Entretien avec le développeur : Osman Demir

[post-views]
mars 30, 2020 · 4 min de lecture
Entretien avec le développeur : Osman Demir

Nous vous présentons une nouvelle interview avec le participant au Programme Développeurs de SOC Prime (https://my.socprime.com/en/tdm-developers). Voici Osman Demir.Parlez-nous un peu de vous et de votre expérience en threat-hunting.Bonjour, je m’appelle Osman Demir. Je vis à Istanbul, en Turquie, et j’ai 25 ans. J’ai terminé mes études en ingénierie informatique en 2017 et je travaille comme ingénieur en sécurité dans une institution privée.
Je m’occupe de threat-hunting depuis 2 ans. Je travaille dans une équipe SOC à la détection des menaces actuelles et à leur intégration.
Je suis les actualités mondiales sur le threat-hunting, je recherche les méthodes d’attaque des groupes et je développe des règles de détection. Je fais de mon mieux pour suivre le rythme des groupes d’attaquants.Quelle est la différence entre le threat-hunting et la détection des menaces ?Le threat-hunting est le processus de détection de l’attaque le plus rapidement possible avant que les attaques qui semblent menacer l’institution ne soient totalement réussies. Le facteur humain est plus important dans le threat-hunting.
La détection des menaces couvre les processus de détection globale d’une attaque. Il est nécessaire de bien maîtriser les produits de détection des menaces et de bien contrôler les journaux dans le système.À votre avis, qu’est-ce qui rend Sigma un outil aussi efficace pour le threat-hunting ?Sigma offre aux gens un langage universel. De cette façon, les règles Sigma peuvent être facilement intégrées dans les systèmes SIEM, quel que soit le produit.
Les institutions peuvent facilement partager les règles de détection des attaques qu’elles ont identifiées avec d’autres institutions, indépendamment du produit.
Grâce à la structure simple et flexible de Sigma, des règles complètes peuvent être écrites.Quelles compétences sont nécessaires pour développer des règles Sigma pour le threat-hunting ?Tout d’abord, il est nécessaire d’être curieux et chercheur. Les règles de menace tendance doivent être recherchées et les méthodes de détection extraites. Les journaux Sysmon et Auditd doivent être bien connus. Les journaux d’accès Web doivent être maîtrisés pour détecter les vecteurs d’attaque apparaissant du côté Web. Les sources de journaux doivent généralement être maîtriséesQuels types de menaces sont les plus compliqués à détecter ? Peut-être pouvez-vous donner un exemple de la vie réelle ?Les menaces de type 0day sont les plus difficiles à détecter. Étant donné qu’aucune information n’est publiée pour l’attaque 0day, une idée des enregistrements d’événements ne peut être effectuée, seules des méthodes de détection prédictive peuvent être écrites.
Si nous donnons un exemple de la vie quotidienne, une méthode de détection n’a pas pu être écrite pour l’attaque smbv3 RCE (CVE-2020-0796), seules des règles de détection prédictive peuvent être écrites.Selon vous, quel est le principal avantage du Programme de rémunération des menaces de SOC Prime ?Si je donne un exemple de moi-même, le Programme de rémunération des menaces de Soc Prime m’aide à maintenir mon identité de chercheur.
C’est un honneur de savoir que vos règles aident les processus de cybersécurité des entreprises.
La partie la plus importante est que vous pouvez gagner de l’argent grâce à ce programmeLa fuite de données est un problème très courant pour de nombreuses organisations aujourd’hui, quelles mesures pensez-vous être les plus efficaces pour éviter une violation de données (si elle n’est pas causée par des employés irresponsables) ?Les méthodes de détection les plus efficaces pour cela, vous devriez utiliser le produit DLP et enregistrer le trafic de sortie des utilisateurs sous forme de données de paquet complet. De cette manière, vous pouvez analyser le paquet qui sort et améliorer les règles de détection.
Les données critiques (informations personnelles, données client) doivent être bien surveillées et les accès non autorisés/les heures anormales doivent toujours être questionnés.En tant que threat-hunter expérimenté, quelle devrait être selon vous la priorité numéro 1 pour les organisations qui souhaitent construire une défense cybernétique robuste ? (et pourquoi)Une sécurité cybernétique forte devrait être composée d’une communauté active de personnes. Cela peut être possible en rassemblant chercheurs et développeurs.
Les investissements dans le produit n’ont pas de sens s’ils ne sont pas faits pour l’éducation humaine.

Cordialement,
Osman Demir

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Entretien avec le Développeur de Threat Bounty – Mehmet Kadir CIRIK
Blog, Entrevue — 8 min de lecture
Entretien avec le Développeur de Threat Bounty – Mehmet Kadir CIRIK
Alla Yurchenko
Entretien avec le Développeur de Threat Bounty – Aung Kyaw Min Naing
Blog, Entrevue — 6 min de lecture
Entretien avec le Développeur de Threat Bounty – Aung Kyaw Min Naing
Alla Yurchenko
Entretien avec le développeur de Threat Bounty – Mustafa Gurkan Karakaya
Blog, Entrevue — 6 min de lecture
Entretien avec le développeur de Threat Bounty – Mustafa Gurkan Karakaya
Alla Yurchenko