avanzar en sus habilidades técnicas.
¿Qué hay de nuevo?
La detección de amenazas basada en crowdsourcing siempre viene con un lenguaje unificado, por lo que cualquier profesional de seguridad puede beneficiarse de la defensa cibernética colectiva. El Threat Bounty Program comenzó con las reglas Sigma en su núcleo, haciendo las contribuciones de la comunidad portátiles a muchos idiomas SIEM y EDR. Sin embargo, para capacitar a la industria para superar las limitaciones de las reglas Sigma al describir y portar detecciones complejas basadas en comportamientos, el equipo de SOC Prime introdujo Roota en 2023.
Con Roota actuando como encapsulador, los defensores cibernéticos pueden tomar una regla o consulta nativa y aumentarla con metadatos, con la ayuda de Uncoder AI, traducir el código a otros lenguajes de SIEM, EDR y Data Lake. Inspirado por el éxito de las reglas Yara y Sigma, Roota se centra en una aplicabilidad más amplia por una comunidad más grande de defensores. Esto significa que puedes escribir en Roota con cualquier idioma que ya conozcas y Uncoder te ayudará a traducir a otros idiomas comunes, eliminando la necesidad de aprender cualquier nuevo idioma de consulta específico o genérico. El objetivo es equipar a cualquier persona con experiencia en escritura de reglas con mejores herramientas en el trabajo. De esta manera, no solo los cazadores de amenazas experimentados, los expertos en reglas DFIR y Sigma, sino también los analistas SOC ansiosos por contribuir al bien colectivo a través del Threat Bounty Program ahora usan el paquete avanzado de ingeniería de detección de SOC Prime con Uncoder en su núcleo. SOC Prime ahora proporciona a nuestros miembros de Threat Bounty una IA privada que no filtra su código, respalda la adhesión a la Licencia de Reglas de Detección y asegura que los derechos de autor de IP no se pierdan en la traducción, todo esto sobre un entorno de desarrollo privado que no es rastreado por IA generativa, un repositorio personal para almacenar sus detecciones en un entorno SOC 2 Tipo II en la nube, y múltiples características similares a un IDE, incluyendo autocompletado de código, etiquetado MITRE ATT&CK, control de calidad, correcciones y un flujo de trabajo integrado para revisión y uso de código.
La nueva era del programa de ingeniería de detección basada en crowdsourcing de SOC Prime unifica todas nuestras iniciativas comunitarias, creando un flujo de trabajo todo en uno fácil de usar diseñado para liberar el talento personal, mejorar las habilidades de ingeniería de detección y caza de amenazas, y expandir la experiencia tecnológica. El Threat Bounty Program proporciona un entorno seguro, ético y competitivo para que los participantes contribuyan a la defensa cibernética mientras obtienen reconocimiento y beneficios tangibles por sus esfuerzos.
