Intervista con lo Sviluppatore: Florian Roth

Continuiamo a scrivere una serie di interviste con i partecipanti del Programma Sviluppatori (https://my.socprime.com/en/tdm-developers). L’intervista precedente è qui: https://socprime.com/blog/interview-with-developer-lee-archinal/

Incontriamo Florian Roth.

Florian Roth è CTO di Nextron Systems GmbH. È il creatore di APT Scanner THOR – Scanner per Attività degli Attaccanti e Strumenti di Hacking e sviluppatore del servizio più completo di regole Yara artigianali di Nextron – Valhalla.
Ha creato il progetto Sigma insieme a Thomas Patzke. Florian è anche l’autore di numerosi progetti open-source su Github tra cui yarGen, LOKI IOC Scanner, yarAnalyzer, FENRIR (Bash IOC Scanner) e diversi progetti OSINT come APT Group Mapping (Google Docs), membro YARA Exchange.

Florian, potresti raccontarci un po’ di te e della tua esperienza nel campo della sicurezza informatica?Ho iniziato la mia carriera come ricercatore offensivo presso Siemens a Francoforte nel 2003. Durante quel periodo ho fatto molti test di penetrazione, ottimizzato sistemi IDS/IPS e costruito soluzioni di monitoraggio della sicurezza per clienti nell’area di Francoforte (banche e altre grandi aziende). Nel 2012 ho vissuto il mio primo incidente che non riguardava un’epidemia di virus ma un’azione umana sotto forma di un incidente di sicurezza persistente presso una grande azienda tedesca. Da allora ho lavorato per altri clienti con problemi simili e ho iniziato a sviluppare strumenti, linee guida e meccanismi di rilevamento per identificare questo tipo di minaccia.Sei uno degli inventori di Sigma. Puoi raccontarci come è stato? Come ti è venuta l’idea di fare qualcosa come Sigma?L’idea è nata mentre lavoravo a una serie di casi d’uso per il manuale di rilevamento delle minacce di un cliente. Il cliente mi ha fornito una serie di documenti PDF di diversi fornitori e mi ha chiesto di estrarre e scrivere query di ricerca per rilevare queste minacce nel suo nuovo sistema SIEM. Sembrava uno “spreco di leva”, estrarre e scrivere un set di query di ricerca specifiche per SIEM che un singolo cliente può utilizzare. Ho sempre immaginato una stampa del mio lavoro in un archivio e ho pensato:
“Che spreco. Ci deve essere una forma migliore – più generica – per esprimere queste idee di rilevamento. Ci devono essere molti altri consulenti come me su questo pianeta che lavorano sugli stessi documenti e le stesse query di ricerca per diversi sistemi SIEM. Se uno di noi fosse in grado di esprimere e condividere il suo metodo con gli altri, che sarebbero in grado di convertire la forma generica in una forma specifica per il loro sistema di destinazione, ne beneficerebbero tutti.”Cosa ne pensi, quanto è conveniente Sigma come strumento per scrivere regole di rilevamento?Abbiamo deciso di integrare funzionalità nello standard che hanno un ampio supporto tra molte diverse piattaforme SIEM o di gestione dei registri. Abbiamo escluso funzionalità specifiche per SIEM supportate solo da una o due piattaforme. In questo modo, manteniamo lo standard pulito e semplice da scrivere e leggere. Immagina che anche il nuovo modificatore “regex” integrato non è ancora supportato da tutti i backend. Pertanto, penso che sia il massimo della convenienza possibile per scrivere regole, ma alcune idee di rilevamento complesse non possono essere espresse.Florian, raccomandi Sigma come strumento di caccia alle minacce?Sì. Poiché incoraggiamo le persone a scrivere regole Sigma per rilevare comportamenti malevoli generici, può aiutarti a individuare minacce che il tuo Antivirus o altre soluzioni non rilevano. Il repository pubblico contiene numerose idee di rilevamento che hanno diversi anni ma rilevano le più nuove campagne di Emotet e non producono falsi positivi. Queste sono le regole che ci rendono orgogliosi e che hanno più valore per i nuovi utenti. Immagina che la maggior parte delle regole Sigma sia libera e aperta. È il know-how di rilevamento che i fornitori vendono a prezzi incredibilmente alti. Con Sigma, puoi potenziare la tua attuale soluzione di gestione dei log e applicare metodi di rilevamento forniti dalla comunità senza costi aggiuntivi. Ancora meglio, con un budget, puoi facilmente estendere queste regole con offerte commerciali come quelle fornite nel TDM di SOC Prime.Non è un segreto che la popolarità di Sigma non sia solo data dalla sua convenienza come strumento, ma anche dal fatto che la comunità condivide attivamente i suoi contenuti con tutti. Condividere è gratuito, ma ti piace l’idea che scrivere contenuti complessi e impegnativi può non solo rendere il mondo più sicuro ma anche generare guadagni?Sì. Penso che entrambi i modi di condivisione delle idee di rilevamento dovrebbero coesistere. È la via naturale di come si evolve il mercato – diversificano e crescono.Come prendi la decisione su quale regola creare?Creo spesso regole per la comunità. Solo nei casi in cui penso che un metodo sia altamente specifico, spendo molto sforzo nel creare la regola o il metodo si rivolge solo a clienti aziendali (ad esempio comportamenti legati ad APT), decido di creare una regola come contenuto a pagamento.Come scegli quali regole sarebbero per l’uso della comunità? Quali sono i criteri principali di queste regole?Mi piace fornire regole per minacce attuali che sono temi caldi su Twitter. Ad esempio, se qualcuno segnala una nuova minaccia e fornisce un sample (codice exploit o malware), avvio la mia VM di analisi, in cui è installato Sysmon, eseguo i sample, controllo i registri locali, scrivo una regola e la carico nel repo pubblico. Questo mi richiede tra i 10 e i 30 minuti. Immagina che gli utenti che recuperano e applicano il repo pubblico automaticamente possano ottenere un metodo per rilevare quella minaccia nel loro SIEM in meno di un’ora dalla sua apparizione pubblica su Twitter. In passato, questo era quasi impossibile o richiedeva molte più risorse per monitorare i canali pubblici, analizzare una minaccia e scrivere autonomamente le query di ricerca.Quanto tempo ti ci vuole per creare una nuova regola?Pochi minuti. Di solito prendo una vecchia che è simile a quella che vorrei scrivere e la uso come modello. Abbiamo più di 300 regole per molteplici fonti di registri tra cui scegliere.Cosa manca nell’interfaccia utente di Sigma per te per iniziare a usarla?Niente. Preferisco solo un editor di testo con supporto alla sintassi YAML poiché non ho bisogno dell’assistenza di Sigma UI per scrivere regole valide.Florian, come scrittore di contenuti, probabilmente hai un laboratorio. La domanda è come testate le vostre regole e quale fonte di registri preferisci utilizzare.Ho diverse VM. Le macchine Windows hanno Sysmon installato, le macchine Linux hanno un auditd configurato. Ad essere onesto, spesso non inoltro i miei log al nostro sistema di gestione dei log interni ma verifico le regole localmente con il nostro scanner, che è in grado di applicare regole Sigma su un endpoint.E cosa ne pensi, il programma Developer può aiutare le organizzazioni di tutto il mondo a migliorare la loro sicurezza informatica?Sì, perché crea gli incentivi necessari per i ricercatori di sicurezza e tutti noi otteniamo più contenuti, gratuiti, aperti e commerciali.
Specialmente, i ricercatori nel settore offensivo potrebbero riempire il loro tempo tra gli incarichi creando grandi regole che portano a un reddito costante. Quei nuovi autori di regole, che non erano presenti nel mercato prima, aggiungono contenuti ai mercati come TDM e più contenuti, anche se costa una tassa, è sempre meglio. Spesso devono fornire la prova della qualità delle loro regole prima che le persone inizino ad acquistare alcuni dei loro contenuti. Aggiungeranno regole gratuite ai loro articoli di ricerca e post pubblici. Tutti vincono.
Le aziende possono accedere a feed di regole curate o utilizzare set di regole open-source in molti diversi repository. Possono pagare qualcun altro per la durata o incaricare i propri dipendenti di raccogliere e mantenere un flusso costante di nuove regole di rilevamento delle minacce. Una varietà sempre crescente di fonti, gratuite e commerciali, fornisce la soluzione giusta per ogni organizzazione e le consente di migliorare la loro sicurezza informatica.