Entretien avec le Développeur : Ariel Millahuel

Nous avons réalisé une autre interview avec un des participants au programme des développeurs de SOC Prime (https://my.socprime.com/en/tdm-developers). Nous voulons vous présenter Ariel Millahuel.Ariel, pourriez-vous vous présenter et nous parler de votre expérience en Threat Hunting ?Je suis Ariel Millahuel de Buenos Aires, Argentine et j’ai 30 ans.
J’ai commencé dans le domaine du Threat Hunting il y a 2 ans, lorsque je suis passé d’un SOC à un poste en Blue Team. C’était mon point de départ et maintenant, c’est l’une de mes passions.Parlons de l’industrie du threat hunting. Selon vous, quelles sont les tendances les plus importantes et les points faibles actuels ?À mon avis, les tendances les plus importantes sont la chasse au Malware, les logs Sysmon, et les technologies Cloud. Je pense que le point faible réside dans l’intégration de l’apprentissage machine dans l’industrie.Parlez-nous de votre expérience avec Sigma. Quand avez-vous commencé à l’utiliser et pourquoi ?La première fois que j’ai vu Sigma, c’était dans TDM, en explorant les règles, etc. À ce moment-là, j’ai commencé à apprendre sur Sysmon et la surveillance des processus, il y a environ 5 mois. Il m’a fallu au moins 3 mois pour commencer à écrire des règles Sigma simples.Selon vous, quels sont les principaux avantages de Sigma en tant qu’outil de threat hunting ? Sigma peut-il changer la façon dont les organisations construisent leur cyber défense ?Les principaux avantages de Sigma résident dans l’intégration avec les SIEMs les plus importants de l’industrie, et la possibilité de créer constamment du contenu à mesure que de nouvelles menaces apparaissent sur le devant de la scène.
Sigma peut changer non pas la façon dont les organisations construisent leur cyber défense, mais tout le scénario pour les équipes bleues et rouges.Selon vous, quelle est la partie la plus compliquée et la plus chronophage de l’écriture d’une nouvelle règle Sigma ?La partie la plus compliquée et la plus chronophage est de valider ce que vous mettez dans une règle spécifique. Je fais cela dans mon laboratoire virtuel.Combien de temps vous faut-il pour écrire une nouvelle règle Sigma ? Comment décidez-vous quelle règle créer ?L’ensemble du processus me prend au moins 2 heures par règle. Cela se produit lorsque je vois un nouveau comportement dans le malware que j’analyse dans un sandbox.Selon vous, que pourrait-on améliorer dans Sigma ?Sigma s’est développé depuis que j’ai commencé à l’utiliser et c’était génial de voir le genre de choses que vous réalisez. Ce serait bien si l’Uncoder fournissait des retours sur les erreurs d’analyse ou les erreurs ‘inconnues’. Je les ai vues et parfois il est difficile de voir ce que vous faites mal.Que recommanderiez-vous aux spécialistes en cybersécurité qui apprennent à écrire des règles Sigma, avez-vous des astuces pour maîtriser l’écriture Sigma ?Je recommande à ces personnes l’étude approfondie de Sysmon et d’apprendre toujours comment les attaquants pensent et se déplacent.Avez-vous essayé d’utiliser l’interface Sigma ? Que pensez-vous, comment pourrait-elle être améliorée ?L’interface Sigma est un outil puissant et c’est tout simplement parfait. Je l’ai utilisée pour voir comment le code Sigma brut se présente dans ArcSight.Avez-vous un laboratoire ? Comment testez-vous vos règles et quelles sources de logs préférez-vous utiliser ?J’ai un petit mais efficace laboratoire où les règles sont testées. Je préfère toujours les logs SysmonVous êtes un participant au programme des développeurs de SOC Prime, que pensez-vous, le programme des développeurs peut-il aider les organisations du monde entier à améliorer leur cybersécurité ?TDM et le programme des développeurs de SOC Prime aideront beaucoup, et feront probablement un grand changement avec l’excellente idée de rémunérer les développeurs.Chez SOC Prime, nous avons lancé le programme Threat Bounty qui encourage le partage de contenu entre professionnels de la cybersécurité. Ariel, approuvez-vous l’idée de récompenser les développeurs pour le partage de règles Sigma et d’autres contenus de détection de menaces ?Oui, à 100%. C’est l’un des points qui m’ont convaincu de rejoindre ce programme.Quelle serait votre recommandation pour les jeunes spécialistes en cybersécurité qui décident quelle voie choisir ?Avant de choisir une voie, je recommande aux jeunes passionnés de sécurité de rester toujours informés et d’apprendre. Ce n’est jamais suffisant dans ce monde.Ariel, vous êtes le premier développeur qui publie ses règles sur Twitter, et c’est super. Serait-il intéressant pour la communauté de la cybersécurité d’avoir un ‘flux’ sur Twitter/Télégram, où les informations sur les nouvelles règles seront publiées ?Un bouton ‘partager’ avec un aperçu de la règle Sigma serait très intéressant pour le TDM. Un flux serait également génial. Cela pousserait probablement les règles, et les avantages pour les développeurs et SOC Prime aussi.Twitter… comment contrôler qui lit votre flux ? Si vous donnez quelques idées sur ce qu’il faut détecter, les méchants peuvent lire et utiliser cette information contre quelqu’un d’autre. Parfois, une bonne approche peut être mal utilisée… Qu’en pensez-vous ?Je suis à 100% d’accord avec ça. Je ne publie pas sur Twitter certaines nouvelles idées jusqu’à ce que je crée des règles Sigma ou du contenu pour mon travail. C’est une bonne manière de prévenir une mauvaise utilisation de vos idées.Nous avons une dernière question spécifique pour vous. L’analyse des malwares est généralement une action réactive et certaines organisations peuvent déjà être piratées par ces malwares. Ariel, que pensez-vous de la détection prédictive ? Est-ce possible ? Si oui, comment cherchez-vous les nouvelles idées à détecter ?La détection prédictive est compliquée mais pas impossible. Je dis cela à cause de la variété des comportements des malwares « dans la nature ». Vous pouvez réaliser une bonne matrice de prédiction si votre organisation pense à la sécurité de manière sérieuse et si vous pouvez utiliser des applications pour l’analyse des malwares comme les sandboxes.