La Nouvelle Ère du Programme de Prime de Menace
Table des matières :
Comment le Crowdsourcing Façonne les Stratégies Futures de Défense Cybernétique
Le crowdsourcing est l’un des piliers clés pour construire une défense cybernétique avancée capable de relever les nouveaux défis du paysage des menaces modernes. Avec plus de 30 000 nouvelles vulnérabilités découvertes uniquement en 2023 et des cyberattaques se produisant chaque minute, les équipes autonomes peuvent difficilement faire face à l’avalanche de menaces existantes. Le partage des connaissances est indispensable pour devancer et surpasser les adversaires.
En agrégeant des données et des informations provenant de sources multiples, les initiatives de détection de menaces par crowdsourcing offrent une compréhension plus riche de la surface d’attaque et permettent des réponses plus rapides et plus coordonnées. Cette approche collaborative optimise les ressources, assure le partage d’informations en temps réel et favorise l’amélioration continue grâce à une boucle de rétroaction itérative. Avec sa portée mondiale et sa capacité d’innovation, le crowdsourcing construit un réseau de défense résilient et évolutif, promouvant des pratiques de cybersécurité communautaires efficaces pour combattre des menaces cybernétiques sophistiquées et évolutives.
En tant qu’évangélistes de l’approche collective de défense cybernétique, lors du troisième atelier communautaire EU ATT&CK en mai 2019, SOC Prime a lancé le premier programme de prime pour défenseurs cybernétiques de l’industrie. À l’occasion du 5e anniversaire du Threat Bounty Program, nous présentons l’ensemble d’outils amélioré et les capacités étendues pour les contributions, reflétant les principes fondamentaux de la cybersécurité moderne et fournissant aux membres de la communauté de crowdsourcing les technologies les plus avancées de SOC Prime pour l’ingénierie de détection.
Retour aux Sources
Reconnaître l’excellence personnelle et la reconnaissance des droits d’auteur sont fondamentaux pour l’initiative de SOC Prime qui unit des spécialistes du monde entier et leur offre l’opportunité de contribuer à la défense cybernétique mondiale.
L’initiative Threat Bounty a reçu le soutien des membres de la communauté de la cybersécurité qui se sont précipités pour postuler et se préinscrire au Programme après l’annonce. En réaction rapide à la préparation et à la demande de la communauté, nous avons lancé le portail des développeurs début juin 2019, qui a servi de centre principal pour contribuer des règles de détection à SOC Prime pendant cinq ans.
Depuis le premier jour, le Threat Bounty Program de SOC Prime est connu comme un environnement fiable et de soutien pour ceux qui souhaitent mettre au défi leurs compétences en ingénierie de détection et gagner de l’argent tout en constatant comment leurs règles de détection aident les entreprises du monde entier à résister aux menaces cybernétiques nouvelles ou connues.
Le développement et la transformation du Programme ont toujours été alignés sur l’évolution des industries et des technologies, nous permettant de maintenir un haut niveau de professionnalisme et de motivation pour ceux qui souhaitent étendre leurs pratiques d’ingénierie de détection et faire partie de l’équipe Blue Team en crowdsourcing fournissant des détections aux organisations du monde entier. De nos jours, nous portons l’expérience utilisateur des membres de Threat Bounty à un tout nouveau niveau, en les équipant des technologies et outils les plus avancés de SOC Prime pour l’ingénierie de détection.
Diriger la Communauté
Avec l’idée de partage de connaissances illimitées au sein de la communauté, en 2018, SOC Prime a lancé Uncoder.IO, qui a agi comme un traducteur en ligne rapide, privé et facile à utiliser pour les règles Sigma, maintenant 100% la confidentialité de ses utilisateurs. Voyant le succès d’Uncoder en tant qu’outil communautaire, en novembre 2023, l’équipe de SOC Prime a rendu Uncoder.IO outil entièrement open-source sous la licence Apache 2.0. Comme Uncoder a été développé avec la confidentialité à l’esprit, la version SaaS de l’outil disponible à https://uncoder.io assure qu’il n’y a pas de suivi des cookies, de journalisation des données ou de code, ou de partage avec des tiers. Pour la communauté, cela signifie que tout professionnel de la sécurité expérimenté ou débutant en défense cybernétique bénéficie des capacités de conversion IOC de base, de traduction de contenu et de création de règles Sigma & Roota.
Depuis la première préinscription au Threat Bounty Program en avril 2019, SOC Prime a reçu presque 2 000 candidatures pour rejoindre le Programme et a accueilli plus de 600 individus qui ont démontré leur volonté de contribuer à la défense cybernétique mondiale via SOC Prime. Contribuer à l’ingénierie de détection en crowdsourcing exige souvent que les auteurs des règles de détection de menaces s’aventurent au-delà du domaine familier des intérêts professionnels et des compétences établies sur le lieu de travail, dans l’organisation ou même dans l’industrie et développent leurs compétences et leur analyse de l’ensemble des menaces cybernétiques mondiales.
Bien qu’aligner l’effort des ingénieurs en détection de menaces en crowdsourcing sur le besoin réel du marché soit une partie essentielle, voire vitale, du Threat Bounty Program, il est toujours difficile pour les auteurs de contenu de maintenir leurs compétences alignées avec les demandes contemporaines concernant la complexité des détections et le paysage en constante évolution des menaces.
Les membres du programme qui sont avec la communauté depuis les premiers jours se souviennent à quel point il était facile et sans effort de publier leur contenu sur la plate-forme SOC Prime. Les auteurs pouvaient soumettre leurs algorithmes de détection pour une publication Premium ou Communautaire, et cette approche offrait plus de flexibilité aux auteurs, surtout lorsque la logique de détection n’était pas complexe. Cependant, encourager et promouvoir les contributions les plus simples à la communauté mondiale va à l’encontre des principes du Programme.
Le Threat Bounty Program est un environnement exigeant qui favorise le développement du talent personnel dans la main-d’œuvre de cybersécurité de toute organisation et de tout fournisseur de cybersécurité. Le programme permet aux experts spécialisés dans diverses technologies de développer davantage et d’utiliser leurs compétences appliquées dans un cadre éthique et compétitif avec des exigences strictes pour le respect des lois et règlements concernant les droits de propriété intellectuelle et les données personnelles, ainsi qu’une compréhension du format Sigma générique et une connaissance approfondie des formats spécifiques aux fournisseurs.
De plus, le développement et l’évolution de Uncoder IO et l’introduction de la conversion IOC en requêtes de chasse personnalisées ont marqué une autre avancée dans la transformation du Threat Bounty Program et les exigences d’acceptation de contenu. En réponse à l’évolution du Programme, les auteurs de contenu désireux de gagner de l’argent avec leurs propres détections ont dû s’adapter à l’environnement plus exigeant et investir du temps dans le développement de règles plus complexes.
Récompenses
La possibilité de monétiser des règles de détection avec le Threat Bounty Program de SOC Prime est sans aucun doute un point important à considérer pour ceux qui cherchent des opportunités de gagner un revenu supplémentaire grâce à leur connaissance professionnelle.
Le système de récompenses basé sur des évaluations est un moyen de fournir un retour global sur le contenu de détection, incluant la réflexion des tendances de la demande pour la couverture de détection des technologies, des sources de journaux spécifiques, des comportements et des outils de groupes APT particuliers.
Cette approche pour récompenser les auteurs de contenu a été plus qu’utile pour aligner les recommandations générales pour les règles acceptées avec la demande réelle des utilisateurs réguliers de la plate-forme. Par exemple, il est devenu clair qu’une détection minimale viable ou un IOC de bas niveau ne peut pas contribuer à une détection de menace efficace en tant que partie de l’offre de SOC Prime à la communauté mondiale.
Le système de récompenses basé sur les évaluations, avec les normes établies pour la qualité des soumissions, permet à SOC Prime de récompenser les auteurs qui fournissent du contenu actionnable capable de détecter des outils et comportements malveillants dans les environnements réels des entreprises et des gouvernements.
L’information est Clé
Le partage continu de retours d’informations est essentiel pour maintenir des standards élevés de développement de contenu en crowdsourcing, assurer l’implication continue de la communauté cybernétique dans le développement de détections actionnables, améliorer la qualité du contenu et renforcer la crédibilité auprès des utilisateurs finaux. Bien que nous fournissions aux auteurs des retours sur leurs règles soumises par e-mail, les ingénieurs de SOC Prime qui vérifient les détections suggérées pour publication n’étendent pas leurs retours à des consultations professionnelles personnelles ou à du coaching. Au lieu de cela, nous encourageons les membres du Threat Bounty Program à participer à des discussions communautaires, que nous considérons plus précieuses pour la communauté Threat Bounty que les consultations individuelles, car elles augmentent la transparence, favorisent l’échange d’informations et encouragent le développement des compétences parmi les auteurs de Threat Bounty.
Pour équiper les membres du Threat Bounty Program d’une communauté d’apprentissage ouvert et d’échange de connaissances, nous avons introduit un canal Discord qui sert de centre où des praticiens expérimentés partagent généreusement leurs connaissances et leurs idées avec les nouveaux venus curieux pour favoriser la collaboration entre pairs, s’engager dans des discussions animées, se tenir au courant des dernières tendances en cybersécurité et améliorer leurs compétences techniques.
Quoi de Neuf ?
La détection de menaces par crowdsourcing est toujours accompagnée d’un langage unifié, afin que tout praticien de la sécurité puisse bénéficier de la défense cybernétique collective. Le Threat Bounty Program a commencé avec les règles Sigma au cœur, rendant les contributions communautaires portables vers de nombreux langages SIEM et EDR. Pourtant, pour permettre à l’industrie de surmonter les limites des règles Sigma dans la description et le portage des détections complexes basées sur le comportement, l’équipe de SOC Prime a introduit Roota en 2023.
Avec Roota agissant comme un wrapper, les défenseurs cybernétiques peuvent prendre une règle ou une requête native et l’enrichir avec des métadonnées, grâce à Uncoder AI, traduire le code dans d’autres langages SIEM, EDR et Data Lake. Inspiré par le succès des règles Yara et Sigma, Roota se concentre sur une applicabilité plus large par une communauté plus vaste de défenseurs. Cela signifie que vous pouvez écrire en Roota avec n’importe quelle langue que vous connaissez déjà et Uncoder vous aidera à traduire vers d’autres langues courantes, éliminant ainsi le besoin d’apprendre un nouveau langage de requête spécifique ou générique. Le but est d’équiper toute personne ayant de l’expérience dans l’écriture de règles avec de meilleurs outils au travail. De cette façon, non seulement les chasseurs de menaces expérimentés, les experts en DFIR et en règles Sigma, mais aussi les analystes SOC désireux de contribuer au bien collectif par le biais du Threat Bounty Program utilisent désormais la suite avancée d’ingénierie de détection de SOC Prime avec Uncoder en son cœur. SOC Prime fournit maintenant à nos membres Threat Bounty une IA privée qui ne divulgue pas leur code, supporte le respect de la licence des règles de détection et garantit que les droits d’auteur pour la propriété intellectuelle ne sont pas perdus en traduction, le tout dans un environnement de développement privé qui n’est pas entrechoqué par l’IA générative, un dépôt personnel pour stocker leurs détections dans un environnement cloud SOC 2 Type II, ainsi que de multiples fonctionnalités de type IDE, y compris la complétion de code, le marquage MITRE ATT&CK, l’assurance qualité, les corrections, et un workflow intégré pour la révision et l’utilisation du code.
La nouvelle ère du programme d’ingénierie de détection par crowdsourcing de SOC Prime unifie toutes nos initiatives communautaires, créant un flux de travail tout-en-un facile à utiliser conçu pour libérer le talent personnel, améliorer les compétences en ingénierie de détection et en chasse aux menaces, et étendre l’expertise technologique. Le Threat Bounty Program offre un cadre sécurisé, éthique et compétitif pour que les participants contribuent à la défense cybernétique tout en gagnant reconnaissance et avantages tangibles pour leurs efforts.
