Intervista con lo Sviluppatore: Adam Swan

Continuiamo la nostra serie di interviste con i partecipanti al Programma Developer (https://my.socprime.com/en/tdm-developers), threat hunters e appassionati di cybersecurity per presentarvi queste meravigliose persone che cercano sul web minacce rilevanti e creano contenuti unici per la loro rilevazione. Incontra Senior Threat Hunting Engineer di SOC Prime – Adam Swan.

Adam, raccontaci un po’ di te e della tua esperienza nel Threat Hunting.

Da ragazzo, quando le chat room di AOL erano di moda, ricordo di essere stato affascinato da un trucco che ho incontrato che mi permetteva di ingannare gli altri nel cambiare il loro messaggio di assenza accedendo a un link creato ad hoc. Questi tipi di affacci nel ‘hacking’ hanno acceso una scintilla che mi ha portato su quest’eventuale percorso di carriera in maniera alquanto involontaria. Ho finito per frequentare tutti i corsi di programmazione disponibili al liceo (ad essere onesto, gli unici corsi che mi interessavano) e poi ho scoperto che potevo fare della cybersecurity un percorso di carriera mentre esploravo i programmi universitari. Sono entrato in un programma di Information Assurance presso il Pennsylvania College of Technology. Il programma era un mix di tecnica e politica e ha sicuramente aperto una porta che alla fine mi ha portato al threat hunting.

Dopo il college ho iniziato immediatamente a raccogliere certificazioni per diventare conforme con l’8570 del Dipartimento della Difesa degli Stati Uniti, sperando che mi avrebbero aperto più opportunità tecniche dove stavo lavorando. Tuttavia, anche dopo aver superato diverse certificazioni, incluso il CISSP per ‘spuntare tutte le caselle’, sentivo di non *sapere* veramente nulla. È allora che si è aperta una posizione di analisi malware e il manager ha detto che dovevo ottenere la certificazione GREM per essere idoneo. Senza alcuna conoscenza pregressa dell’analisi malware, ho affrontato la certificazione dopo alcune settimane di studio intenso. Mi sono davvero piaciuti i materiali e finalmente ho sentito che un percorso si stava aprendo per lavori altamente tecnici. Sono stato accettato in una posizione junior e ho passato alcuni anni a perfezionare le mie abilità nell’analisi malware, response agli incidenti, e forense su dead-box.

Tuttavia, è stato solo quando Nate (@neu5ron) mi ha chiesto di unirsi alla sua squadra che mi sono davvero avvicinato al threat hunting. Mi ha introdotto a Elastic e siamo stati catturati dal potere di centralizzare e cercare nei log degli eventi di Windows. Questo è culminato in noi che andiamo in un piccolo tour di conferenze evangelizzando il potere dei log di Windows. Questo periodo è quando sono diventato un hunter e non mi sono mai davvero voltato indietro. Pratico da circa due anni e mezzo ormai. Quindi, rispetto magari ad alcuni altri analisti che SOC Prime ha intervistato, sono ancora nuovo.

Secondo te, quali sono le tendenze più importanti nel threat hunting nel settore adesso?

Ci sono tre tendenze che vorrei affrontare.

Primo, più organizzazioni stanno avviando programmi di threat hunting o stanno prendendo i concetti fondamentali del threat hunting e li stanno aggiungendo alla loro funzione SOC esistente. Questo è enorme poiché i fondamenti del threat hunting sono, a mio avviso, altamente efficaci nel migliorare i programmi di sicurezza.

Secondo, un’altra tendenza nel threat hunting è la dipendenza dall’Endpoint Detection and Response (EDR). Preferisco quelli che forniscono accesso a ricchi dati passivi riguardanti eventi importanti sui sistemi sui quali gli analisti possono scrivere logiche di rilevamento o eseguire analisi manuali. La leadership dovrebbe essere cauta con qualsiasi fornitore che affermi di semplificare completamente o automatizzare l’interezza del rilevamento delle minacce. Gli avversari sono consapevoli di questi strumenti e possono aggirarli.

Infine, la comunità del threat hunting non esisterebbe o non sarebbe dove si trova senza la condivisione. Progetti come SIGMA che consentono la condivisione nel threat hunting hanno posto una solida base per successi futuri.

Adam, cosa ne pensi di Sigma, quale è stata la tua prima esperienza con Sigma, quando hai iniziato a usarlo.

SIGMA è stato nella mia coscienza fin dal suo annuncio, ma il mio primo uso in produzione è stato all’inizio del 2018 quando un cliente ha raccolto log di Windows che risalivano a molti mesi ma non aveva molte rilevazioni / avvisi oltre a quelli predefiniti del vendor. Con l’aiuto dell’ingegnere SIEM ho distribuito le pertinenti regole SIGMA pubbliche.

E secondo te, quali sono i principali benefici di Sigma come strumento di threat hunting? Sigma può cambiare il modo in cui le organizzazioni costruiscono la loro difesa informatica?

Primo, SIGMA consente la condivisione della logica di rilevamento tra organizzazioni con architetture dissimili ma fonti di dati e minacce familiari. Quindi, se ho Splunk e tu hai Elastic e stiamo entrambi raccogliendo log di Windows, possiamo usare SIGMA come linguaggio comune per condividere la logica di rilevamento contro le nostre minacce comuni come il ransomware.

Secondo, SIGMA ci permette di scrivere logica di rilevamento e contornarla con metadati interessanti che potrebbero non essere (facilmente) integrati nell’allerta del tuo SIEM. Ad esempio, se stai tracciando la tua copertura di MITRE ATT&CK in alcuni SIEM non è ovvio o facile collegare queste regole alla loro tecnica associata. Con il file YAML di SIGMA sei autorizzato a etichettare le regole come vuoi.

Terzo, se mantieni la tua logica di rilevamento scritta in SIGMA, ti stai preparando per il successo nel inevitabile adozione di un nuovo SIEM. Se il tuo SOC è improvvisamente responsabile dell’adozione di un nuovo SIEM (diciamo durante un’acquisizione) o la tua leadership decide di passare a un nuovo SIEM, con SIGMA stai abilitando la transizione agile o l’adozione della nuova tecnologia. Questo è particolarmente importante se stai offrendo SOC/threat hunting come servizio (MSSP).

Qual è, secondo te, la parte più complicata e che richiede più tempo nella scrittura di nuove regole Sigma e quanto tempo in media impieghi per scrivere una nuova regola Sigma? È conveniente per te usare Sigma come strumento per scrivere nuove regole? E come prendi la decisione su quale regola creare?

Le regole più immediatamente azionabili si basano su osservazioni dirette. Tuttavia, le regole basate su un’ipotesi educata sul comportamento degli avversari o su come il comportamento degli avversari influisce su un determinato sistema sono altrettanto valide. La parte più dispendiosa in termini di tempo per scrivere una regola SIGMA è la ricerca e la verifica che la logica che scrivi rilevi effettivamente la tecnica/strumento/minaccia prevista. Scrivere una regola in SIGMA non dovrebbe richiedere molto più tempo che scrivere una query contro qualsiasi SIEM. Questo perché SIGMA non si mette in mezzo, non è esigente e la sintassi diventa familiare rapidamente.

Per garantire la qualità, consiglio vivamente a chiunque scriva allarmi SIGMA di prendere a cuore il discorso di Daniel Bohannon sulle firme resilienti (https://www.slideshare.net/DanielBohannon2/signaturesaredead-long-live-resilient-signatures).

Cosa mi dici della tua esperienza con Sigma UI, Adam? Hai qualche idea su come renderla più utile/comoda per gli sviluppatori?

La UI di SIGMA è ottima, uso uncoder.io per verificare che la mia regola sigma verrà convertita poiché copiare e incollare una regola è molto semplice. Sarebbe bello se la UI di SIGMA facesse suggerimenti / raccomandazioni per la compatibilità con diversi backend. Ad esempio, fare eccessivo affidamento sui caratteri jolly può causare problemi con la compatibilità di Elastic.

Adam, in quanto scrittore di contenuti, probabilmente hai un laboratorio. Come testisuali le tue regole e quali fonti log preferisci usare?

Avere un laboratorio per simulare attacchi e confermare/testare la resilienza delle tue firme è molto importante. Preferisco lavorare con i log a cui un’organizzazione media ha accesso. Oggi, scrivere una regola per la registrazione nativa degli endpoint è la rete più ampia possibile da lanciare.

Quali tipi di minacce informatiche pensi che rappresenteranno i rischi maggiori per le organizzazioni nel prossimo anno? Hai qualche suggerimento su come migliorare le capacità di rilevamento contro tali minacce?

Le minacce variano notevolmente tra le organizzazioni. Direi che la minaccia maggiore per l’organizzazione media è l’adozione di exploit/tecniche wormabili nei ransomware wormabili (o qualsiasi tipo di malware distruttivo). I giorni delle intrusioni di Schrodinger sono finiti per l’organizzazione media, la maggior parte delle organizzazioni saprà di essere stata hackerata quando i loro dati verranno presi in ostaggio. Fortunatamente, i metodi per prevenire e rilevare questi tipi di attacchi sono relativamente maturi. L’esecuzione di questi metodi può variare dall’essere relativamente semplice a massivamente complesso a seconda della portata e della complessità delle reti/sistemi che qualcuno sta difendendo. Quindi, il mio consiglio è davvero per la leadership. Ogni volta che è possibile, muoviti verso la semplicità.

In SOC Prime abbiamo lanciato il Programma Threat Bounty che incoraggia la condivisione di contenuti tra professionisti della sicurezza informatica. Adam, ti piace l’idea di premiare gli sviluppatori per la condivisione di regole Sigma e altri contenuti di rilevamento delle minacce?

Sì. Se stai facendo qualsiasi tipo di ricerca sulla sicurezza. Pensa a come puoi condividere il rilevamento. Tutto quello che serve è aumentare la verbosità dei loggings nel tuo laboratorio e quindi rivedere i log per possibili rilevamenti dopo aver eseguito una prova di concetto. Se non sai come iniziare, contattami @acalarch e ti prometto che è incredibilmente semplice.

Adam, quale sarebbe la tua raccomandazione per i giovani specialisti della cybersecurity che stanno giusto decidendo quale percorso scegliere?

Ecco le cose che avrei voluto fare:

1. Approfitta della formazione che puoi ottenere partecipando a conferenze. È più economico e sarai circondato da colleghi e potenziali mentori.
2. Sii il tuo avvocato e sii scettico/realista. Fai chiare le tue intenzioni di percorso di carriera al tuo management, sii insistente riguardo le tue intenzioni, cerca mentori e non avere paura di andare avanti.