Entretien avec le développeur de Threat Bounty : Nattatorn Chuensangarun
Découvrez le dernier journal d’information sur la communauté de SOC Prime ! Aujourd’hui, nous tenons à vous présenter Nattatorn Chuensangarun, un prolifique auteur de contenus de détection qui contribue à notre Programme de récompense des menaces depuis août 2021. Nattatorn est un développeur de contenu actif, concentrant ses efforts sur les règles Sigma. Vous pouvez vous référer aux détections de Nattatorn d’une qualité et d’une valeur élevées dans le dépôt Marketplace de détection des menaces de la plateforme SOC Prime :
Parlez-nous un peu de votre carrière professionnelle et de votre expérience en cybersécurité.
Salut! Je suis Nattatorn Chuensangarun de Thaïlande. Étant donné que je m’intéresse à la cybersécurité, après avoir obtenu mon diplôme en informatique en 2019, j’ai décidé de commencer mon premier emploi dans l’une des plus grandes banques de Thaïlande en tant que membre de l’équipe du Centre des opérations et de l’intelligence de sécurité. C’était très nouveau pour moi car je n’avais que de l’expérience en analyse de données. Cependant, avec le grand soutien de mes collègues, j’ai commencé à me former pour devenir analyste SOC. J’ai été chargé de superviser la section renseignement sur les menaces. C’était un défi car je devais surveiller diverses menaces, en m’appuyant sur les flux d’actualités répandus liés aux vulnérabilités, aux fuites de données ou aux tendances d’attaques en cours. J’ai recherché et créé des règles pour détecter plusieurs menaces sur la plateforme de renseignement jusqu’à ma rencontre avec SOC Prime.
Quels sont vos sujets d’intérêt en cybersécurité ?
Je suis en réalité ouvert à de nombreux sujets en cybersécurité. Cependant, je suis probablement très intéressé par l’écriture de playbooks à mettre en Å“uvre avec l’orchestration de sécurité, l’automatisation et la réponse (SOAR). Cela peut être étendu à la chasse aux menaces, à la réponse automatique aux incidents (IR) et pourrait aider à traiter un grand nombre d’attaques de base. De cette façon, l’équipe de surveillance peut réduire ses efforts et passer plus de temps à rechercher des défenses et de nouvelles attaques. Je suis également intéressé par la sécurité du cloud, les groupes d’acteurs de menaces, les nouveaux défis de rançongiciels et l’apport de big data pour analyser les attaques et les comportements anormaux.
Comment avez-vous découvert le Programme de récompense des menaces ? Pourquoi avez-vous décidé de le rejoindre ?
L’année dernière, j’ai connu la plateforme SOC Prime pour rechercher des règles de détection de menaces que j’ai appliquées au système SIEM pour chasser les vulnérabilités. C’était la première fois que je rencontrais SOC Prime. Un de mes collègues m’a suggéré d’essayer de rejoindre le Programme de récompense des menaces en tant que développeur. J’ai pensé que c’était une idée passionnante et j’ai décidé d’y participer parce que je croyais que ce programme pourrait m’aider à améliorer mes compétences. En fait, grâce au Programme de récompense, je peux approfondir mon expérience dans l’écriture de règles pour différents types de menaces, trouver de nouvelles connaissances et partager des informations de sécurité avec d’autres membres de la communauté SOC Prime Threat Bounty. Mes règles publiées peuvent également être appliquées pour renforcer les défenses de mon organisation ou partagées avec d’autres entreprises pour atténuer les cybermenaces également.
Parlez-nous de votre parcours avec le Programme de récompense des menaces. Combien de temps en moyenne avez-vous besoin pour écrire une règle Sigma publiée sur la plateforme SOC Prime ?
J’ai écrit des règles pour des outils de sécurité auparavant, mais elles étaient assez limitées et compliquées car différents outils nécessitent différentes manières d’écriture. Après avoir connu la plateforme SOC Prime et appris à écrire les règles Sigma, cela m’a ouvert un monde sans frontières. Les récompenses du Programme de récompense des menaces m’ont également inspiré à faire progresser mes compétences dans l’écriture de règles Sigma au niveau supérieur. J’aime apprendre de nouvelles techniques et écrire des règles avec énergie pour aborder de nouvelles menaces.
Selon moi, le temps moyen nécessaire pour écrire une règle Sigma peut dépendre de la compréhension du type de règle, du comportement des acteurs de la menace et des techniques d’attaque. La variété des IOCs influence également le temps d’écriture car les professionnels de la sécurité doivent inspecter les métadonnées pour identifier les comportements normaux ou anormaux. Je passe principalement environ 30 minutes à analyser les menaces et à écrire une règle Sigma.
Combien de temps vous a-t-il fallu pour maîtriser les compétences en rédaction de règles Sigma ? Quel bagage technique est nécessaire pour cela ?
J’ai passé environ une semaine à étudier comment écrire des règles Sigma, principalement en inspectant des exemples sur GitHub et le Marketplace de détection des menaces de SOC Prime. Ces ressources m’ont aidé à voir la variété des types de règles Sigma. Maintenant, je fais généralement mes propres modèles pour séparer chaque service des différentes sources. De cette façon, il est plus facile pour moi de mettre en Å“uvre les règles. De plus, écrire les règles efficacement est essentiel. Au début, j’écrivais souvent de manière inappropriée, donc mes règles se traduisaient par des menaces manquées ou de faux positifs. Cependant, la plateforme SOC Prime offre une aide experte pour revoir mes règles avant publication. Je peux ajuster mes règles en cas d’erreurs et apprendre à m’améliorer tout en évitant les erreurs.
Comment l’approche collaborative de défense cyber peut-elle aider à atténuer des risques critiques d’une ampleur mondiale comme log4j ?
Fermer un écart ou atténuer un risque ne concerne pas seulement la technologie. Nous devons revenir aux fondamentaux, y compris les personnes, les processus et la technologie. Ce sont les composants clés pour gérer les risques, donc ils doivent être envisagés ensemble. Seule la technologie pourrait en effet avoir la capacité d’atténuer la plupart des menaces. Cependant, nous ne pouvons pas atteindre une protection maximale en termes de temps et de qualité sans les personnes et les processus. Utiliser la plateforme SOC Prime est l’une des étapes qui peut aider à réduire les risques également. Elle offre de larges opportunités de mise en réseau pour que les développeurs puissent échanger des techniques de chasse ou trouver en temps opportun des IOCs, ce qui est avantageux pour diminuer les risques.
À votre avis, quel est le bénéfice le plus significatif du Programme de récompense des menaces de SOC Prime ?
Le Programme de récompense des menaces de SOC Prime me permet d’acquérir beaucoup d’expérience dans l’écriture de règles de détection des menaces sous la supervision et les conseils de l’équipe SOC Prime. Le programme m’aide à améliorer mes compétences et assiste les organisations du monde entier en soutenant une communauté de cybersécurité. C’est un grand honneur quand quelqu’un m’envoie un message direct pour me dire que mes règles de détection peuvent aider leur organisation. De tels cas me motivent à initier rapidement de nouvelles règles pour contrer de nouvelles menaces et étudier de nouvelles techniques, espérant que ma tentative puisse aider la communauté à résister aux menaces.
Que recommanderiez-vous aux débutants du Programme de récompense des menaces ?
Pour toute personne commençant ou étudiant un Programme de récompense des menaces, vous pouvez préparer le terrain en lisant les flux d’actualités sur les menaces, en surveillant les cyberattaques dans le monde entier ou en utilisant des journaux d’attaques fiables pour rédiger une règle Sigma au début. Sinon, vous pourriez prévisualiser les exemples sur GitHub et le Marketplace de détection des menaces. Relevez le défi une fois et aidez ensemble la communauté de cybersécurité !
Aller à la plateforme Rejoindre le Programme de récompense des menaces
