Entretien avec un développeur : Florian Roth

[post-views]
septembre 27, 2019 · 8 min de lecture
Entretien avec un développeur : Florian Roth

Nous continuons d’écrire une série d’entretiens avec les participants du Programme Développeur (https://my.socprime.com/en/tdm-developers). L’interview précédente est ici : https://socprime.com/blog/interview-with-developer-lee-archinal/

Rencontrez Florian Roth.

Florian Roth est CTO de Nextron Systems GmbH. Il est le créateur de l’APT Scanner THOR – Scanner pour l’activité des attaquants et des outils de piratage et le développeur du service d’alimentation de règles Yara le plus complet de Nextron – Valhalla. Il a créé le projet Sigma avec Thomas Patzke. Florian est également l’auteur de nombreux projets open-source sur Github, y compris yarGen, LOKI IOC Scanner, yarAnalyzer, FENRIR (Bash IOC Scanner) et plusieurs projets OSINT tels que l’APT Group Mapping (Google Docs), membre de YARA Exchange.

Florian, pouvez-vous nous parler un peu de vous et de votre expérience dans le domaine de la cybersécurité ?J’ai commencé ma carrière en tant que chercheur offensif chez Siemens à Francfort en 2003. Pendant cette période, j’ai effectué de nombreux tests d’intrusion, ajusté des systèmes IDS/IPS et créé des solutions de surveillance de la sécurité pour des clients dans la région de Francfort (banques et autres grandes entreprises). En 2012, j’ai vécu mon premier incident qui n’impliquait pas une épidémie de virus mais une action humaine sous la forme d’un incident de sécurité persistant dans une grande entreprise allemande. À partir de ce moment, j’ai travaillé pour d’autres clients ayant des problèmes similaires et j’ai commencé à développer des outils, des directives et des mécanismes de détection pour identifier ce genre de menace.Vous êtes l’un des inventeurs de Sigma. Pouvez-vous nous dire comment cela s’est passé ? Comment avez-vous eu l’idée de faire quelque chose comme Sigma ?L’idée est née alors que je travaillais sur un ensemble de cas d’utilisation pour le manuel de détection de menaces d’un client. Le client m’a donné un ensemble de documents PDF de différents fournisseurs et m’a demandé d’extraire et de rédiger des requêtes de recherche pour détecter ces menaces dans son nouveau système SIEM. Cela semblait être un « gaspillage de levier », d’extraire et de rédiger un ensemble de requêtes de recherche spécifiques à un SIEM qu’un seul client peut utiliser. J’ai toujours imaginé une impression de mon travail dans un classeur et pensé : « Quel gaspillage. Il doit y avoir une meilleure – plus générique – façon d’exprimer ces idées de détection. Il doit y avoir beaucoup d’autres consultants comme moi sur cette planète travaillant sur les mêmes documents et les mêmes requêtes de recherche pour différents systèmes SIEM. Si l’un de nous pouvait exprimer et partager sa méthode avec les autres, qui pourrait convertir la forme générique en une forme spécifique pour leur système cible, nous en profiterions tous. »Que pensez-vous, comment Sigma est-il pratique en tant qu’outil pour écrire des règles de détection ?Nous avons décidé d’intégrer des fonctionnalités dans le standard qui bénéficient d’un large support parmi de nombreuses plateformes SIEM ou de gestion des journaux différentes. Nous avons exclu les fonctionnalités spécifiques de SIEM qui ne sont prises en charge que par une ou deux plateformes. De cette façon, nous gardons le standard propre et simple à écrire et à lire. Imaginez que même le modificateur « regex » nouvellement intégré n’est pas encore pris en charge par tous les backends. Par conséquent, je pense que c’est aussi pratique que possible pour écrire des règles, mais certaines idées de détection complexes ne peuvent pas être exprimées.Florian, recommandez-vous Sigma comme outil de chasse aux menaces ?Oui. Comme nous encourageons les gens à écrire des règles Sigma pour détecter un comportement malveillant générique, cela peut vous aider à détecter des menaces que votre Antivirus ou d’autres solutions manquent. Le dépôt public contient de nombreuses idées de détection qui ont plusieurs années mais détectent les campagnes Emotet les plus récentes et ne produisent aucun faux positif. Ce sont les règles qui nous rendent fiers et ont le plus de valeur pour les nouveaux utilisateurs. Imaginez que la plupart des règles Sigma sont gratuites et ouvertes. C’est le savoir-faire de détection que les fournisseurs vendent à un prix incroyablement élevé. Avec Sigma, vous pouvez suralimenter votre solution de gestion des journaux existante et appliquer les méthodes de détection fournies par la communauté sans frais supplémentaires. Mieux encore, avec un budget, vous pouvez facilement étendre ces règles avec des offres commerciales comme celles fournies dans le TDM de SOC Prime.Ce n’est un secret pour personne que la popularité de Sigma réside non seulement dans le fait qu’il est pratique comme outil, mais aussi dans le fait que la communauté partage activement son contenu avec tout le monde. Le partage est gratuit, mais appréciez-vous l’idée que la rédaction de contenu complexe et exigeant puisse non seulement rendre le monde plus sûr mais aussi rapporter de l’argent.Oui. Je pense que les deux manières de partager des idées de détection devraient coexister. C’est la manière naturelle dont les marchés évoluent – ils se diversifient et se développent.Comment prenez-vous la décision de créer une règle ?Je crée souvent des règles pour la communauté. Seulement dans les cas où je pense qu’une méthode est très spécifique, que j’ai consacré beaucoup d’efforts à la création de la règle ou que la méthode vise uniquement les clients d’entreprise (par exemple, un comportement lié aux APT), je décide de créer une règle en tant que contenu payant.Comment choisissez-vous quelles règles seront pour l’utilisation de la communauté ? Quels sont les principaux critères de ces règles ?J’aime fournir des règles pour les menaces actuelles qui sont des sujets chauds sur Twitter. Par exemple, si quelqu’un rapporte une nouvelle menace et fournit un échantillon (un exploit coder ou un malware), j’allume ma VM d’analyse, qui a Sysmon installé, exécute les échantillons, vérifie les journaux locaux, rédige une règle et la pousse dans le dépôt public. Cela me prend entre 10 et 30 minutes. Imaginez que les utilisateurs qui récupèrent et appliquent le dépôt public automatiquement peuvent obtenir une méthode pour détecter cette menace dans leur SIEM en moins d’une heure après son apparition publique sur Twitter. Dans le passé, cela était presque impossible ou prenait beaucoup plus de ressources pour surveiller les canaux publics, analyser une menace et rédiger ses propres requêtes de recherche.Combien de temps vous faut-il pour créer une nouvelle règle ?Quelques minutes. Je prends généralement une ancienne qui est similaire à celle que je voudrais écrire et je l’utilise comme modèle. Nous avons plus de 300 règles pour de nombreuses sources de journaux différentes parmi lesquelles choisir.Qu’est-ce qui manque dans l’interface utilisateur de Sigma pour que vous commenciez à l’utiliser ?Rien. Je préfère simplement un éditeur de texte avec le support de la syntaxe YAML car je n’ai pas besoin de l’assistance de l’interface utilisateur de Sigma pour écrire des règles valides.Florian, en tant que rédacteur de contenu, vous avez probablement un laboratoire. La question est comment vous testez vos règles et quelle source de journaux préférez-vous utiliser.J’ai différentes VM. Les machines Windows ont Sysmon installé, les machines Linux ont un auditd configuré. Pour être honnête, je ne transfère souvent pas mes journaux vers notre système de gestion des journaux interne mais je vérifie les règles localement avec notre scanner, qui est capable d’appliquer des règles Sigma sur un point final.Et que pensez-vous, le programme Développeur peut-il aider les organisations du monde entier à améliorer leur cybersécurité ?Oui, parce qu’il crée les incitations nécessaires pour les chercheurs en sécurité et nous obtenons tous plus de contenu, libre, ouvert et commercial. En particulier, le chercheur dans le secteur offensif pourrait remplir son temps entre les engagements à créer de grandes règles qui mènent à un revenu régulier. Ces nouveaux auteurs de règles, qui n’étaient pas présents sur le marché auparavant, ajoutent du contenu à des places de marché comme TDM et plus de contenu, même s’il coûte une redevance, c’est toujours mieux. Souvent, ils doivent fournir une preuve de la qualité de leurs règles avant que les gens commencent à acheter une partie de leur contenu. Ils ajouteront des règles gratuites à leurs articles de recherche et publications publiques. Tout le monde gagne. Les entreprises peuvent accéder à des flux de règles organisés ou utiliser des ensembles de règles open-source dans de nombreux dépôts différents. Elles peuvent payer une autre personne pour la durée ou charger leurs propres employés de recueillir et maintenir un flux régulier de nouvelles règles de détection de menaces. Une variété de sources toujours croissante, gratuites et commerciales, fournit la solution idéale pour chaque organisation et leur permet d’améliorer leur cybersécurité.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Entretien avec le D̩veloppeur de Threat Bounty РMehmet Kadir CIRIK
Blog, Entrevue — 8 min de lecture
Entretien avec le D̩veloppeur de Threat Bounty РMehmet Kadir CIRIK
Alla Yurchenko
Entretien avec le D̩veloppeur de Threat Bounty РAung Kyaw Min Naing
Blog, Entrevue — 6 min de lecture
Entretien avec le D̩veloppeur de Threat Bounty РAung Kyaw Min Naing
Alla Yurchenko
Entretien avec le d̩veloppeur de Threat Bounty РMustafa Gurkan Karakaya
Blog, Entrevue — 6 min de lecture
Entretien avec le d̩veloppeur de Threat Bounty РMustafa Gurkan Karakaya
Alla Yurchenko