Intervista con lo sviluppatore: Lee Archinal

Stiamo iniziando una serie di interviste con i partecipanti al Programma per Sviluppatori (https://my.socprime.com/en/tdm-developers) per presentarvi queste meravigliose persone che cercano sul web minacce pertinenti e creano contenuti unici per la loro rilevazione. Vi presentiamo Lee Archinal!

Ciao Lee, spero che tu sia abbastanza ispirato oggi per scrivere un po’ su di te e sulla tua esperienza con il Programma per Sviluppatori.
Prendi un caffè e fammi sapere un po’ della tua esperienza nel campo della cybersecurity.

La mia esperienza nella cybersecurity è iniziata nel 2015, quando ho lasciato il mio precedente ruolo come Junior Network Administrator. Un mio caro amico ha sentito che stavo cercando il passo successivo nella mia carriera e mi ha introdotto alla vita come Security Analyst in un Security Operations Center. Da allora non ho mai guardato indietro! Ho iniziato come analista di livello I, semplicemente rispondendo agli eventi di use-case quando mi sono imbattuto in Sysmon, che ha dato una direzione e un percorso alla mia carriera. Ho iniziato a ricercare e testare Sysmon sul mio laptop personale e poi mi sono trasferito a un gruppo di test nella mia organizzazione e alla fine ho implementato Sysmon a livello aziendale e mi è stato dato il titolo (responsabilità) di S.M.E dell’end-point (cerco ancora di essere all’altezza di quel titolo). Da allora mi è stata anche assegnata la responsabilità di iniziare a creare contenuti intorno alla rilevazione degli end-point, il che mi ha portato a SOC Prime. Poi la strada ha preso un’altra direzione quando ho avviato un laboratorio di malware al lavoro e ho iniziato a detonare e analizzare pezzi diversi di malware e diverse tecniche di attacco (Red Tests). Questo ci porta a dove sono oggi e il mio obiettivo è diventare un analista più completo e cercare di acquisire competenze in più di soli end-point.

Per favore, parlateci di Sigma – qual è stata la tua prima esperienza con Sigma, quando hai iniziato a usarlo.

Ho iniziato a ricercare Sigma nel 2017. Un collega analista era tornato da una conferenza sulla sicurezza e mi ha detto che dovevo dare un’occhiata a SOC Prime e al linguaggio Sigma. Una volta appreso cosa offriva SOC Prime, principalmente il Threat Detection Marketplace, ho capito che mi coinvolgeva molto. Ho continuato a ricercare Sigma mentre Jorda Camba si è messo in contatto con me. Abbiamo discusso delle capacità di SOC Prime e di come Sigma potesse essere uno strumento potente nella progettazione dei contenuti. Una volta compreso il concetto principale e acquisita un po’ di esperienza, ho iniziato a progettare contenuti per il mio SOC esclusivamente in Sigma. Questo ci avrebbe dato flessibilità futura per quanto riguarda quale SIEM usare e mi ha dato molta esperienza nello sviluppo del linguaggio Sigma.

Che dire della tua esperienza con Sigma UI. Hai qualche idea su come renderlo più utile/conveniente per gli sviluppatori?

Da quando ho iniziato a scrivere in Sigma all’inizio del 2018, ho creato molti pezzi di contenuto usando questo linguaggio. Il mio SOC ha ora un bel repository delle regole che ho creato nel caso in cui decidessimo di cambiare SIEM e mantenere i contenuti che abbiamo ancora. L’unica cosa che posso pensare per incrementare la comodità per gli sviluppatori è creare possibilmente dei cheat sheets riguardanti i mappings dei campi da Sigma ad altri SIEM (principalmente per un analista o ricercatore junior, come me, che non ha molta esperienza oltre due SIEM) oppure, sul sito Uncoder.io magari fornire menù a tendina o schede per dare agli sviluppatori idee su quali campi potrebbero essere utilizzati. Personalmente, mi sono davvero fermato sui campi che conosco, ma in futuro voglio impararne di più.

Quanto tempo impieghi per creare una regola?

Dipende da quale sia la mia fonte, posso creare una regola in meno di 10 minuti (questo sarebbe da un report che è MOLTO analitico) fino a oltre 4 ore. Le regole che mi richiedono ore per essere create sono quelle in cui la mia fonte è un pezzo di malware che ho scaricato da una fonte, come il sito Any.Run. Scaricherò molti pezzi dello stesso tipo, li detonerò in un sandbox e in un laboratorio malware. In questo modo posso prendere i risultati del sandbox, confrontarli con i risultati manuali e trovare i processi e le azioni comuni. Una volta che mi sento a mio agio con i miei risultati (dopo ore), scrivo la regola in Sigma poi la traduco nel SIEM di scelta. Poi cancello tutti i dati e rieseguo il malware da un’istantanea e testo la mia traduzione Sigma per determinare se può trovare i risultati che mi aspetto. Se lo fa, la pubblico e se no, ricomincio tutto da capo.

Come prendi la decisione su quale regola creare?

In realtà non decido, lascio che lo faccia internet. Rimango aggiornato sui siti di sicurezza e sui loro report e se leggo di un nuovo malware, faccio del mio meglio per trovare un esempio o un report analitico e crearlo. Una volta esauriti questi report (cosa che succede raramente), mi rivolgo al SOC Prime Threat Detection Marketplace. Dopo che Jordan mi ha introdotto ai RedCanary Red Tests, il mio obiettivo è creare contenuti che riflettano il lato blue team di quei red tests. Il mio log principale, per ora, è Sysmon, quindi gran parte dei miei contenuti sarà contenuto di rilevazione degli end-point.

Cosa ne pensi, il Programma per Sviluppatori può aiutare le organizzazioni in tutto il mondo a migliorare la loro sicurezza informatica?

È un semplice “Sì”. Il Programma per Sviluppatori offre un posto aperto agli sviluppatori di tutto il mondo che hanno diversi livelli di esperienza per aiutare a tenere il passo con gli attori malevoli. Un posto nel Programma per Sviluppatori non è solo un onore, ma davvero una responsabilità verso i team di sicurezza e le organizzazioni di tutto il mondo, e non dovrebbe essere presa alla leggera.

Puoi esplorare il contenuto di rilevazione sviluppato da Lee Archinal qui.
Interviste con altri partecipanti del Programma Threat Bounty: https://socprime.com/tag/interview/