Entretien avec le Développeur : Nate Guagenti
Rencontrez Nate GuagentiDepuis plus d’une décennie, Nate a à la fois déployé et conçu des SIEMs réseau et endpoint qui ont évolué pour ingérer plusieurs To/jour, tout en utilisant et en formant d’autres personnes sur la solution déployée. Comme Nate a travaillé dans tous les aspects de l’informatique, il ajoute l’expérience unique de quelqu’un qui a effectué à la fois une surveillance de la sécurité des endpoints et du réseau. Son travail sur la chasse aux menaces et la détection des menaces internes a été présenté lors de diverses conférences. Nate est un contributeur au projet open source HELK (https://github.com/Cyb3rWard0g/HELK), qui se concentre sur la chasse aux menaces à travers les données des endpoints en utilisant la Elastic Stack, ainsi que sur le cadre SIGMA, qui est un projet open source qui standardise les signatures et les méthodes de détection.Nate, parlez-nous de votre expérience en cybersécurité et pourquoi avez-vous décidé de vous concentrer sur des solutions open source comme Elastic ?J’ai commencé ma carrière en cybersécurité en 2012 où je travaillais pour un client gouvernemental. De là , je suis passé d’analyste SOC à l’analyse de malware. Au fil du temps, cela s’est élargi à la chasse aux menaces et à des rôles incluant le déploiement de capteurs NSM Zeek (Bro) de plus de 10 Gbps et des clusters Elastic.
En tant que défenseur, nous sommes confrontés à une montagne de défis dont beaucoup échappent à notre contrôle. Cependant, il y a des choses que nous pouvons contrôler et résoudre et nous ne pouvons pas attendre le prochain trimestre pour obtenir une correction ou une fonctionnalité d’un fournisseur. Le déploiement de logiciels open source, tels qu’Elastic, m’a permis de combler des lacunes défensives critiques dès le lendemain. De plus, en ayant la barrière financière supprimée pour utiliser et apprendre le produit, cela m’a permis d’accélérer ma compréhension de chez moi.À votre avis, quelles sont les tendances les plus importantes de la chasse aux menaces dans l’industrie actuellement ?L’industrie a déjà montré que le problème de la collection (télémétrie) et du big data peut être résolu. Cela a permis à de nombreuses tendances et processus d’évoluer, de mûrir et de voir le jour. L’une de ces tendances est la documentation des données (montrée dans OSSEM par @Cyb3rWard0g), la normalisation des données et les langages de requête standardisés (SIGMA). De plus, la télémétrie intégrée est explorée pour remplacer ou compléter les solutions d’entreprise et partagée ouvertement. En retour, les gens peuvent maintenant valider, explorer et utiliser ces données partagées pour construire des détections et des modèles sans la nécessité de solutions d’entreprise coûteuses ou d’un laboratoire de grande taille. En outre, la communauté développe des détections plus larges autour des tactiques et techniques. Quelque chose comme le cadre Mitre ATT&CK est un parfait exemple. Les règles SIGMA existantes pour la découverte d’environnement ou les processus de génération de Microsoft Office le montrent en pratique.
Enfin, nous verrons un focus continu sur le graphisme, le pivotement et les jointures de données en tant qu’améliorations à la chasse. Les deux, je crois, sont bien représentés et mis en Å“uvre par la plateforme HELK à travers les Jupyter Notebooks.En tant qu’architecte de solution, pensez-vous que SIGMA peut changer la façon dont les organisations construisent leur cyber-défense ?Depuis plus de 20 ans avec les règles Snort et plus de 10 ans pour les règles YARA, l’industrie n’a pas connu de progrès universel comme SIGMA. Non seulement cela, mais l’industrie n’a jamais eu un format universel pour les journaux et la télémétrie. Ce sur quoi repose fondamentalement la cybersécurité ! De plus, il est important, en tant qu’entreprise, de ne jamais être lié à une seule technologie. Vos analystes/opérateurs devraient se concentrer sur l’implémentation des détections, pas sur l’apprentissage de votre solution de journalisation. Que vous utilisiez aujourd’hui Elastic, Splunk ou QRadar et qu’une nouvelle solution apparaisse demain, vous pouvez être assuré que SIGMA la prendra en charge.
Indépendamment de mon opinion, la communauté a déjà montré que SIGMA continuera à changer la façon dont nous détectons les menaces. Deux des meilleures solutions de chasse open source, HELK et SecurityOnion, ont implémenté SIGMA et il existe des tutoriels et des blogs sur SIGMA de la part des fournisseurs d’entreprise.Comment prenez-vous une décision sur les règles ou autres types de contenu de détection de menace qui devraient être déployés en premier lieu ?Je pense que cela est mieux expliqué avec les vérités fondamentales de l’industrie : a) vous ne pouvez pas protéger tous les actifs et b) déterminez ce qui est important pour votre entreprise. Défendez ce qui est la menace la plus plausible et la plus impactante. Par exemple, mon expérience dans la défense d’un réseau de gestion a mis cette vérité en pleine face. Le domaine admin n’était pas la menace la plus préoccupante et le malware traditionnel non plus. Je faisais face à des utilisateurs déjà privilégiés. S’agissait-il d’un changement de configuration ou du déclenchement d’un processus anormal pour le dépannage ou du début d’une intention malveillante ? Avec des centaines de ces utilisateurs, j’ai dû limiter la portée de ce que je défendais. Quelque chose comme la destructivité ou la dégradation du réseau, la découverte environnementale, la lecture de documents confidentiels, ou des changements de configuration malveillants. Peut-être qu’un exemple plus pratique pourrait être si vous avez un serveur d’échange/mail pour déployer les règles SIGMA qui couvrent la création de processus ou les modifications de fichiers sur ces serveurs.Quels types de cybermenaces pensez-vous présenteront les plus grands risques pour les organisations dans l’année à venir ? Des suggestions sur la façon d’améliorer les capacités de détection contre ces menaces ?Les attaques de serveurs Web, l’abus d’API et le vol/abus de justificatifs d’identité dans les solutions cloud. En ce qui concerne les attaques Web et API, cela continuera à mûrir dans SIGMA. Il a la capacité de partager des règles de type WAF, des règles de processus/endpoint, couplées avec des règles plus avancées par exemple : une seule IP provoquant dix erreurs 400/404 sur le serveur web suivie d’une erreur 500 de votre serveur web. Cela pourrait indiquer qu’un attaquant passe de l’exploration à l’attaque réussie de ce serveur.
De plus, les systèmes de contrôle industriel (ICS) resteront un risque continu. Malgré que l’ICS ne soit pas mon domaine d’expertise, je vois déjà les possibilités de détection pour cette industrie avec le soutien des logs Zeek dans SIGMA. Zeek a des analyseurs pour de nombreux protocoles ICS. À mesure que les entreprises déploient la journalisation Zeek et que la communauté écrit des règles SIGMA pour les ICS, je pense que le résultat est explicite.Quels problèmes les organisations rencontrent-elles généralement lorsqu’elles essayent de passer de la défense cybernétique réactive à proactive ?Je pense que savoir par où commencer et ce qu’il faut prioriser devient un défi pour tous. De nombreuses choses que j’ai mentionnées dans la question 4 s’appliquent également à cette question. Après avoir défini vos actifs critiques, il peut y avoir un obstacle majeur à la validation de la collecte de journaux/télémétrie et de toute analyse/détections correspondantes. Cependant, la combinaison de cadres de tests d’équipes rouges atomiques, de jeux de données open source (Mordor) et de règles communautaires réduit considérablement cet obstacle.Nate, quelle serait votre recommandation pour les jeunes spécialistes de la cybersécurité qui décident de leur future orientation ?Tout d’abord, gardez une trace de certains de vos objectifs et de leur réalisation. Prenez autant de notes (en ligne) que vous le pouvez. Vous apprendrez tellement en si peu de temps et serez confronté à de nombreuses difficultés en cours de route. Par conséquent, il est important de vous rappeler jusqu’où vous êtes arrivé. Les notes vous serviront de référence tout au long de votre carrière.
D’un point de vue d’apprentissage, inscrivez-vous sur Twitter et suivez autant de chercheurs et d’entreprises technologiques que possible. À partir de là , suivez et lisez leurs blogs et tutoriels en utilisant un lecteur RSS. Il y a beaucoup de géants dans cette industrie, vous pouvez facilement en faire partie en vous tenant sur leurs épaules. Assurez-vous simplement de toujours donner du crédit et n’oubliez pas vos débuts modestes.Que pensez-vous, le programme de primes de menaces de SOC Prime peut-il aider les organisations à détecter les menaces plus efficacement ?Le programme de primes de menaces offre des avantages similaires à la façon dont les jeux de règles IDS sont déjà utilisés dans des milliers d’organisations (par exemple : les jeux de règles Emerging Threat ou Sourcefire). Cependant, il y a un avantage unique à pouvoir utiliser des détections de chercheurs travaillant dans divers secteurs à travers le monde. De plus, les chercheurs qui écrivent le contenu sont essentiellement leur propre entité/entreprise au sein du programme de SOC Prime. Similaire au fonctionnement d’Etsy, les consommateurs bénéficient de magasins motivés qui seraient les chercheurs dans ce cas.
L’interview précédente avec Thomas Patzkke est ici : https://socprime.com/en/blog/interview-with-developer-thomas-patzke/
