Entretien avec le Développeur de Threat Bounty – Aung Kyaw Min Naing

Il est déjà devenu une bonne tradition chez SOC Prime lorsque Threat Bounty les membres partagent des histoires sur leurs chemins professionnels et leur expérience et leurs réalisations avec Threat Bounty. Aujourd’hui, nous sommes ici avec Aung Kyaw Min Naing, qui a rejoint le programme en juin 2022 et s’est déjà avéré être un contributeur actif à la défense collective contre la cybercriminalité.

Règles par Aung Kyaw Min Naing

Veuillez nous parler un peu de vous et de votre expérience en cybersécurité.

Bonjour ! Je suis Aung Kyaw Min Naing, et je viens de la ville de Mandalay en Birmanie. Depuis que j’ai obtenu mon diplôme en ingénierie électronique en 2017, mon intérêt pour la cybersécurité m’a poussé à poursuivre une carrière dans ce domaine. Actuellement, je travaille en tant qu’analyste en cybersécurité (Threat Hunting) dans une entreprise de services de sécurité gérés basée en Thaïlande. Mes principales responsabilités incluent la recherche proactive d’activités malveillantes dans les actualités sur les menaces cybernétiques, la conduction de recherches approfondies pour améliorer les détections basées sur le comportement face aux menaces cybernétiques émergentes et aux techniques d’attaque, et la gestion efficace des incidents de sécurité critiques. Au début de ma carrière, j’ai acquis une expérience pratique en tant qu’ingénieur réseau dans une entreprise de fournisseur de services Internet tout en plongeant simultanément dans le domaine de la cybersécurité. Poursuivant ma passion, j’ai commencé mon parcours professionnel en cybersécurité en tant qu’ingénieur de centre d’opérations de sécurité spécialisé dans la prévention des DDoS dans une entreprise locale de solutions et de sécurité IT. De plus, j’ai eu l’opportunité de travailler avec la plus grande banque privée locale et une entreprise publique de boissons en Birmanie en tant que professionnel de la cybersécurité, où j’ai joué ce rôle dans la mise en œuvre de projets PCS-DSS et des contrôles de sécurité CIS d’un point de vue technique. Cela impliquait de réaliser des analyses VA, de participer aux opérations de surveillance de sécurité quotidiennes pour détecter et atténuer les cyberattaques, et de collaborer avec des ingénieurs systèmes et des développeurs des équipes internes et des organisations tierces externes. De plus, tout en travaillant dans ce poste, j’ai étudié de nombreuses certifications internationales en cybersécurité de diverses plateformes, telles que l’analyste en cybersécurité d’eLearnsecurity, le CompTIA Cybersecurity Analyst (CySA+), le Microsoft Security Operation Analyst, etc.

Comment avez-vous découvert SOC Prime ? Pourquoi avez-vous décidé de rejoindre le programme Threat Bounty ?

Après avoir découvert SOC Prime sur LinkedIn, mes anciens coéquipiers m’ont recommandé de rejoindre le programme Threat Bounty en tant que développeur pour écrire des règles et contribuer à la détection des cyberattaques, ce qui correspond parfaitement à ma passion pour la recherche quotidienne de nouvelles méthodes d’attaque et l’aide aux organisations dans l’amélioration de leurs capacités en cybersécurité. Je crois fermement que participer au programme Threat Bounty me permettra non seulement d’améliorer mes connaissances et compétences, mais aussi d’avoir un impact significatif sur la communauté de la cybersécurité. De plus, je suis particulièrement intéressé par les activités des collectifs APT et je suis curieux de savoir ce qui pourrait se passer dans l’esprit d’un membre d’un groupe APT. Par conséquent, j’ai décidé d’acquérir des compétences en écriture de règles Sigma et de les appliquer pour détecter les activités des adversaires.

De nos jours, les organisations sont confrontées au défi de résister aux attaques de la cyberguerre mondiale. Quelles mesures pensez-vous être les plus efficaces pour protéger les infrastructures ?

En utilisant le langage Sigma et l’approche communautaire, le programme Threat Bounty de SOC Prime aide les organisations à renforcer la protection de leurs infrastructures en détectant de manière proactive les menaces émergentes et en favorisant la collaboration entre professionnels de la cybersécurité. De mon point de vue, la notion dominante dans le domaine de la cybersécurité est que la prévention est idéale, mais la détection est indispensable. Par conséquent, Sigma émerge comme une ressource précieuse, permettant des capacités de détection robustes contre les menaces modernes de logiciels malveillants, les CVE les plus récents et les activités APT ciblées.

D’après votre expérience, quelles menaces sont les plus difficiles à détecter ?

À mon avis, la première étape est d’identifier quels types de sources de journaux et de sources de données sont nécessaires pour capturer les preuves pour un point de détection spécifique. L’abus d’applications légitimes et les attaques par injection en mémoire sont difficiles à détecter. Les avantages de Sigma sont qu’il s’agit d’un langage unique, flexible, facile à écrire et générique pour les règles de détection contre les menaces cybernétiques sophistiquées et complexes émergentes, permettant des opérations de sécurité inter-plateformes. Le point limitant est qu’il ne prend pas en charge tous les vendeurs, et certaines des règles ne fonctionnent pas correctement pour les cas d’utilisation de sécurité existants.

Quelles compétences trouvez-vous nécessaires pour développer des règles Sigma de chasse aux menaces qui ont plus de chances d’être publiées sur la plateforme SOC Prime ?

Concernant le développement de règles Sigma, mon approche habituelle implique la création de modèles dérivés de diverses ressources. La majorité de mes contributions Sigma à SOC Prime sont construites sur ces modèles, avec quelques ajustements mineurs incorporés. Ma méthode pour créer la règle Sigma est décrite dans la liste suivante, étape par étape :

• Restez à jour et recherchez les actualités et rapports sur les menaces.
• Suivez les groupes d’acteurs de la menace et apprenez de nouveaux schémas d’attaque.
• Comprenez en profondeur le langage Sigma et sa syntaxe.
• Ayez une compréhension solide des concepts d’attaque en cybersécurité, des services de journalisation et des sources de données.
• Parcourez la pile de détection existante dans le SOC Prime Platform en utilisant la recherche Lucene avant d’écrire la règle.
• Use Uncoder AI pour valider la règle et la convertir au format linguistique requis.

Quels avantages voyez-vous à participer au programme Threat Bounty de SOC Prime ? Pouvez-vous recommander à d’autres de rejoindre le programme ? Pourquoi ?

Le programme Threat Bounty de SOC Prime offre des avantages égaux aux entreprises et aux développeurs individuels. Participer à ce programme permet aux organisations de rester à l’avant-garde des menaces émergentes tout en offrant des opportunités aux développeurs de contribuer, d’améliorer leurs compétences et d’être récompensés pour leur travail précieux.