Historia de Éxito de Threat Bounty: Kyaw Pyiyt Htet

Hoy queremos contarte la historia de Kyaw Pyiyt Htet, el autor de contenido que ha estado con el Programa de Recompensas de Amenazas durante casi cuatro años. Presentamos a Kyaw Pyiyt Htet en nuestro blog y mencionamos información sobre su trayectoria personal y profesional.

Es emocionante escuchar de Kyaw Pyiyt Htet ahora y aprender sobre su desarrollo profesional, progresos en su carrera y planes para el futuro.

Cuéntanos sobre ti, tu empresa actual y tu posición en la empresa.

Soy Kyaw Pyiyt Htet. Mi nombre es un poco difícil de pronunciar. Actualmente trabajo como Analista de Amenazas Senior en LMNTRIX, un servicio XDR australiano. La empresa ofrece servicios de defensa cibernética en las regiones de APAC y Norteamérica. Mis tareas diarias se concentran principalmente en la respuesta a amenazas utilizando EDR/XDR. Es lo que hago en mi posición actual y como mi trabajo diario.

Antes de unirme al Programa de Recompensas de Amenazas, trabajé como analista L1. Ajusté las reglas de detección y me apoyé en firmas y monitoreo reactivo. También aprendí cómo operan los ingenieros de detección de amenazas y cómo identificar incidentes cibernéticos de manera efectiva.

¿Cuánto tiempo has sido miembro del Programa de Recompensas de Amenazas? ¿Cuáles crees que son tus mayores logros y hitos como autor de contenido de amenazas?

He estado participando en el Programa de Recompensas de Amenazas durante tres años y ocho meses, y aún continúo contribuyendo. Mi mayor logro y hito es que fui listado como el autor principal en 2022 en agosto, octubre y noviembre en el informe mensual. Recientemente, fui reconocido como uno de los Top 20 contribuyentes de SOC Prime.

Hablando sobre las contribuciones de reglas, ¿puedes decirnos cuántas reglas enviaste durante tu participación en el Programa?

Actualmente, 189 reglas han sido exitosamente publicadas en el Mercado de Detección de Amenazas. La sumisión total podría ser de más de 200 reglas, pero desafortunadamente, no puedo recordarlas con detalle. Muchas de mis presentaciones fueron rechazadas. A pesar de haber recibido tantas rechazos, he ganado experiencia que utilizo para crear reglas Sigma de alta calidad.

¿Tienes algún cronograma personal o hitos para enviar tus reglas? Observando la actividad de la comunidad de Recompensas de Amenazas, el número de envíos para los autores que publican activamente varía significativamente, desde 5 hasta más de 50 envíos por semana. ¿Cómo lo haces?

No tengo ningún objetivo fijo. Y más de 50 envíos mensuales, no hago eso. Pero puedo contarte sobre mi enfoque.

Primero que nada, leo informes de amenazas de código abierto, como Unit 42, Cybereason, Cisco Talos, y similares. Usualmente, leo los informes y busco algunos artefactos de detección. Por ejemplo, si hay alguna creación de clave de registro, o alguna operación programada por el actor de la amenaza, y así sucesivamente, y luego tomo ese artefacto de detección, creo una regla Sigma, y contribuyo al Programa de Recompensas de Amenazas.

En paralelo, investigo el marco C2 personalizado en mi entorno de laboratorio en casa, y allí puedo encontrar otros artefactos de detección significativos. Hasta ahora, tengo varias reglas de detección en la Plataforma SOC Prime que son 100% mi investigación interna.

Estos dos enfoques que utilizo para escribir reglas de detección que contribuyo.

¿Tienes algún tema o dirección particular en la caza de amenazas que te apasione y emocione mucho?

Cuando leo un informe de inteligencia de amenazas , primero busco indicadores de ataque en lugar de indicadores de compromiso. Si tengo que crear contenido de detección robusto, debería basarse en indicadores de ataque porque es difícil de cambiar desde la perspectiva del atacante.

Por ejemplo, si escribimos una regla Sigma basada en IOC, como una dirección IP o un nombre de dominio, no es realmente confiable como detección a largo plazo.

Es por eso que presto atención a las ejecuciones de línea de comando u otros artefactos clave del registro que son difíciles de cambiar en una operación del atacante.

Hablemos de la parte menos agradable de las presentaciones de contenido, a saber, el rechazo de contenido. ¿Cuál es tu experiencia?

Honestamente, anteriormente, me apoyé en IOCs para crear reglas Sigma, y esta fue la razón principal por la que mis reglas fueron rechazadas. Otra razón es que a veces creo reglas muy tarde, por lo que el contenido de otros contribuyentes ya ha pasado la verificación antes que yo.

Cada vez que recibo un rechazo, el equipo de verificación de SOC Prime especifica una razón. Me recomendaron que me concentrara en crear reglas de alta calidad y alta precisión. Gané esta experiencia a pesar de haber recibido tantos rechazos.

¿Y cómo pasaste de escribir reglas basadas en IOC a contenido de comportamiento?

Más tarde, comencé a aplicar el modelo Pirámide de Dolor porque, usando este modelo, podemos hacer una evaluación de las capacidades del atacante basado en el nivel de dificultad. Lo que quiero decir con eso es que, cuanto mayor sea el nivel de los artefactos en la Pirámide de Dolor, mayor será la precisión de la regla de detección.

Siempre aplico el modelo Pirámide de Dolor cuando leo informes de amenazas o llevo a cabo mi propia investigación. Cuando encuentro algunos buenos artefactos, creo una regla Sigma y la envío.

¿Te ayudó esta experiencia a crecer profesionalmente?

Sí, exactamente. Por ejemplo, soy muy atento a las recomendaciones del equipo de SOC Prime cuando dicen que mi regla es débil o que tengo que ajustar algunos parámetros de detección. Ese tipo de recomendaciones me ayudan mucho en mi trabajo también. Puedo hacer un mejor ajuste fino y reducir las alertas de falsos positivos. Creo que gané mucho de mi experiencia participando en el Programa de Recompensas de Amenazas.

¿Cuál fue tu principal motivación para participar en Recompensas de Amenazas? ¿Fue dinero, mejora personal, o tal vez un desafío?

Para crear reglas para el Programa de Recompensas de Amenazas, tengo que leer noticias sobre amenazas emergentes. Esto me ayuda mucho con mi trabajo diario porque mis responsabilidades laborales incluyen operaciones de inteligencia de amenazas cibernéticas. Significa que necesito mantenerme conectado con la información sobre amenazas emergentes y crear reglas de detección casi todos los días. En realidad, participar en el Programa de Recompensas de Amenazas y hacer mi trabajo diario están muy conectados, y no hay una gran diferencia allí. Es por eso que animo a todos a participar en el Programa de Recompensas de Amenazas, que nos ayudará a mejorar nuestras habilidades y será beneficioso para las empresas en las que trabajamos.

¿Cuál es tu motivación personal para seguir contribuyendo con reglas a Recompensas de Amenazas?

Primero que nada, quiero contribuir a la comunidad internacional porque quiero ser famoso. Esta es mi motivación personal y mi ego. Seguramente, quiero tener ingresos adicionales y poder comprar lo que quiera. Una motivación más importante para mí es que puedo mostrar mi carrera y habilidades participando en el Programa de Recompensas de Amenazas. Puedo agregar esto a mi CV al solicitar un nuevo trabajo en el mercado internacional de ciberseguridad.

Hablemos de tu comunidad. ¿Compartes tu experiencia y recomiendas a tus amigos y colegas unirse al Programa de Recompensas de Amenazas?

Sí, claro, algunos de mis amigos ya están contribuyendo activamente al Programa de Recompensas de Amenazas. Para aquellos que aún no son miembros de este programa, siempre los animo a participar. Aunque recibirán muchos rechazos al principio, en paralelo, como ya mencioné, es una gran oportunidad para aprender a crear reglas de detección maduras. ¡No se rindan!

El otro beneficio es que estamos creando reglas Sigma, por lo que sabemos qué es la actividad anormal y podemos ajustar mejor las reglas existentes. Este es el tipo de mejora de habilidades que puedes ganar participando en el Programa de Recompensas de Amenazas.

¿Cómo planeas seguir desarrollándote profesionalmente? ¿Confías en SOC Prime para esto?

Con la asistencia de SOC Prime — y realmente es una de las partes principales de mi desarrollo profesional — quiero convertirme en un experto en inteligencia de amenazas cibernéticas en cinco años. Con la ayuda de SOC Prime, obtuve la posibilidad de involucrarme con la comunidad internacional en el servidor de Discord y recibir comentarios del equipo de verificación, que también es una parte importante para la mejora personal.

Además, con Uncoder AI, puedo convertir fácilmente reglas Sigma al lenguaje EDR que utilizamos en nuestra empresa, lo cual también es útil.

Tu experiencia es muy interesante e inspiradora. Creo que más entusiastas que están comenzando sus carreras deberían seguir tu ejemplo y tus consejos y unirse al Programa de Recompensas de Amenazas.