Intervista con Sviluppatore: Roman Ranskyi

[post-views]
Settembre 22, 2020 · 5 min di lettura
Intervista con Sviluppatore: Roman Ranskyi

Oggi vogliamo presentare ai nostri lettori uno degli autori dei contenuti di rilevazione il cui nome potete vedere nella classifica del SOC Prime Threat Detection Marketplace. Incontriamo Roman Ranskyi, Threat Hunting/Content Developer Engineer presso SOC Prime.

Roman, raccontaci un po’ di te e della tua esperienza nella cybersecurity

Mi sono interessato alla sicurezza informatica nel 2008, quando frequentavo forum cult dell’epoca come hackzona, zloibiz, antichat, e per un po’ ho anche moderato uno dei thread del forum. Durante gli studi al college, ho lavorato come sysadmin. Inoltre, ho insegnato lezioni di laboratorio e corsi Cisco CCNA sui fondamenti della sicurezza informatica pratica.

Successivamente, ho iniziato a lavorare in una società di integrazione dove ero ingegnere e presales per soluzioni di sicurezza, e mi occupavo di tutte le soluzioni, AV, DLP, NGFW, diversi sandbox, sistemi per protezione dagli attacchi DDoS. Ho ottenuto diverse certificazioni come richiesto dal business – Arbor, Fireeye. La seconda ha davvero acceso il mio interesse con i loro affascinanti report sul loro blog, e le tecnologie sembravano rivoluzionarie. Inoltre, ho parlato su diversi palchi di conferenze chiuse per partner e clienti dove ho cercato di parlare non solo delle nostre soluzioni, ma anche di tecniche, metodi e vettori degli attaccanti e mercati grigi. Alcune presentazioni sono ancora disponibili sul mio profilo LinkedIn.

E come il tuo hobby è diventato threat hunting?

Ho frequentato un corso di Ethical Hacking Certificato, che ho trovato piuttosto teorico e persino noioso a causa della mancanza di compiti pratici. Ho sempre pensato che per sapere come difendersi, bisogna sapere come attaccare. Avevo l’abitudine di sedermi fino a tarda notte nel nostro laboratorio dove testavamo soluzioni che presentiamo ai clienti e provavo diversi scenari di attacchi reali per studiare la reazione nei dettagli e tentare di aggirare le misure di sicurezza. Nel frattempo, studiavo i materiali del corso di Offensive Security (PWK), corsi SANS e altri.

Dopo la società di integrazione di sistemi, ho lavorato per un’azienda dove mi occupavo di sviluppo come Senior Information Security Engineer. Poi, mi sono unito a SOC Prime come Threat Hunting/ Content Developer Engineer.

Cos’è per te il Threat Hunting?

Fondamentalmente, il threat hunting nasce dalla Digital Forensic e dalla Incident Response. Si tratta di intuizioni e analisi a livello di ambiente. Il threat hunting non consiste in un’indagine sugli incidenti, è una ricerca proattiva di minacce conosciute e sconosciute, quindi un threat hunter non può semplicemente sedersi e aspettare che accada qualcosa.

Secondo te, quali sono le competenze necessarie per un threat hunter?

Da un lato, devi pensare come un attaccante – come puoi raggiungere l’obiettivo, come aggirare le misure della Blue Team e passare inosservato.

Dall’altro lato, dovresti avere un modo di pensare analitico, avere conoscenze di Big Data e un buon comando di diversi strumenti, anche se sono abbastanza simili.

In sintesi, è una miscela di competenze Red Team e Blue Team.

Roman, è possibile prevedere gli attacchi di diversi attori delle minacce e quali sarebbero le tue raccomandazioni per migliorare la difesa contro i loro strumenti? Gli esempi sarebbero fantastici!

È impossibile prevedere tutte le minacce. In gran parte, il successo di un attacco dipende dalla conoscenza dell’area tematica. E parlando di un’infrastruttura aziendale in generale, dove c’è una protezione, esiste una circonvenzione.

Parlando di infrastrutture di dominio che sono vitali per le grandi aziende, la prima cosa è una buona configurazione, inclusa la hardening e audit estesi. Mi piace il concetto di Red Forest Design, e se fai tutto correttamente, puoi quasi rilevare tutti i passi e le attività di un attaccante.

Roman, parlaci di un tipo di Sigma come Threat-Hunting Sigma, qual è il valore principale di questo strumento e come può aiutare le organizzazioni a migliorare le loro capacità di rilevazione?

Il valore principale di Sigma è che puoi aderire a determinati schemi di attività anomala che puoi utilizzare come punto di partenza per ulteriori approfondimenti e, di conseguenza, approvare o respingere il fatto di un’attività sospetta.

Secondo te, il contenuto del Threat Bounty Program di SOC Prime può condividere esperienze all’interno della comunità della cybersicurezza e perché è importante?

Threat Bounty è il posto perfetto con una competizione sana per monetizzare la tua esperienza di threat hunting. Ispira a cercare vari nuovi metodi di rilevamento per attacchi conosciuti e nuovi.

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Intervista con lo sviluppatore di Threat Bounty – Mehmet Kadir CIRIK
Blog, Intervista — 7 min di lettura
Intervista con lo sviluppatore di Threat Bounty – Mehmet Kadir CIRIK
Alla Yurchenko
Intervista con lo sviluppatore di Threat Bounty – Aung Kyaw Min Naing
Blog, Intervista — 6 min di lettura
Intervista con lo sviluppatore di Threat Bounty – Aung Kyaw Min Naing
Alla Yurchenko
Intervista con lo sviluppatore di Threat Bounty – Mustafa Gurkan Karakaya
Blog, Intervista — 5 min di lettura
Intervista con lo sviluppatore di Threat Bounty – Mustafa Gurkan Karakaya
Alla Yurchenko