Entretien avec le Développeur de Threat Bounty – Mehmet Kadir CIRIK

Alors que nous continuons à parler de nos membres enthousiastes de SOC Prime’s Threat Bounty communauté en partageant des histoires sur leur croissance professionnelle et l’extension de leur expertise dans le développement de règles contribuant à la défense cybernétique mondiale, aujourd’hui nous vous présentons Mehmet Kadir CIRIK, qui a rejoint le programme en janvier 2023 et contribue activement à ses détections depuis lors.

Mehmet Kadir CIRIK

Parlez-nous un peu de vous et de votre expérience en cybersécurité.

Bonjour ! Je suis Mehmet Kadir CIRIK, j’ai 22 ans. Je suis né à Mersin, en Turquie, en 2001 et j’ai grandi là-bas. Je suis actuellement étudiant en dernière année dans les départements d’Ingénierie en Informatique Légale et d’Ingénierie Informatique à l’université de Firat. Lors de ma deuxième année à l’université, j’ai étudié au département d’Informatique en Macédoine du Nord pendant environ 8 mois dans le cadre du programme Erasmus. Je travaille à plein temps dans le domaine de la cybersécurité depuis ma deuxième année universitaire. Je travaille actuellement en tant qu’ingénieur d’équipe bleue et chercheur en menaces dans une entreprise basée à Istanbul. Mes principales responsabilités incluent l’enquête proactive sur les activités malveillantes dans les flux d’actualités sur les cybermenaces, la recherche approfondie pour développer des détections basées sur le comportement qui traitent des cybermenaces et techniques d’attaque émergentes, et la gestion efficace des incidents de sécurité critiques. J’ai d’abord commencé ma carrière dans le renseignement sur les cybermenaces. Ensuite, j’ai travaillé comme analyste MDR et j’ai développé mes compétences en criminalistique.

Comment avez-vous découvert SOC Prime ? Pourquoi avez-vous décidé de rejoindre le programme Threat Bounty?

J’ai découvert SOC Prime pour la première fois à travers des publications sur LinkedIn. J’étais intéressé par l’écriture de Sigma Rules auparavant, mais je n’avais jamais écrit de Sigma Rule moi-même à ce moment-là. Dans l’entreprise où je travaille actuellement, j’ai reçu du soutien et des conseils de mes collègues seniors sur la façon d’écrire des Sigma rules et comment les soumettre pour publication sur la plateforme SOC Prime. En écrivant des Sigma rules, je peux améliorer mes compétences et acquérir des connaissances sur de nombreuses vulnérabilités et techniques d’attaque en très peu de temps. Je suis particulièrement intéressé par les activités des collectifs APT, et je me demande ce qui pourrait se passer dans l’esprit d’un membre d’un groupe APT. C’est pourquoi j’ai rejoint en tant que membre du Threat Bounty de SOC Prime, et je m’attache à écrire régulièrement mes règles.

Quelles compétences trouvez-vous nécessaires pour développer des Sigma rules qui ont plus de chances d’être publiées sur la plateforme SOC Prime ?

Afin d’augmenter les chances d’être publiées sur la plateforme SOC Prime, je veille à rédiger des règles en prêtant une attention particulière au contenu de la règle afin qu’elle ne crée aucune perception fausse ou trompeuse quant à la détection. De plus, je m’assure que mes règles soient capables de détecter les activités malveillantes pendant longtemps. En ciblant directement tout groupe APT ou le comportement TTP d’un malware, j’écris mes règles selon ces TTP. Ainsi, même si les attaquants changent de comportement (noms de fichiers, hashes de fichiers et noms de domaine), je m’assure que les règles que j’ai écrites continuent de capter les attaques.

De nos jours, les organisations font face au défi de résister aux attaques de la guerre cybernétique mondiale. Quelles mesures pensez-vous être les plus efficaces pour protéger les infrastructures ?

Les organisations peuvent protéger leurs infrastructures en utilisant les algorithmes de détection de la plateforme SOC Prime, en particulier les Sigma rules développées et partagées par les membres du Threat Bounty. Ces règles agissent comme un mécanisme de détection valide pour les vulnérabilités nouvellement publiées, les activités de groupes APT et les malwares. C’est pourquoi Sigma émerge comme une ressource précieuse, offrant de puissantes capacités de détection contre les menaces modernes de malware, les dernières CVE et les activités ciblées des APT.

Quels types de menaces sont les plus difficiles à détecter ? Peut-être pouvez-vous donner un exemple tiré de la vie réelle ?

Les attaques cybernétiques avancées ou ciblées sont généralement considérées comme les types de menaces les plus complexes à détecter. Ce sont des attaques qui nécessitent des techniques sophistiquées, des mesures de confidentialité et des compétences avancées. Ces attaques sont généralement menées par des collectifs parrainés par l’État, des menaces persistantes avancées (APT) ou des attaquants expérimentés.

Par exemple, l’attaque cybernétique connue sous le nom de « Stuxnet » était un virus de ver avancé très complexe à délivrer et à propager. Cette attaque a été menée contre le programme nucléaire iranien en 2010 et a infiltré ses cibles, perturbant les systèmes de contrôle des réacteurs nucléaires. Bien que les identités des auteurs soient inconnues, l’attaque est considérée comme très sophistiquée et potentiellement une opération parrainée par un État.

Je suggère que les entreprises suivent de près les règles récemment publiées sur la plateforme SOC Prime car les cyberattaques deviennent de plus en plus sophistiquées, avec de plus en plus d’entreprises, d’institutions et d’individus affectés par ces attaques.

Quelle devrait être selon vous la priorité numéro un pour les organisations qui souhaitent établir une cyberdéfense robuste ?

En tant que chasseur de menaces expérimenté, je peux dire que la priorité numéro un pour les organisations devrait être la surveillance continue et la collecte de renseignement sur les menaces. Un bon renseignement sur les menaces est essentiel pour détecter les attaques et renforcer les défenses. Dans un environnement où les menaces changent et évoluent constamment, il est vital d’établir une stratégie de défense basée sur des informations à jour sur les menaces. En particulier, les sujets suivants sont des domaines où les chasseurs de menaces peuvent offrir des informations précieuses :

• Nouvelles méthodes et techniques d’attaque : Détecter de nouvelles techniques et méthodes d’attaque qui émergent constamment est crucial pour maintenir les mesures défensives à jour.
• Découverte de vulnérabilités : Détecter et signaler les vulnérabilités dans les systèmes contribue grandement à la défense contre les attaques. En particulier, les découvertes effectuées grâce à des techniques telles que les tests de pénétration et les scans de vulnérabilité jouent un rôle important dans la cyberdéfense.
• Logiciels malveillants et activité malveillante : La détection, l’analyse et la prévention des logiciels malveillants sont essentielles pour maintenir la sécurité d’une organisation. Les détections effectuées dans ce domaine contribuent au renseignement sur les menaces partagées.

Selon vous, quel est le plus grand avantage du programme Threat Bounty de SOC Prime ?

À mon avis, les plus grands avantages du programme Threat Bounty de SOC Prime sont :

• Engagement communautaire : le programme Threat Bounty favorise une communauté mondiale de chasseurs de menaces, encourageant les experts en cybersécurité à établir des réseaux et à partager leurs connaissances. Cela garantit une détection des menaces et une défense efficaces en tirant parti de différentes expériences et perspectives.
• Récompenses et motivation : le programme offre aux participants des récompenses financières pour leurs contributions. Cela motive les chasseurs de menaces et encourage une plus grande implication. De plus, les participants ont l’opportunité de montrer leurs talents et d’être reconnus dans l’industrie.
• Développement du renseignement sur les menaces : le programme permet aux participants de se spécialiser dans le renseignement sur les menaces. Les détections publiées contribuent au renseignement sur les menaces partagées et peuvent être utilisées pour fournir une défense cybernétique plus solide.

D’après mon expérience, je pense que les individus qui souhaitent participer au programme Threat Bounty et gagner de l’argent avec leurs détections devraient avoir les compétences minimales en cybersécurité suivantes :

• Sécurité des réseaux : il est important d’avoir des connaissances et de l’expérience dans les problèmes de sécurité de base des réseaux. Il est nécessaire de posséder un bon ensemble de compétences, telles que l’analyse du trafic réseau, les règles de pare-feu et la détection des vulnérabilités réseau.
• Analyse des logiciels malveillants : les capacités d’analyse des logiciels malveillants sont essentielles pour détecter et analyser les fichiers malveillants et comprendre l’activité malveillante. Il est crucial d’avoir une bonne comprehension et des compétences techniques.
• Tests de pénétration : les capacités de tests de pénétration sont essentielles pour détecter les vulnérabilités et les exploits dans les systèmes. L’aptitude à voir les systèmes à travers les yeux d’un attaquant et à détecter les vulnérabilités est vitale.

Intéressé à rejoindre le Programme Threat Bounty ? N’hésitez pas à candidater pour participer et à rejoindre l’initiative de crowdsourcing qui vous encourage à vous développer professionnellement tout en monétisant vos détections.