Interview avec le développeur de Threat Bounty : Onur Atali
Découvrez le dernier bulletin d’information sur le SOC Prime Developers communauté ! Aujourd’hui, nous voulons vous présenter Onur Atali, un développeur passionné qui contribue à notre programme Threat Bounty depuis juin 2021. Onur est un créateur de contenu actif, concentrant ses efforts sur les règles Sigma. Vous pouvez vous référer aux détections d’Onur de la plus haute qualité et valeur dans le Threat Detection Marketplace.
Parlez-nous un peu de vous et de votre expérience en cybersécurité
J’ai 26 ans et je suis dans l’industrie de la cybersécurité depuis environ 4 ans. J’ai travaillé dans les équipes Red et Blue. En particulier, j’ai été plongé dans le secteur de la cybersécurité lorsque je faisais un programme d’application web pendant mes années de lycée. En révisant le code de ma propre application web, j’ai vu qu’il pouvait déclencher une vulnérabilité, alors j’ai commencé à rechercher le codage de sécurité et je me suis intéressé à la sécurité des applications web. C’est ainsi que je suis entré dans le domaine de la cybersécurité.
J’étais curieux des réseaux et de la sécurité pendant mes années de lycée et, en fait, j’y ai appris les bases. Aussi, à l’époque, mon université avait introduit une section Technologie de la sécurité de l’information, qui comprenait la sécurité de base des réseaux, la programmation réseau, la sécurité des applications web, qui sont des sujets clés que j’ai appris sur la cybersécurité à l’université. Parallèlement, j’ai découvert le concept de CTF et je me suis testé à travers de nombreuses compétitions CTF pour gagner des prix et recevoir des diplômes. Les compétitions m’ont beaucoup motivé et ont encore plus accru mon intérêt pour la cybersécurité, alors j’ai commencé à travailler en tant que pentester après l’obtention de mon diplôme.
Comment avez-vous décidé de vous engager dans les activités de chasse aux menaces ? Quels sont vos sujets d’intérêt en cybersécurité ?
Lorsque je travaillais en tant que pentester, je devais faire de nombreuses recherches sur les cibles et chercher des faiblesses. Plus nous connaissons le service, plus nous avons d’informations pour capturer le défaut et prévenir les conséquences négatives. J’ai travaillé comme pentester pendant environ 2 ans et j’ai vu de nombreux codes d’exploitation, méthodes d’exploitation, techniques de mouvement latéral. À l’époque, j’ai décidé de me plonger dans les pratiques de détection des menaces et l’analyse des attaques, devenant membre de l’équipe Blue. En recherchant les techniques d’attaque et en créant des méthodes de défense, j’ai passé beaucoup de temps à développer des règles de détection spécifiques basées sur les traces des attaques. En fait, j’ai reproduit les attaques sur ma propre machine virtuelle pour effectuer les recherches. Le nombre de cyberattaques a considérablement augmenté par rapport aux années précédentes. Les types d’attaques, les types de logiciels malveillants, et les profils des acteurs de la menace sont très différents et nombreux. Par conséquent, les études de chasse aux menaces doivent être faites avec précision et nécessitent des recherches approfondies.
Mes domaines d’intérêt en cybersécurité incluent la chasse aux menaces, l’écriture de règles et de playbooks de chasse, le développement de logiciels de sécurité, la création d’architectures de réseau sécurisé, et la sécurité des applications web/mobiles. Je prépare également des logiciels de simulation de phishing et des modèles de phishing.
Quels outils sont les plus couramment utilisés par différents acteurs de la menace et quelle serait votre recommandation pour améliorer la défense contre ces outils ? Des exemples seraient formidables !
Les attaquants concentrent leurs efforts sur les applications système légitimes dans le but de masquer les traces. Les hackers pensent que de cette façon, ils contourneront à la fois les analystes de sécurité et les solutions de détection des menaces de sécurité. Au cours de mes recherches, j’ai vu des outils tels qu’Impacket, Bloodhound, Rubeus, Mimikatz pour les mouvements latéraux. D’autres outils que j’ai souvent rencontrés sont des logiciels open source tels que Proxychains, Tor, Hydra, Nmap. Afin de détecter les outils de menace particuliers utilisés par les attaquants, il est important de journaliser les commandes exécutées au niveau du système d’exploitation. De nombreux attaquants exécutent des commandes telles que « whoami, ipconfig, ping 8.8.8.8 », et il est nécessaire de les traiter comme suspectes. Par exemple, une alarme doit être générée si des administrateurs autorisés sont interrogés sur les systèmes qui fournissent le service Active Directory dans le SIEM pour la détection des mouvements latéraux. Les attaquants peuvent vouloir prendre le contrôle, modifier, ou télécharger des applications malveillantes sur le système qu’ils ont saisi, il est donc utile de vérifier le trafic Internet et les adresses web de vos systèmes, surtout lorsqu’une demande se produit vers des services Tor. L’alarme peut indiquer une menace possible. La force brute Les attaques sont le type d’attaque le plus courant aujourd’hui, donc le service SIEM doit détecter et bloquer automatiquement les adresses IP qui analysent au moins 10 ports différents en 5 minutes ou tentent de se connecter à des services critiques tels que RDP, SSH, FTP avec au moins 10 noms d’utilisateur différents. Je pense que SOC Prime est la plate-forme la plus riche au monde en termes de règles de détection des menaces.
Combien de temps vous a-t-il fallu pour maîtriser l’écriture des règles Sigma ? Quel bagage technique est nécessaire pour cela ?
Je pense qu’il est nécessaire de bien connaître les services de journalisation, surtout au niveau du système d’exploitation, pour écrire des règles Sigma. Pour écrire une règle, vous devez bien surveiller les mouvements des attaquants et minimiser la détection de faux positifs. Sinon, trop d’alarmes peuvent se produire et vous pourriez manquer la véritable menace. Les règles Sigma sont très efficaces en termes de détection des menaces et nous aident à faire des coups précis. J’améliore ma capacité à écrire des règles en étudiant l’analyse des logiciels malveillants, la revue d’intervention sur les incidents, et les rapports de cyber-menaces. Lors de l’écriture d’une règle, il est nécessaire de s’assurer que la source de détection et le contenu de la règle écrite répondent à l’alarme attendue.
Comment avez-vous entendu parler du programme SOC Prime Threat Bounty ?
J’utilisais la plateforme SOC Prime pour rechercher des règles de chasse aux menaces, mais j’ai entendu parler du programme de récompenses par mes amis. Je suis très heureux de participer au programme, car j’apprends beaucoup de choses ici et je m’améliore.
Parlez-nous de votre parcours avec le programme Threat Bounty. Combien de temps vous faut-il en moyenne pour écrire une règle Sigma qui sera publiée dans le Threat Detection Marketplace sans corrections ?
J’ai été vraiment intéressé lorsque j’ai entendu parler du programme de récompenses SOC Prime Threat Bounty et j’ai immédiatement postulé. L’équipe SOC Prime a approuvé ma candidature assez rapidement et m’a contacté, ce qui m’a rendu très heureux. Avant d’écrire les règles, j’ai étudié les règles existantes et appris sur le processus.
Pour écrire des règles sans faille sur la plateforme, en particulier dans l’analyse des logiciels malveillants et l’intervention sur les incidents, les développeurs ont besoin d’au moins 1 an d’expérience en cybersécurité. Cependant, la première tentative pourrait être faite dès 1 à 2 semaines après avoir examiné les règles existantes sur la plateforme et lu les directives.
Quelle est la plus grande valeur pour vous de participer au programme Threat Bounty ?
La meilleure valeur de participer au programme Threat Bounty est que les règles que j’écris sont intéressantes et aident la communauté. Car si les règles que vous écrivez ne sont pas fonctionnelles, elles ne font évidemment pas sens. Avec le programme Threat Bounty, j’ai eu l’occasion de m’améliorer dans l’écriture d’une règle Sigma, et en écrivant une règle, vous pouvez également en apprendre davantage sur les configurations de sécurité détaillées au niveau du système d’exploitation, ce qui vous permet techniquement de progresser. Je suis heureux de participer au programme Threat Bounty, m’améliorant moi-même et contribuant à la communauté.
