Intervista con lo sviluppatore: Den Iuzvyk

[post-views]
Aprile 27, 2020 · 5 min di lettura
Intervista con lo sviluppatore: Den Iuzvyk

SOC Prime presenta un’altra intervista con un partecipante del programma SOC Prime Threat Bounty Developer Program (https://my.socprime.com/en/tdm-developers). Vogliamo presentarvi Den Iuzvyk che ha pubblicato oltre 60 regole comunitarie di altissima qualità e valore di rilevamento durante i sei mesi di partecipazione al Threat Bounty Program.Leggi altre interviste con sviluppatori di contenuti sul nostro blog: https://socprime.com/en/tag/interview/

Parlaci un po’ di te e della tua esperienza nel threat-hunting.

Mi chiamo Den Iuzvyk, vengo da Kiev, Ucraina, e ho 34 anni. Sono CTO di una società chiamata Simplerity.

Ho iniziato la mia carriera nel 2003 come sviluppatore di software. Mi sono interessato alla cybersecurity nel 2015. In seguito, sono diventato co-fondatore di un’azienda in cui abbiamo creato una piattaforma per l’analisi dei log e il threat hunting. Ho creato diversi strumenti di rilevamento malware, simulatori di attacchi automatici, e ho verificato i sistemi di rilevamento moderni per le vulnerabilità.

Den, qual è la differenza tra threat hunting e threat detection?

Il threat hunting è una parte del processo di rilevamento delle minacce che si concentra sul rilevamento proattivo delle minacce filtrate attraverso i sistemi di sicurezza e di allarme esistenti.Il threat detection è un insieme di azioni mirate al rilevamento delle minacce in ogni fase del loro ciclo di vita.

Secondo te, cosa rende Sigma uno strumento così efficiente per il threat-hunting?

Sigma è la scelta ideale per un cacciatore di minacce perché il suo formato ad alto livello consente di utilizzare, memorizzare e condividere analisi senza essere vincolati a un backend specifico.Sigma aiuta a mettere da parte i nomi dei campi nei log e concentrarsi sui risultati. La mia parte preferita di Sigma sono i “riferimenti” – la fonte che ha ispirato l’autore a creare il rilevamento.

Quali competenze sono necessarie per sviluppare regole Sigma per il threat-hunting?

Innanzitutto, è l’approccio analitico nell’elaborazione dei dati. Devi riconoscere i modelli che puoi utilizzare per creare rilevamenti efficaci.

La seconda competenza è conoscere le TTP degli attaccanti.

La terza è una buona padronanza dell’organizzazione interna dei sistemi operativi.

La quarta è la comprensione della sicurezza di rete e dei dati.

Quali tipi di minacce sono i più complicati da rilevare? Den, forse puoi darci un esempio reale?

La cosa più difficile da rilevare sono i rootkit.Il prossimo sono i driver firmati che sono stati rilasciati con bug che consentono lo sfruttamento e il funzionamento direttamente in modalità kernel e, di conseguenza, un truffatore può bypassare i sistemi di sicurezza.Poi vengono le minacce con .NET Framework (AppDomainManagere il caricamento degli assembly).Ma ciò che può renderci felici è la crescita della comprensione dei probabili vettori di minaccia e, di conseguenza, compaiono nuove visibilità come l’integrazione di AMSI con la versione .NET 4.8 e ETW (EventTracing for Windows)

Qual è secondo te il più grande vantaggio del Threat Bounty Program di SOC Prime?

Dal punto di vista del creatore delle regole di rilevamento, il Threat Bounty Programpresenta le esigenze dei clienti e consente un’immersione profonda nella ricerca dove puoiottenere conoscenza ed esperienza e essere premiato da SOC Prime.

La perdita di dati è un problema molto comune per molte organizzazioni ora, quali misure pensi potrebbero essere le più efficienti per evitare la violazione dei dati (se non è causata da dipendenti irresponsabili)

Dipende dalla strategia scelta che può variare in base al tipo di azienda. Ma i seguenti passi sono essenziali:

Valutazione del sistema di sicurezza attuale, risoluzione delle aree di vulnerabilità.

Classificazione dei dati. È molto importante sapere dove e quali informazioni sono archiviate. Non tutte le informazioni devono essere protette.

Classificazione degli accessi. È essenziale sapere chi ha accesso alle informazioni, sia fisiche che di rete.

Monitoraggio continuo. Raccolta e analisi dei log ricevuti dal data storage e dalle workstation.

Educazione e tempestiva informazione del personale.

Crittografia. Tutti i dati archiviati e trasferiti devono essere crittografati.

Gestione delle patch.

Come cacciatore di minacce esperto, qual è secondo te la priorità #1 per le organizzazioni che vogliono costruire una difesa cyber robusta? (e perché)

Attivare MFA 🙂Secondo me, prima di tutto, bisogna capire l’importanza di ogni passo. Non esiste un proiettile d’argento magico, è un processo continuo.L’approccio proattivo sarebbe la scelta migliore qui, anche se è piuttosto costoso all’inizio ma è più conveniente in futuro.La priorità nello sviluppo di un approccio alla cybersicurezza per un’azienda è definire gli asset critici per il business da cui dipende l’intera operazione commerciale.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati