Entretien avec le Développeur de Threat Bounty : Michel de Crevoisier
Découvrez la dernière diffusion d’actualités sur la communauté des développeurs SOC Prime ! Aujourd’hui, nous souhaitons vous présenter Michel de Crevoisier, un développeur prolifique contribuant à notre programme de récompense des menaces depuis novembre 2020. Michel est un créateur de contenu actif, concentrant ses efforts sur les règles Sigma. Vous pouvez consulter les détections de Michel, de la plus haute qualité et valeur, sur le Threat Detection Marketplace.
1. Parlez-nous un peu de vous et de votre expérience en cybersécurité
J’ai commencé ma carrière en sécurité en tant qu’analyste SOC en 2017 après différentes expériences en administration système, réseau et virtualisation. À mon sens, il a toujours été clair que ma carrière devait se construire autour de la sécurité. En fait, j’étais impliqué dans trop de projets où la sécurité n’était pas une priorité, exposant les organisations à des risques inutiles. J’ai relevé ce défi personnel en démarrant un blog et en participant à divers événements de sécurité, également en tant qu’orateur. Récemment, j’ai suivi un cours de sécurité SANS sur la détection des menaces afin d’obtenir une certification GIAC pour élargir, entre autres, mes connaissances et compétences.
2. Pourquoi avez-vous décidé de vous concentrer sur les règles Sigma comme l’un des principaux outils pour la chasse aux menaces ?
D’un point de vue chasse aux menaces, SIGMA offre des capacités avancées pour partager une logique IOC simple ou complexe dans un format commun compréhensible et utilisable par tout analyste, quelle que soit la technologie SIEM utilisée. Avec la publication de ce format ouvert et l’essor de la “Githubification de l’InfoSec” (source), SIGMA était définitivement l’outil dont j’avais besoin.
3. Combien de temps vous a-t-il fallu pour maîtriser l’écriture des règles Sigma ? Quel background technique est nécessaire pour la maîtriser ? Et combien de temps vous faut-il en moyenne pour rédiger une nouvelle règle IOC Sigma et une règle de chasse aux menaces ?
Maîtriser les règles SIGMA ne m’a pris que très peu de semaines et écrire une règle me prend généralement environ une heure car j’essaie toujours d’évaluer la menace dans mon laboratoire pour assurer la qualité de la règle. J’essaie également de joindre un échantillon de journal réel afin que l’analyste puisse facilement apprécier le contexte.
Cependant, comprendre les fondamentaux du langage n’est, de mon point de vue, pas suffisant. En effet, écrire de bonnes règles nécessite également une bonne compréhension de la menace, de ses comportements et des différents IOC qu’elle peut déclencher. La connaissance des cadres de sécurité comme Metasploit ou Cobalt Strike est également très utile ainsi que des compétences offensives.
4. Quels sont vos sujets d’intérêt en cybersécurité ? Quels types de menaces sont les plus difficiles à détecter et à combattre ?
Les attaques de la chaîne d’approvisionnement comme CCleaner, SolarWinds, or Codecov sont parmi les plus difficiles à détecter : la menace est intégrée dans un logiciel légitime connu comme fiable et utilisé par plusieurs entreprises. L’intrusion dure des mois et est très furtive. De plus, les intrusions dans le cloud combinées à un mouvement latéral vers l’environnement sur site (ou vice versa) sont également assez difficiles à combattre car la maturité de la couverture de détection n’est pas toujours la même des deux côtés ou est gérée par différentes parties avec des mentalités différentes. Bien sûr, les vecteurs d’intrusion classiques restent valides et nous ne devrions pas oublier le phishing, les exploits de serveurs web et PowerShell, DCOM or Windows Management Instrumentation (WMI) abusent.
5. De nombreux groupes d’acteurs de menace existent maintenant et leur nombre augmente, selon vous, quels acteurs de menace représentent la plus grande menace ? Comment mesureriez-vous si un groupe d’acteurs de menace est plus ou moins dangereux ?
Les acteurs comme celui derrière l’attaque de la chaîne d’approvisionnement SolarWinds ont démontré leur puissance. Analyser leurs capacités de préparation et d’infiltration chez les prestataires tiers avant d’attaquer leur cible finale est vraiment effrayant. Ils sont multifacettes, ciblant les infrastructures cloud et sur site, capables de compromettre l’infrastructure de construction et de signature de code… Et tout cela en restant quasiment invisible sous la couverture des radars.
6. Comment avez-vous entendu parler du programme de récompense des menaces SOC Prime ? Pourquoi avez-vous décidé de le rejoindre ? Quelle est pour vous la plus grande valeur de la participation au programme de récompense des menaces ?
Rejoindre le programme de récompense des menaces a été avant tout une opportunité pour élargir mes connaissances, en me poussant hors de ma zone de confort afin d’explorer de nouvelles menaces et TTPs. Avec le temps, j’ai réalisé que je contribuais plus largement à renforcer les organisations SOC et à faire partie d’une communauté de développeurs talentueux.
En espérant monétiser vos compétences en chasse aux menaces et améliorer votre expérience en défense cyber ? SOC Prime recherche des membres de l’équipe Blue Team surveillant de près les dernières tendances en cybersécurité ! Notre programme de récompense des menaces offre des récompenses récurrentes pour le contenu SOC visant la détection des menaces, la chasse aux menaces et la réponse aux incidents – comme SIGMA, Yara, Snort, les analyseurs de journaux et le contenu SIEM natif. Soumettez des détections pour satisfaire les demandes de la liste Want et doublez vos profits tout en aidant la communauté du Threat Detection Marketplace à résister aux cybermenaces émergentes.
À la recherche d’un moyen d’enrichir vos connaissances en cybersécurité ? Explorez la cyberbibliothèque de SOC Prime pour maîtriser vos compétences SIEM, regardez des vidéos éducatives approfondies et découvrez des guides pratiques sur la chasse aux menaces.
