Intervista con lo sviluppatore: Osman Demir

Vi presentiamo una nuova intervista con il partecipante al Programma Developer di SOC Prime (https://my.socprime.com/en/tdm-developers). Incontriamo Osman Demir.Raccontaci un po’ di te e della tua esperienza nel threat-hunting.Ciao, sono Osman Demir. Vivo a Istanbul, in Turchia, e ho 25 anni. Ho completato i miei studi in Ingegneria Informatica nel 2017 e lavoro come Security Engineer in un istituto privato.
Mi occupo di threat hunting da 2 anni. Lavoro in un team SOC alla rilevazione delle minacce attuali e alla loro integrazione.
Seguo le notizie calde del mondo sul threat hunting, studio i metodi dei gruppi di attacco e sviluppo regole di rilevamento. Faccio del mio meglio per tenere il passo con i gruppi di attacco.Qual è la differenza tra threat hunting e threat detection?Il threat hunting è il processo di rilevamento dell’attacco il prima possibile prima che gli attacchi che sembrano una minaccia per l’istituzione abbiano successo pienamente. Il fattore umano è più importante nel threat hunting.
Il threat detection copre i processi complessivi di rilevamento di un attacco. È necessario avere una buona padronanza dei prodotti di rilevamento delle minacce e controllare bene i log nel sistema.Secondo te, cosa rende Sigma uno strumento così efficiente per il threat-hunting?Sigma offre alle persone un linguaggio universale. In questo modo, le regole Sigma possono essere facilmente integrate nei sistemi SIEM indipendentemente dal prodotto.
Le istituzioni possono facilmente condividere le regole di rilevamento degli attacchi che hanno identificato con altre istituzioni indipendentemente dal prodotto.
Grazie alla struttura semplice e flessibile di Sigma, possono essere scritte regole complete.Quali competenze sono necessarie per sviluppare regole Sigma per il threat-hunting?Prima di tutto, è necessario essere curiosi e ricercatori. Le regole delle minacce di tendenza devono essere ricercate e i metodi di rilevamento estratti. I log di Sysmon e Auditd devono essere ben conosciuti. I log di accesso Web devono essere padroneggiati per rilevare i vettori di attacco che appaiono sul lato Web. Generalmente le fonti dei log devono essere padroneggiate.Quali tipi di minacce sono le più complicate da rilevare? Magari puoi fare un esempio dalla vita reale?Le più difficili da rilevare sono le minacce 0day. Poiché non vengono pubblicate informazioni per l’attacco 0day, non è possibile ottenere un’idea dei registri degli eventi, possono essere scritti solo metodi di rilevamento predittivi.
Se diamo un esempio dalla vita quotidiana, non è stato possibile scrivere un metodo di rilevamento per l’attacco smbv3 RCE (CVE-2020-0796), possono essere scritte solo regole di rilevamento predittive.Qual è, a tuo avviso, il vantaggio più grande del SOC Prime’s Threat Bounty Program?Se fornisco un esempio personale, il Threat Bounty Program di Soc Prime mi aiuta a mantenere la mia identità di ricercatore.
È un onore sapere che le tue regole aiutano i processi di cybersecurity delle aziende.
La parte più importante è che puoi guadagnare denaro da questo programma.La violazione dei dati è un problema molto comune per molte organizzazioni ora, quali misure pensi potrebbero essere le più efficienti per evitare la violazione dei dati (se non è causata da dipendenti irresponsabili)?I metodi di rilevamento più efficaci per questo sono l’uso del prodotto DLP e la registrazione del traffico in uscita degli utenti come dati di pacchetto completi. In questo modo, puoi analizzare il pacchetto in uscita e migliorare le regole di rilevamento.
I dati critici (informazioni personali, dati del cliente) dovrebbero essere ben monitorati e l’accesso non autorizzato/gli orari anomali dovrebbero essere sempre messi in discussione.Come cacciatore di minacce esperto, cosa pensi dovrebbe essere la priorità numero 1 per le organizzazioni che vogliono costruire una difesa cyber robusta? (e perché)Una forte sicurezza informatica dovrebbe consistere in una comunità attiva di persone. Ciò può essere possibile riunendo ricercatori e sviluppatori.
Gli investimenti nel prodotto non hanno senso se non sono fatti per l’educazione umana.

Cordiali saluti,
Osman Demir