Intervista con lo Sviluppatore: Ariel Millahuel

Abbiamo fatto un’altra intervista con uno dei partecipanti al Developer Program di SOC Prime (https://my.socprime.com/en/tdm-developers). Vogliamo presentarvi Ariel Millahuel.Ariel, puoi presentarti e raccontarci della tua esperienza con il Threat Hunting?Sono Ariel Millahuel di Buenos Aires, Argentina e ho 30 anni.
Ho iniziato nel mondo del Threat Hunting 2 anni fa, quando mi sono trasferito da un SOC ad un lavoro nel Blue Team. Questo è stato il mio punto di partenza e ora è una delle mie passioni.Parliamo dell’industria del threat-hunting. Secondo te, quali sono le tendenze più importanti e i punti deboli attuali?A mio parere, le tendenze più importanti sono la caccia al Malware, i log Sysmon e le tecnologie cloud. Penso che il punto più debole risieda nell’integrazione del machine learning nell’industria.Raccontaci della tua esperienza con Sigma. Quando hai iniziato a usarlo e perché?La prima volta che ho visto Sigma è stato in TDM, esplorando le regole e così via. In quel momento, ho iniziato a imparare su Sysmon e il monitoraggio dei processi, circa 5 mesi fa. Mi ci sono voluti almeno 3 mesi per iniziare a scrivere alcune semplici regole Sigma.Secondo te, quali sono i principali benefici di Sigma come strumento di threat-hunting? Sigma può cambiare il modo in cui le organizzazioni costruiscono la loro difesa informatica?I principali benefici di Sigma sono l’integrazione con i SIEM più importanti dell’industria e l’opportunità di creare continuamente contenuti man mano che nuove minacce si affacciano sulla scena principale.
Sigma può cambiare non il modo in cui le organizzazioni costruiscono la loro difesa informatica ma l’intero scenario per i team blu e rossi.Qual è la parte più complicata e che richiede più tempo nella scrittura di una nuova regola Sigma?La parte più complicata e che richiede più tempo è convalidare ciò che stai inserendo in una regola specifica. Io faccio questo nel mio laboratorio virtuale.Quanto tempo ti serve per scrivere una nuova regola Sigma? Come decidi quale regola creare?L’intero processo mi richiede almeno 2 ore per regola. Succede quando vedo un nuovo comportamento nel malware che analizzo in un sandbox.Secondo te, cosa può essere migliorato in Sigma?Sigma è cresciuto da quando ho iniziato a utilizzarlo ed è stato fantastico vedere il tipo di cose che state facendo. Sarebbe ottimo se Uncoder avesse un feedback sugli errori di parsing o “errori sconosciuti”. Li ho visti e a volte è difficile capire cosa stai sbagliando.Cosa consiglieresti agli specialisti della cybersecurity che stanno appena imparando a scrivere regole Sigma, qualche consiglio per padroneggiare la scrittura di Sigma?Consiglio a queste persone di studiare Sysmon a un livello profondo e di imparare sempre come pensano gli attaccanti e come si muovono.Hai provato a usare Sigma UI? Cosa pensi, come potrebbe essere migliorato?Sigma UI è uno strumento potente ed è semplicemente perfetto. Li ho usati per vedere come appare il codice sigma grezzo in ArcSight.Hai un laboratorio? Come testate le vostre regole e quale origine di log preferisci utilizzare?Ho un laboratorio piccolo ma efficace dove le regole vengono testate. Preferisco sempre i log Sysmon.Sei un partecipante del Developer Program di SOC Prime, cosa ne pensi, può il Developer Program aiutare le organizzazioni di tutto il mondo a migliorare la loro cybersecurity?TDM e il programma per sviluppatori di SOC Prime aiuteranno molto e probabilmente porteranno a un grande cambiamento con l’eccellente idea di pagare denaro ai sviluppatori.Da SOC Prime abbiamo lanciato il Threat Bounty Program che incoraggia la condivisione di contenuti tra professionisti della cybersecurity. Ariel, ti piace l’idea di premiare gli sviluppatori per la condivisione delle regole Sigma e altri contenuti di rilevamento delle minacce?Sì, 100%. Questo è uno dei punti che mi ha convinto ad aderire a questo programma.Cosa consiglieresti ai giovani specialisti della cybersecurity che stanno appena decidendo quale percorso scegliere?Prima di scegliere qualsiasi percorso, consiglio ai giovani appassionati di sicurezza di rimanere sempre informati e imparare. Non è mai abbastanza in questo mondo.Ariel, sei il primo sviluppatore che pubblica le sue regole su Twitter, ed è fantastico. Sarebbe interessante per la comunità della cybersecurity avere un ‘feed’ su twitter/telegram, dove vengono pubblicate informazioni sulle nuove regole?Un pulsante “condividi” con un’anteprima della regola sigma sarebbe molto interessante per il TDM. Un feed sarebbe fantastico. Questo probabilmente spingerebbe le regole e i benefici per gli sviluppatori e SOC Prime.Twitter… come puoi controllare chi sta leggendo il tuo feed? Se fornisci qualche idea, cosa è necessario rilevare, i cattivi possono leggere e utilizzare queste informazioni contro qualcun altro. A volte un approccio buono può essere utilizzato non nel modo corretto… Cosa ne pensi di questo?Sono completamente d’accordo con questo. Non posto su twitter alcune nuove idee fino a quando non creo alcune regole sigma o contenuti per il mio lavoro. Questo è un buon modo per prevenire un cattivo utilizzo delle tue idee.Abbiamo un’altra domanda specifica per te. L’analisi del malware di solito è un’azione reattiva e alcune organizzazioni possono essere già state violate con quel malware. Ariel, cosa pensi del rilevamento predittivo? È possibile? Se sì, come cerchi nuove idee che devono essere rilevate?Il rilevamento predittivo è complicato ma non impossibile. Lo dico a causa della varietà dei comportamenti del malware ‘in natura’. Puoi ottenere una buona matrice di previsione se la tua organizzazione pensa alla sicurezza in modo serio e se puoi utilizzare app per l’analisi del malware come i Sandboxes.