Histoire à succès de chasse aux menaces : Kyaw Pyiyt Htet

Aujourd’hui, nous voulons vous raconter l’histoire de Kyaw Pyiyt Htet, l’auteur de contenu qui est avec le Programme de prime de menaces depuis presque quatre ans. Nous avons présenté Kyaw Pyiyt Htet sur notre blog et avons mentionné quelques informations sur son parcours personnel et professionnel.

C’est excitant d’entendre Kyaw Pyiyt Htet maintenant et d’en savoir plus sur son développement professionnel, sa progression de carrière et ses projets pour l’avenir.

Parlez-nous de vous, de votre entreprise actuelle et de votre poste dans l’entreprise.

Je suis Kyaw Pyiyt Htet. Mon nom est un peu difficile à prononcer. Je travaille actuellement comme analyste principal des menaces chez LMNTRIX, un service XDR australien. L’entreprise fournit des services de cyberdéfense dans la région APAC et en Amérique du Nord. Mes tâches quotidiennes se concentrent principalement sur la réponse aux menaces en utilisant l’EDR/XDR. C’est ce que je fais à mon poste actuel et dans mon travail quotidien.

Avant de rejoindre le Programme de prime de menaces, j’ai travaillé comme analyste L1. J’ai affiné les règles de détection et me suis appuyé sur des signatures et une surveillance réactive. J’ai également appris comment les ingénieurs en détection de menaces opèrent et comment identifier efficacement les incidents cyber.

Depuis combien de temps êtes-vous membre du Programme de prime de menaces ? Quels sont, selon vous, vos plus grands accomplissements et jalons en tant qu’auteur de contenu de prime de menaces ?

Je participe au programme de prime de menaces depuis trois ans et huit mois, et je continue de contribuer. Mon plus grand accomplissement et jalon est que j’ai été classé comme meilleur auteur en 2022 en août, octobre et novembre dans le rapport mensuel. Récemment, j’ai été reconnu comme l’un des 20 meilleurs contributeurs de SOC Prime.

En parlant de contributions de règles, pouvez-vous nous dire combien de règles vous avez soumises pendant votre participation au programme ?

Actuellement, 189 règles ont été avec succès publiées sur le Marché de la Détection des Menaces. Le nombre total de soumissions pourrait dépasser 200 règles, mais malheureusement, je ne peux pas les rappeler en détail. Beaucoup de mes soumissions ont été rejetées. Même si j’ai reçu tant de rejets, j’ai acquis de l’expérience que j’utilise pour créer des règles Sigma de haute qualité.

Avez-vous un calendrier personnel ou des jalons pour soumettre vos règles ? En observant l’activité de la communauté Threat Bounty, le nombre de soumissions pour les auteurs publiant activement varie considérablement, de 5 à plus de 50 soumissions par semaine. Comment faites-vous cela ?

Je n’ai pas d’objectif fixe. Et plus de 50 soumissions par mois – je ne fais pas cela. Mais je peux vous parler de mon approche.

Tout d’abord, je lis des rapports de menaces open-source, tels que Unit 42, Cybereason, Cisco Talos, et similaires. Habituellement, je lis les rapports et cherche certains artefacts de détection. Par exemple, y a-t-il une création de clé de registre, ou des opérations planifiées par le vecteur de menace, etc., et ensuite je prends cet artefact de détection, crée une règle Sigma, et contribue au programme de prime de menaces.

En parallèle, je recherche le cadre C2 personnalisé dans mon environnement de laboratoire domestique, et là, je peux trouver d’autres artefacts de détection significatifs. À ce jour, j’ai plusieurs règles de détection sur la Plateforme SOC Prime qui sont à 100% mes recherches internes.

Ces deux approches que j’utilise pour écrire les règles de détection que je contribue.

Avez-vous des sujets particuliers ou des orientations dans la chasse aux menaces qui vous passionnent et vous enthousiasment particulièrement ?

Quand je lis un rapport de renseignement sur les menaces , je cherche d’abord des indicateurs d’attaque plutôt que des indicateurs de compromis. Si je dois créer un contenu de détection robuste, il devrait se baser sur des indicateurs d’attaque car il est difficile de changer du point de vue de l’attaquant.

Par exemple, si nous écrivons une règle Sigma basée sur des IOC, comme une adresse IP ou un nom de domaine, ce n’est pas vraiment fiable comme détection à long terme.

C’est pourquoi je prête attention aux exécutions en ligne de commande ou à d’autres artefacts de registre clés qui sont difficiles à changer dans une opération d’attaquant.

Parlons de la partie la moins agréable des soumissions de contenu, à savoir le rejet de contenu. Quelle est votre expérience ?

Honnêtement, auparavant, je me suis appuyé sur les IOC pour créer des règles Sigma, et c’était la principale raison pour laquelle mes règles étaient rejetées. Une autre raison est que parfois je crée des règles très tard, donc le contenu d’autres contributeurs a déjà passé la vérification avant moi.

Chaque fois que je reçois un rejet, l’équipe de vérification de SOC Prime spécifie une raison. Ils m’ont recommandé de me concentrer sur la création de règles de détection de haute qualité et haute précision. J’ai acquis cette expérience même si j’ai reçu tant de rejets.

Et comment avez-vous basculé de l’écriture de règles basées sur des IOC à du contenu comportemental ?

Plus tard, j’ai commencé à appliquer le modèle de Pyramide de la Douleur car, en utilisant ce modèle, nous pouvons faire une évaluation des capacités de l’attaquant en fonction du niveau de difficulté. Ce que je veux dire par là – plus le niveau des artefacts dans la Pyramide de la Douleur est élevé, plus la précision de la règle de détection est élevée.

J’applique toujours le modèle de la Pyramide de la Douleur lorsque je lis des rapports de menaces ou fais mes propres recherches. Quand je trouve de bons artefacts, je crée une règle Sigma et la soumets.

Cette expérience vous a-t-elle aidé à vous développer professionnellement ?

Oui, exactement. Par exemple, je suis très attentif aux recommandations de l’équipe SOC Prime lorsqu’ils disent que ma règle est faible ou que je dois ajuster certains paramètres de détection. Ce genre de recommandations m’aide beaucoup dans mon travail également. Je peux faire un meilleur affinage et réduire les fausses alertes positives. Je pense avoir beaucoup appris de mon expérience en participant au Programme de prime de menaces.

Quelle était votre principale motivation pour participer à la prime de menaces ? Était-ce l’argent, l’amélioration personnelle, ou peut-être un défi ?

Pour créer des règles pour le Programme de prime de menaces, je dois lire des nouvelles sur les menaces émergentes. Cela m’aide beaucoup dans mon travail quotidien car mes responsabilités incluent les opérations de renseignement sur les menaces cybernétiques. Cela signifie que je dois rester connecté avec les informations sur les menaces émergentes et créer des règles de détection presque tous les jours. En réalité, participer au Programme de prime de menaces et faire mon travail au jour le jour sont étroitement connectés, et il n’y a pas de grande différence là. C’est pourquoi j’encourage tout le monde à participer au Programme de prime de menaces, ce qui nous aidera à améliorer nos compétences et sera bénéfique pour les entreprises pour lesquelles nous travaillons.

Quelle est votre motivation personnelle pour continuer à contribuer des règles à la prime de menaces ?

Tout d’abord, je veux contribuer à la communauté internationale car je veux être célèbre. C’est ma motivation personnelle et mon ego. Bien sûr, je veux avoir un revenu supplémentaire et pouvoir acheter ce que je veux. Une autre motivation importante pour moi est que je peux montrer ma carrière et mes compétences en participant au Programme de prime de menaces. Je peux ajouter cela à mon CV lors de la candidature à un nouvel emploi sur le marché international de la cybersécurité.

Parlons de votre communauté. Partagez-vous votre expérience et recommandez-vous à vos amis et collègues de rejoindre le programme de prime de menaces ?

Oui, bien sûr, certains de mes amis contribuent déjà activement au Programme de prime de menaces. Pour ceux qui ne sont pas encore membres de ce programme, je les encourage toujours à participer. Même si vous recevrez beaucoup de rejets au début, en parallèle, comme je l’ai déjà mentionné, c’est une grande opportunité d’apprendre à créer des règles de détection mûres. Ne laissez pas tomber !

L’autre avantage est que nous créons des règles Sigma, nous savons donc quelle est l’activité anormale et pouvons mieux affiner les règles existantes. C’est le type d’amélioration des compétences que vous pouvez acquérir en participant au Programme de prime de menaces.

Comment prévoyez-vous de vous développer professionnellement à l’avenir ? Comptez-vous sur SOC Prime ici ?

Avec l’assistance de SOC Prime – et c’est vraiment l’une des principales parties de mon développement de carrière – je veux devenir expert en renseignement sur les menaces cybernétiques dans cinq ans. Avec l’assistance de SOC Prime, j’ai eu la possibilité de m’engager avec la communauté internationale sur le serveur Discord et de recevoir des commentaires de l’équipe de vérification, ce qui est aussi une partie importante de l’amélioration personnelle.

Aussi, avec Uncoder AI, je peux facilement convertir des règles Sigma dans le langage EDR que nous utilisons dans notre entreprise, ce qui est également utile.

Votre expérience est très intéressante et inspirante. Je crois que plus d’enthousiastes qui commencent juste leur carrière devraient suivre votre exemple et vos conseils et rejoindre le Programme de prime de menaces.