Entretien avec le Développeur : Den Iuzvyk

[post-views]
avril 27, 2020 · 5 min de lecture
Entretien avec le Développeur : Den Iuzvyk

SOC Prime présente une autre interview avec un participant du programme SOC Prime Threat Bounty Developer (https://my.socprime.com/en/tdm-developers). Nous voulons vous présenter Den Iuzvyk, qui a publié plus de 60 règles communautaires de la plus haute qualité et valeur de détection pendant six mois de participation au Threat Bounty Program.Lisez plus d’interviews avec des développeurs de contenu sur notre blog : https://socprime.com/en/tag/interview/

Parlez-nous un peu de vous et de votre expérience en chasse aux menaces.

Je m’appelle Den Iuzvyk, je viens de Kyiv, Ukraine, et j’ai 34 ans. Je suis le CTO d’une entreprise appelée Simplerity.

J’ai commencé ma carrière en 2003 en tant que développeur de logiciels. Je me suis intéressé à la cybersécurité en 2015. Par la suite, je suis devenu cofondateur d’une entreprise où nous avons créé une plateforme d’analyse de journaux et de chasse aux menaces. J’ai créé divers outils de détection de malware, des simulateurs d’attaques automatisées, vérifié les systèmes de détection modernes pour leurs faiblesses.

Den, quelle est la différence entre la chasse aux menaces et la détection des menaces ?

La chasse aux menaces est une partie du processus de détection des menaces qui se concentre sur la détection proactive des menaces ayant franchi les systèmes de sécurité et d’alarme existants.La détection des menaces est un ensemble d’actions visant à détecter les menaces à chaque étape de leur cycle de vie.

À votre avis, qu’est-ce qui rend Sigma un instrument si efficace pour la chasse aux menaces ?

Sigma est le choix idéal pour un chasseur de menaces car son format de haut niveau permet d’utiliser, de stocker et de partager des analyses sans être lié à un backend particulier.Sigma aide à laisser de côté les noms de champs dans les journaux et à se concentrer sur les résultats. Ma partie préférée de Sigma est « les références » – la source qui a inspiré l’auteur à créer la détection.

Quelles compétences sont nécessaires pour développer des règles Sigma pour la chasse aux menaces ?

Tout d’abord, c’est l’approche analytique dans le traitement des données. Car vous devez repérer les motifs que vous pouvez utiliser pour créer des détections efficaces.

La deuxième compétence est de connaître les TTP des attaquants.

Le troisième point est une bonne maîtrise de l’organisation interne des systèmes d’exploitation.

Le quatrième est la compréhension de la sécurité réseau et de la sécurité des données.

Quels types de menaces sont les plus compliqués à détecter ? Den, peut-être pouvez-vous donner un exemple de la vie réelle ?

La chose la plus difficile à détecter est les rootkits.Viennent ensuite les pilotes signés qui ont été publiés avec des bugs permettant de les exploiter et de travailler directement en mode noyau, ce qui permet à un fraudeur de contourner les systèmes de sécurité.Ensuite viennent les menaces avec .NET Framework (AppDomainManager et chargement d’assemblage).Mais ce qui peut nous rendre heureux, c’est la croissance de la compréhension des vecteurs de menace probables, et en conséquence, apparaissent de nouvelles visibilités comme l’intégration AMSI avec la version .NET 4.8, et ETW (Event Tracing for Windows)

Selon vous, quel est le plus grand avantage du programme Threat Bounty de SOC Prime ?

Du point de vue du créateur de règles de détection, le programme Threat Bounty présente les besoins des clients et permet de plonger profondément dans la recherche où vous acquériez des connaissances et de l’expérience, et êtes récompensé par SOC Prime.

La fuite de données est un problème très courant pour de nombreuses organisations maintenant, quelles mesures pensez-vous pourraient être les plus efficaces pour éviter une violation de données (si elle n’est pas causée par des employés irresponsables) ?

Cela dépend de la stratégie choisie qui peut différer selon le type d’entreprise. Mais les étapes suivantes sont essentielles :

Évaluation du système de sécurité actuel, résolution des zones de vulnérabilité.

Classification des données. Il est très important de savoir où et quelles informations sont stockées. Toutes les informations n’ont pas besoin d’être protégées.

Classification des accès. Il est essentiel de savoir qui a accès à l’information, aussi bien physique que réseau.

Surveillance continue. Collecte et analyse des journaux reçus des stockages de données et des stations de travail.

Sensibilisation et information en temps opportun du personnel.

Chiffrement. Toutes les données stockées et transférées doivent être chiffrées.

Gestion des correctifs.

En tant que chasseur de menaces expérimenté, que pensez-vous devoir être la priorité n°1 pour les organisations qui souhaitent construire une cyberdéfense solide ? (et pourquoi)

Activer l’authentification multifacteur 🙂À mon avis, tout d’abord, vous devez comprendre l’importance de chaque étape. Il n’y a pas de solution miracle, c’est un processus continu.L’approche proactive serait le meilleur choix ici, bien qu’elle soit assez coûteuse au début mais elle est la plus rentable à l’avenir.La priorité dans le développement d’une approche de cybersécurité pour une entreprise consiste à définir les actifs critiques pour les affaires dont dépend l’ensemble de l’opération commerciale.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes