Entretien avec le d̩veloppeur de Threat Bounty РMustafa Gurkan Karakaya
Aujourd’hui, nous souhaitons présenter à la communauté de SOC Prime l’un des membres les plus actifs du Programme Threat Bounty et l’auteur de détections validées disponibles sur la plateforme SOC Prime. Voici Mustafa Gürkan Karakaya, qui démontre depuis qu’il a rejoint le Programme en décembre 2022 son expertise en cybersécurité et son potentiel de développement futur.
Règles par Mustafa Gurkan KARAKAYA
Parlez-nous un peu de vous et de votre expérience en cybersécurité.
Je m’appelle Mustafa Gürkan KARAKAYA. J’ai 25 ans. Je vis à Ankara, en Turquie. J’ai été diplômé du département de Génie Informatique de l’Université Ankara Yıldırım Beyazıt en 2020. J’ai débuté mon parcours dans le domaine de la cybersécurité en me concentrant sur le pentesting. Plus tard, j’ai élargi mes intérêts pour inclure diverses activités liées à l’équipe violet, en particulier dans les domaines de la SIEM (gestion de l’information et des événements de sécurité), SOAR (orchestration, automatisation et réponse en sécurité), l’analyse des logiciels malveillants, l’analyse DFIR (Digital Forensics and Incident Response) et les enquêtes criminelles. Dans mon premier emploi, je me suis principalement engagé dans des activités de support technique et de conseil pour des institutions militaires, en fournissant assistance et conseils dans divers aspects techniques. Dans ma deuxième entreprise, j’ai continué à fournir des services de support technique et de conseil, en me concentrant spécifiquement sur la mise en Å“uvre et la maintenance SIEM. Actuellement, je travaille en tant qu’ingénieur en cybersécurité.
Comment avez-vous découvert SOC Prime ? Pourquoi avez-vous décidé de rejoindre le Programme Threat Bounty ?
J’ai d’abord découvert SOC Prime sur LinkedIn, mais j’ai entendu parler de l’opportunité d’écrire des règles sur la plateforme par mon chef d’équipe dans l’entreprise où je travaille actuellement. J’ai rejoint ce programme parce que j’aime rechercher de nouvelles méthodes d’attaque chaque jour.
D’après votre propre expérience, quelles compétences sont requises pour créer des règles ayant de meilleures chances d’être publiées ? Que pouvez-vous recommander à ceux qui viennent de commencer à écrire des règles Sigma avec Threat Bounty ?
À mon avis, le critère le plus important pour la publication de contenu est que la règle soit spécifique et capable de faire des déterminations précises, ce qui réduira le taux de faux positifs. Mon conseil pour les auteurs de contenu qui viennent de commencer à écrire des règles Sigma est d’analyser les activités des adversaires dans un scénario d’attaque selon le cadre MITRE ATT&CK et d’essayer de comprendre les intentions des attaquants. De plus, examiner les règles préexistantes et comprendre quelles traces l’attaque laisserait dans quelles sources de logs sera très bénéfique pour développer des règles appropriées.
Sur la base des détections que vous recherchez et créez, quelles sont les menaces les plus critiques pour les organisations modernes ? Quelles mesures considérez-vous comme les plus efficaces pour protéger les infrastructures ?
Je pense que la menace la plus importante est le facteur humain. Peu importe à quel point les mesures de sécurité et les technologies sont avancées ou sophistiquées, les actions et comportements humains peuvent compromettre la sécurité. Les erreurs humaines, la négligence, le manque de sensibilisation et les intentions malveillantes peuvent tous poser des risques significatifs à la confidentialité, à l’intégrité et à la disponibilité des informations sensibles. Il est crucial de prioriser l’éducation des utilisateurs, la formation à la sensibilisation et l’établissement d’une forte culture de sécurité pour atténuer ces risques liés aux humains. Par conséquent, je crois que les principales méthodes de détection des menaces sont situées au niveau des terminaux. Les organisations doivent collecter les logs des terminaux pour les méthodes de détection des menaces et l’analyse détaillée. Les règles sont comme des lumières éclairant les menaces cachées. Et plus nous augmentons la quantité de lumière, plus la visibilité des menaces va augmenter.
Quels types de menaces sont les plus compliqués à détecter ? Peut-être pouvez-vous donner un exemple de la vie réelle ?
Je crois que détecter les attaques se produisant dans les voies d’applications apparemment légitimes est le plus difficile pour les organisations. Si je dois donner un exemple de ma propre règle, prenons Comportement suspect du logiciel malveillant QakBot avec ligne de commande associée en propageant un document OneNote malveillant (via la création de processus). Dans cette règle, les attaquants propagent le logiciel malveillant Qakbot sur la machine de la victime à l’aide d’un document OneNote. Aucun produit de sécurité, y compris AV et EDR, ne peut détecter cette attaque car tous les processus impliqués sont signés par Microsoft et semblent légitimes. Cependant, lorsque ces processus légitimes sont utilisés ensemble, le comportement malveillant est déclenché. Il se connecte à un serveur C2, télécharge d’autres charges utiles malveillantes, et propage le logiciel malveillant Qakbot sur la machine de la victime.
En tant que spécialiste expérimenté en sécurité, quelle devrait être, selon vous, la priorité numéro un pour les organisations qui veulent bâtir une défense cybernétique robuste ?
Pour les organisations qui s’efforcent d’établir une défense robuste, la priorité la plus cruciale est de sensibiliser les employés à la cybersécurité afin qu’ils évitent d’ouvrir des courriels non sécurisés. De plus, ma recommandation pour les équipes de cybersécurité est de surveiller les activités utilisateur anormales, de filtrer les activités réseau inhabituelles, de recueillir les logs des clients à travers l’organisation (ce que de nombreuses organisations négligent), et de définir des règles correspondantes dans les produits de sécurité.
Quels sont les principaux avantages d’être membre du Programme Threat Bounty de SOC Prime ?
Je crois que l’avantage le plus important est qu’il me permet de rester informé sur les nouvelles vulnérabilités et logiciels malveillants émergents chaque jour, ainsi que de me tenir à jour sur les dernières techniques utilisées par les attaquants. Je recommande que les personnes curieuses, travailleuses et désireuses d’apprendre de nouvelles choses devraient participer à Programme Threat Bounty.
