Intervista con lo Sviluppatore: Nate Guagenti

Incontra Nate GuagentiIn oltre un decennio, Nate ha sia distribuito che ingegnerizzato SIEM di rete e endpoint che sono cresciuti fino a multipli di TB/giorno di ingestione, mentre contemporaneamente li utilizzava e addestrava altri sulla soluzione distribuita. Poiché Nate ha lavorato in tutti gli aspetti dell’IT, aggiunge l’esperienza unica di qualcuno che ha svolto sia il monitoraggio della sicurezza degli endpoint sia della rete. Il suo lavoro sulla caccia alle minacce e sul rilevamento delle minacce interne è stato presentato in varie conferenze. Nate è un collaboratore del progetto open source HELK (https://github.com/Cyb3rWard0g/HELK), il quale si concentra sulla caccia alle minacce tramite i dati degli endpoint utilizzando lo Stack Elastic, così come il framework SIGMA, un progetto open source che standardizza firme e metodi di rilevamento.Nate, parlaci della tua esperienza nella cybersecurity e perché hai deciso di concentrarti su soluzioni open-source come Elastic?Ho iniziato la mia carriera nella cybersecurity nel 2012, lavorando come cliente governativo. Da lì, mi sono spostato da analista SOC ad analisi dei malware. Col tempo, ciò si è ampliato nella caccia alle minacce e in ruoli che includevano l’ingegneria di implementazioni dei sensori Zeek (Bro) NSM a 10Gbps+ e cluster Elastic.

Come difensore, ci troviamo di fronte a una montagna di sfide molte delle quali sono fuori dal nostro controllo. Tuttavia, ci sono aspetti che possiamo controllare e risolvere e non possiamo aspettare fino al prossimo trimestre per un aggiornamento o feature da un fornitore. L’implementazione di software open source, come Elastic, mi ha permesso di risolvere le lacune difensive critiche il giorno successivo. Inoltre, la rimozione delle barriere finanziarie per usare e imparare il prodotto mi ha permesso di accelerare la mia comprensione da casa.Secondo te, quali sono le tendenze più importanti nella caccia alle minacce nel settore attualmente?Il settore ha già dimostrato che il problema della raccolta (telemetria) e dei big data può essere risolto. Questo ha permesso a molte tendenze e processi di evolversi, maturare e prendere forma. Una di queste tendenze è la documentazione dei dati (mostrata in OSSEM da @Cyb3rWard0g), normalizzazione dei dati e linguaggi di query standardizzati (SIGMA). Inoltre, viene esplorata la telemetria integrata per sostituire o integrare soluzioni aziendali e condividerla apertamente. In cambio, le persone possono ora convalidare, esplorare e utilizzare questi dati condivisi per costruire rilevamenti e modelli senza la necessità di soluzioni aziendali costose o un grande ambiente di laboratorio. Inoltre, la community sta costruendo rilevamenti più ampi intorno a tattiche e tecniche. Qualcosa come il framework Mitre ATT&CK è un esempio perfetto. Le regole SIGMA esistenti per la scoperta dell’ambiente o i processi di spawning di Microsoft Office mostrano questo in pratica.
Infine, assisteremo a un focus continuo sulla rappresentazione grafica, pivot e unione dei dati come miglioramenti alla caccia. Entrambi, credo che la piattaforma HELK abbia mostrato e implementato in modo eccellente tramite i Jupyter Notebooks.Come architetto di soluzioni, pensi che Sigma possa cambiare il modo in cui le organizzazioni costruiscono la loro difesa informatica?Per ben oltre 20 anni con le regole snort e oltre 10 anni per le regole yara, l’industria non ha avuto un avanzamento universale come SIGMA. Inoltre, l’industria non ha mai avuto un formato universale per log e telemetria. Questo è ciò su cui si basa fondamentalmente la sicurezza informatica! Inoltre, come azienda non si vuole mai essere vincolati a una singola tecnologia. I tuoi analisti/operatori dovrebbero concentrarsi sull’implementazione dei rilevamenti non sull’apprendimento della tua soluzione di logging. Che oggi tu stia usando Elastic, Splunk o QRadar e una nuova soluzione appare domani, puoi essere sicuro che SIGMA la supporterà.

Indipendentemente dalla mia opinione, però, la community ha già dimostrato che SIGMA continuerà a cambiare il modo in cui rileviamo le minacce. Due delle migliori soluzioni open source per la caccia, HELK e SecurityOnion, hanno implementato SIGMA e ci sono tutorial e blog a riguardo da parte di fornitori aziendali.Come prendi decisioni su quali regole o altri tipi di contenuti di rilevamento delle minacce vanno implementati prima di tutto?Penso che questo sia meglio spiegato con le verità fondamentali dell’industria, a) non puoi proteggere ogni asset e b) capire cosa è importante per la tua azienda. Difendi quello che è la minaccia più plausibile e impattante. Per esempio, la mia esperienza nella difesa di una rete di gestione mi ha messo questa verità proprio in faccia. L’amministratore di dominio non era la minaccia più preoccupante né lo era il malware tradizionale. Stavo affrontando utenti già privilegiati. Quel cambiamento di configurazione o la generazione di un processo anomalo erano la risoluzione dei problemi o l’inizio di un intento malevolo? Con centinaia di questi utenti ho dovuto restringere l’ambito di ciò che stavo difendendo. Qualcosa come la distruttività o il degrado della rete, la scoperta dell’ambiente, la lettura di documenti riservati o cambiamenti di configurazione malevoli. Forse un esempio più pratico potrebbe essere se hai server exchange/mail per implementare le regole SIGMA che coprono la creazione di processi o modifiche di file su questi server.Quali tipi di minacce informatiche ritieni che rappresenteranno i maggiori rischi per le organizzazioni nel prossimo anno? Qualche suggerimento su come migliorare le capacità di rilevamento contro tali minacce?Gli attacchi ai server Web, l’abuso di API e il furto/abuso di credenziali di soluzioni cloud. Per quanto riguarda gli attacchi web e API, ciò continuerà a maturare in SIGMA. Ha la capacità di condividere regole simili a WAF, regole di processo/endpoint, abbinate a regole più avanzate come: un singolo IP che causa dieci errori 400/404 del server web seguiti da un errore 500 dal tuo server web. Questo potrebbe indicare un attaccante che passa dall’esplorazione al scatto con successo verso il server.

Inoltre, ICS (sistemi di controllo industriale) sarà un rischio continuo. Nonostante ICS non sia il mio campo di competenza, vedo già le possibilità di rilevamento per questo settore con il supporto dei log Zeek in SIGMA. Zeek ha analizzatori per molti dei protocolli ICS. Mentre le aziende implementano registrazioni Zeek e la comunità scrive regole SIGMA per ICS penso che il risultato sia autoesplicativo.Quali problemi incontrano generalmente le organizzazioni quando cercano di passare da una difesa informatica reattiva a proattiva?Credo che stabilire le priorità e persino dove iniziare diventi una sfida per tutti. Molte delle cose che ho menzionato nella domanda 4 sono molto vere anche per questa domanda. Dopo aver identificato i tuoi asset critici, ci può essere un enorme ostacolo nella convalida della raccolta di log/telemetria e di qualsiasi analitica/rilevamento correlato. Tuttavia, combinazioni di framework di test red team atomici, set di dati open source (Mordor) e regole della comunità riducono notevolmente questo ostacolo.Nate, quale sarebbe il tuo consiglio per i giovani specialisti in cybersecurity che stanno decidendo quale percorso seguire?Prima di tutto, tieni traccia di alcuni dei tuoi obiettivi e di quando li raggiungi. Prendi quanti più appunti (online) puoi. Imparerai tantissimo e velocemente e ti troverai di fronte a molte difficoltà lungo il percorso. Pertanto, è importante ricordare a te stesso quanto hai progredito. Gli appunti faranno riferimento per tutta la tua carriera.

Da una prospettiva di apprendimento, entra su Twitter e segui quanti più ricercatori e aziende tecnologiche possibili. Da lì segui e leggi i loro blog e tutorial utilizzando un lettore RSS. Ci sono molti giganti in questo settore, puoi facilmente essere uno solo stando sulle loro spalle. Assicurati solo di dare sempre credito e non dimenticare i tuoi umili inizi.Cosa pensi, il Programma Threat Bounty di SOC Prime può aiutare le organizzazioni a rilevare le minacce in modo più efficiente?Il Programma Threat Bounty offre benefici simili a come i set di regole IDS sono già utilizzati in migliaia di organizzazioni (es: Emerging Threat o set di regole Sourcefire). Tuttavia, c’è un vantaggio unico nell’avere la possibilità di utilizzare rilevamenti da ricercatori che operano in vari settori in tutto il mondo. Inoltre, i ricercatori che scrivono il contenuto sono essenzialmente la loro entità/azienda all’interno del programma SOC Prime. Simile a come funziona Etsy, i consumatori traggono vantaggio da negozi motivati che sarebbero i ricercatori in questo caso.

L’intervista precedente con Thomas Patzkke è qui: https://socprime.com/en/blog/interview-with-developer-thomas-patzke/