Entretien avec le Développeur : Sittikorn Sangrattanapitak

Aujourd’hui, nous souhaitons présenter à nos lecteurs l’un des nouveaux auteurs de contenu de détection sur Threat Detection Marketplace. Voici Sittikorn Sangrattanapitak, membre actif du programme SOC Prime Threat Bounty.

Lisez à propos du programme Threat Bounty – https://my.socprime.com/tdm-developers
Plus d’interviews avec les développeurs du programme Threat Bounty – https://socprime.com/tag/interview/

Parlez-nous un peu de vous et de votre parcours en tant que professionnel de la cybersécurité.

Je m’appelle Sittikorn. Je viens de Thaïlande. Je m’intéresse à la cybersécurité depuis que j’étais à l’université. J’ai commencé mon travail dans ce domaine en tant qu’ingénieur en sécurité de l’information. J’ai fourni aux clients un support pour des solutions de sécurité telles que le WAF, le NGFW et le SIEM. J’étais particulièrement intéressé par la solution SIEM car elle agrège des données pertinentes de multiples sources, multiples produits, puis corrèle de nombreux événements pour identifier les déviations de l’activité normale. Quand j’ai changé de travail, j’ai travaillé dans un MSSP local. Puis, en 2016, j’ai entendu parler de SOC Prime pour la première fois lorsque je cherchais un package de chasse pour ArcSight. J’ai occupé de nombreux rôles en tant qu’ingénieur SIEM, spécialiste analyste SOC, analyste en renseignement sur les menaces. Aujourd’hui, je travaille comme chasseur de menaces, analyste en renseignement sur les menaces et chercheur en sécurité.

Sittikorn, une fois que vous avez rejoint le programme Threat Bounty, vous êtes devenu l’un des leaders pour la contribution de contenu de détection de menaces. Qu’est-ce qui vous motive à partager votre contenu avec la communauté ?

Les programmes Bug Bounty où vous avez besoin de compétences en red team sont déjà bien connus. Je me demandais si certaines entreprises avaient déjà créé un programme de récompense pour mettre au défi les compétences en blue team également. C’est une bonne manière de développer vos compétences, votre vision, de nouvelles idées et de gagner de l’argent en tant que pentesteur.

Quand j’ai commencé un nouveau travail cette année, j’ai ressenti le besoin de nouveau contenu de détection et je me suis souvenu du Threat Detection Marketplace. J’ai visité le site de SOC Prime et j’ai décidé de rejoindre ce programme. Mon expérience dans le Security Operation Center et la chasse aux menaces est de plus de 10 ans, et je crois que je peux créer de nouveaux contenus de détection utiles aux membres de la communauté du Threat Detection Marketplace. Et cette année, je recherche les cyber-attaques sur le cloud et je veux partager mon expérience avec la communauté pour prévenir de nombreuses attaques cybernétiques sur le cloud.

Vous écrivez beaucoup de contenu lié au cloud et c’est formidable. Quelle en est la raison ?

Aujourd’hui, la plupart des organisations passent au cloud car il est facile à gérer, réduit les coûts et est évolutif. Beaucoup de gens manquent encore de connaissances et de compréhension concernant la cybersécurité du cloud, mais le propriétaire de l’entreprise souhaite livrer le produit le plus rapidement possible à ses clients. Cette raison peut conduire à un certain nombre de vulnérabilités ou de faiblesses qui seront ciblées par les hackers qui tenteront de pénétrer dans le système cloud et de voler vos données. C’est une cible facile pour un hacker si l’administrateur ignore la cybersécurité du cloud. Au cours de l’année écoulée, une grande quantité d’informations importantes et de données clients ont été divulguées depuis de nombreux systèmes cloud tels que British Airways. Ces raisons sont celles pour lesquelles j’essaie d’étudier et de trouver de nouvelles méthodes de détection pour suivre la situation actuelle.

Combien de temps vous a-t-il fallu pour maîtriser l’écriture de règles Sigma ? Quel contexte technique est requis pour le maîtriser ? Sittikorn, combien de temps vous faut-il en moyenne pour écrire une nouvelle règle IOC Sigma et une règle de chasse aux menaces Sigma ?

Fondamentalement, j’ai commencé à apprendre à écrire des règles Sigma le mois dernier. J’ai lu un article sur l’écriture de règles Sigma sur le site de Thomas Patzke et j’ai examiné de nombreuses règles Sigma sur Threat Detection Marketplace et GitHub. J’ai essayé de traduire ma règle pour ArcSight SIEM en règle Sigma pour la soumettre ensuite à Threat Detection Marketplace. J’ai dû la corriger plusieurs fois pour obtenir le statut « approuvé », et cela m’a aidé à mieux comprendre Sigma. À mon avis, si vous voulez devenir un maître, commencez simplement à écrire une règle Sigma basée sur le comportement ou les sources de journaux que vous comprenez très bien. Cela ne prendra pas longtemps.

Le temps moyen nécessaire pour écrire une nouvelle règle Sigma dépend de la complexité de la règle, de l’exemple de journal d’événements et des conditions spécifiques pour réduire les fausses détections. En général, je mettrai environ 15 à 60 minutes par règle.

Sittikorn, la pandémie est un autre défi pour un praticien de la cybersécurité puisque de nombreux acteurs de la menace ont accru leurs activités. Dites-nous comment cela a influencé votre travail quotidien.

Nous devons penser comme un hacker. Je crois que nous devrions augmenter la surveillance de la sécurité concernant les canaux distants, la gestion des consoles cloud, la gestion des clients, et surveiller le renseignement sur les menaces concernant la pandémie à jour, puis appliquer l’IoC à la protection de la sécurité.

Que pensez-vous est le plus grand avantage du programme SOC Prime Threat Bounty ?

Le programme Threat Bounty est un programme parfait pour les blue teamers pour monétiser leur expérience SOC et chasse aux menaces. Il n’est pas inférieur aux programmes Bug bounty pour les pentesteurs. C’est une nouvelle passion pour apprendre de nouvelles méthodes de détection sur de nouvelles attaques et nouveaux malwares et la pensée créative.