Entretien avec le Développeur de Threat Bounty : Wirapong Petshagun

SOC Prime Programme Threat Bounty continue d’unir des développeurs de contenu de détection enthousiastes et motivés qui ont rejoint la communauté pour contribuer à la défense collective contre la cybersécurité et monétiser leurs détections exclusives sur la Plateforme SOC Prime. Veuillez rencontrer Wirapong Petshagun qui a rejoint la communauté Threat Bounty en juin 2022 et publie régulièrement des règles de haute qualité pour aider les utilisateurs de SOC Prime à détecter en temps opportun les menaces existantes et émergentes. En septembre 2022, Wirapong était l’un des 5 développeurs de contenu Threat Bounty les mieux notés.

Détections par Wirapong Petshagun

1. Parlez-nous un peu de vous, de votre formation professionnelle et de votre expérience en cybersécurité.

Bonjour, je m’appelle Wirapong Petshagun, et je viens de Thaïlande. J’ai obtenu une maîtrise en gestion de la cybersécurité. Je m’intéresse à la cybersécurité depuis l’université. Mon premier emploi était dans la réponse aux incidents de cybersécurité dans l’une des plus grandes entreprises de télécommunications de Thaïlande. Cela a été difficile pour moi car j’étais nouveau dans le domaine. J’ai été chargé de créer des règles de détection pour des solutions de sécurité telles que IPS, WAF, EDR et SIEM. En dehors de cela, j’ai géré de nombreux incidents cybernétiques et aussi conçu et créé des playbooks automatisés à implémenter avec SOAR.

Actuellement, je travaille en tant que Répondant aux Incidents Cyber pour une société de conseil en sécurité. J’ai été chargé de fournir des nouvelles de sécurité et des méthodes de détection à un client. J’ai recherché de nombreux sites jusqu’à ce que je trouve SOC Prime. En outre, j’ai créé beaucoup de défis CTF, ce qui m’a aidé à acquérir une compréhension approfondie de la manière dont attaquer et détecter.

2. Quels sont vos sujets d’intérêt en cybersécurité et pourquoi ? Comment souhaitez-vous évoluer en tant que professionnel de la cybersécurité ?

Je m’intéresse aux incidents cybernétiques parce qu’il est excitant de voir de nouvelles techniques utilisées par divers groupes APT. En tant que Répondant aux Incidents, je n’ai pas peur de me confronter à des tâches difficiles parce que je crois que c’est le moyen le plus efficace pour moi d’améliorer mes compétences.

3. Comment avez-vous découvert le Programme Threat Bounty et pourquoi avez-vous décidé de le rejoindre ?

J’ai découvert la Plateforme SOC Prime en cherchant une règle de détection à utiliser avec le SIEM pour détecter de nouvelles CVE et techniques. Après cela, j’ai trouvé le Programme Threat Bounty sur SOC Prime et j’ai décidé de rejoindre immédiatement parce que c’est la seule plateforme qui propose un Programme Threat Bounty, permettant aux Blue Teamers de publier des règles de détection pour aider de nombreuses organisations à détecter les cyberattaques. Je crois aussi que le Programme Threat Bounty pourrait m’aider à améliorer mes connaissances et compétences.

4. Parlez-nous de votre parcours et expérience avec le Programme Threat Bounty. Qu’est-ce qui vous a le plus surpris ?

Je viens juste de commencer à apprendre à écrire des règles Sigma et des règles Snort le mois avant de rejoindre le Programme Threat Bounty. J’ai été surpris lorsque j’ai créé et soumis des règles de détection à SOC Prime. Chaque règle est examinée en détail et également commentée par le réviseur. Cela pourrait m’aider à améliorer mes compétences en écriture de règles de haute qualité.

Une autre chose qui m’a surpris est que j’ai développé une règle Sigma qui incluait certaines charges utiles malveillantes, et elle a été bloquée par le WAF de la Plateforme SOC Prime. J’ai eu peur d’être banni à l’époque, mais lorsque j’ai contacté SOC Prime sur Slack, ils m’ont informé qu’il s’agissait d’un bug et m’ont conseillé de le signaler sur le canal de la liste des bugs.

5. Combien de temps vous faut-il en moyenne pour créer une règle Sigma qui sera publiée sur la Plateforme SOC Prime ?

Le temps moyen dépend de la complexité de la règle, du type de règle et des techniques utilisées par les acteurs de la menace. Certaines techniques doivent être testées pour s’assurer qu’elles fonctionnent et sont ajustées pour réduire les faux positifs, ce qui affecte également le temps nécessaire à l’écriture. D’habitude, je passe entre 15 et 30 minutes sur chaque règle Sigma.

6. Quel est, selon vous, le plus grand avantage du Programme Threat Bounty de SOC Prime pour la cybersécurité et pour vous personnellement ?

Le Programme Threat Bounty de SOC Prime est le seul moyen pour les Blue Teamers comme moi d’acquérir une expérience précieuse en écrivant des règles de détection des menaces sous la supervision de l’équipe SOC Prime. Le programme est aussi une nouvelle passion pour explorer de nouvelles techniques d’attaque utilisées par des acteurs de menace à travers le monde.

7. Que recommanderiez-vous aux débutants en Threat Bounty d’après votre propre expérience ?

Si vous êtes nouveau dans le Programme Threat Bounty, commencez par regarder les règles Sigma de SigmaHQ ou les règles à accès libre de SOC Prime à accès libre, puis vérifiez les détails des attaques à partir du lien dans la référence de la règle et tentez de convertir en conditions pour détecter les attaques vous-même. C’est la manière la plus rapide d’en apprendre plus sur la façon d’écrire les règles Sigma .