Entretien avec le Développeur : Roman Ranskyi

Aujourd’hui, nous voulons présenter à nos lecteurs l’un des auteurs de contenu de détection dont le nom apparaît sur le tableau des leaders du Marché de Détection des Menaces de SOC Prime. Voici Roman Ranskyi, Ingénieur en Chasse aux Menaces/Développement de Contenu chez SOC Prime.

Roman, parlez-nous un peu de vous et de votre expérience en cybersécurité

Je me suis intéressé à la sécurité de l’information dès l’année 2008, lorsque je passais du temps sur des forums cultes de l’époque comme hackzona, zloibiz, antichat, et pendant un certain temps, j’ai même modéré l’un des fils de discussion du forum. En étudiant à l’université, j’ai travaillé comme administrateur système. J’ai également enseigné des laboratoires et des cours de base en sécurité de l’information pratique Cisco CCNA.

Plus tard, j’ai commencé à travailler dans une entreprise d’intégration où j’étais ingénieur et avant-vente pour les solutions de sécurité, je traitais également toutes les solutions, AV, DLP, NGFW, différents bacs à sable, systèmes de protection contre les attaques DDoS. J’ai obtenu plusieurs certifications comme requis par le business – Arbor, Fireeye. Et la seconde a vraiment suscité mon intérêt avec leurs rapports fascinants sur leur blog, et les technologies semblaient révolutionnaires. J’ai également pris la parole lors de plusieurs conférences fermées pour les partenaires et clients où j’ai essayé de parler non seulement de nos solutions, mais aussi des techniques, méthodes et vecteurs des attaquants et des marchés gris. Certaines présentations sont toujours disponibles sur mon profil LinkedIn.

Et comment votre hobby a-t-il évolué vers la chasse aux menaces ?

J’ai suivi un cours de Certified Ethical Hacking, que j’ai trouvé assez théorique et même ennuyeux en raison d’un manque de tâches pratiques. J’ai toujours pensé que pour savoir défendre, il faut savoir attaquer. J’avais l’habitude de rester tard dans notre laboratoire où nous testions les solutions que nous présentons aux clients et essayions divers scénarios d’attaques réelles pour étudier en détail les réactions et essayer de contourner les mesures de sécurité. Entre-temps, j’ai étudié les supports de cours de Offensive Security (PWK), des cours SANS, et d’autres.

Après l’entreprise d’intégration système, j’ai travaillé pour une entreprise où j’étais responsable du développement en tant qu’ingénieur senior en sécurité de l’information. Puis, j’ai rejoint SOC Prime comme Ingénieur en Chasse aux Menaces/Développement de Contenu.

Qu’est-ce que la chasse aux menaces pour vous ?

Fondamentalement, la chasse aux menaces provient de l’Analyse Forensique Numérique et de la Réponse aux Incidents. Elle concerne les analyses et insights à l’échelle de l’environnement. La chasse aux menaces ne consiste pas à enquêter sur des incidents, c’est une recherche proactive des menaces connues et inconnues, donc un chasseur de menaces ne peut pas simplement rester assis à attendre que quelque chose se passe.

Selon vous, quelles sont les compétences nécessaires pour un chasseur de menaces ?

D’une part, vous devez penser comme un attaquant – comment pouvez-vous atteindre l’objectif, comment contourner les mesures de la Blue Team et passer inaperçu.

D’autre part, vous devez avoir une approche analytique, avoir des connaissances en Big Data et bien maîtriser différents outils, bien qu’ils soient assez similaires.

En résumé, c’est un mélange de compétences de Red Team et de Blue Team.

Roman, est-il possible de prévoir des attaques par différents acteurs de la menace et quelles seraient vos recommandations pour améliorer la défense contre leurs outils ? Des exemples seraient formidables !

Il est impossible de prévoir toutes les menaces. Dans une large mesure, le succès d’une attaque dépend de la connaissance du domaine. Et en parlant d’une infrastructure d’entreprise en général, là où il y a une protection, il existe une contournement.

En parlant des infrastructures de domaine qui sont vitales pour les grandes entreprises, la première chose est une bonne configuration incluant le renforcement et des audits étendus. J’aime le concept de conception Red Forest, et si vous faites tout correctement, vous pouvez repérer presque toutes les étapes et activités d’un attaquant.

Roman, parlez-nous davantage de ce type de Sigma qu’est Threat-Hunting Sigma, quelle est la valeur principale de cet outil et comment peut-il aider les organisations à améliorer leurs capacités de détection ?

La valeur principale de Sigma est que vous pouvez vous en tenir à certains schémas d’activité anormale que vous pouvez utiliser comme point de pivot pour aller plus en profondeur, et par conséquent – approuver ou rejeter le fait d’une activité suspecte.

À votre avis, le contenu du Programme de Récompenses pour la Détection des Menaces de SOC Prime et le partage d’expérience au sein de la communauté de cybersécurité sont-ils possibles et pourquoi est-ce important ?

Threat Bounty est un endroit parfait avec une saine compétition pour monétiser votre expérience de chasse aux menaces. Elle inspire la recherche de diverses nouvelles méthodes de détection pour les attaques connues et nouvelles.

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme de Récompenses pour la Détection des Menaces pour créer votre propre contenu et le partager avec la communauté TDM.