Intervista con lo sviluppatore: Sittikorn Sangrattanapitak

Oggi vogliamo presentare ai nostri lettori uno dei nuovi autori di contenuti di rilevamento su Threat Detection Marketplace. Incontra Sittikorn Sangrattanapitak, membro attivo del SOC Prime Threat Bounty Program.

Leggi il Threat Bounty Program – https://my.socprime.com/tdm-developers
Altre interviste con gli sviluppatori del Threat Bounty Program – https://socprime.com/tag/interview/

Raccontaci un po’ di te e del tuo percorso come professionista della cybersecurity.

Mi chiamo Sittikorn. Vengo dalla Thailandia. Sono interessato alla sicurezza informatica da quando ero all’università. Ho iniziato a lavorare in questo campo come Information Security Engineer. Ho fornito supporto ai clienti per soluzioni di sicurezza come WAF, NGFW e SIEM. Sono stato particolarmente interessato alla soluzione SIEM perché aggrega dati rilevanti da più fonti e prodotti, correlando molti eventi per identificare le deviazioni dall’attività normale. Quando ho cambiato lavoro, ho lavorato in un MSSP locale. Poi, nel 2016, ho sentito parlare per la prima volta di SOC Prime quando cercavo un pacchetto di hunting per ArcSight. Ho lavorato in molti ruoli come SIEM Engineer, SOC Analyst Specialist, Threat Intelligence Analyst. Oggi lavoro come Threat Hunting, Threat Intelligence e Security Researcher.

Sittikorn, una volta entrato nel Threat Bounty Program, sei diventato uno dei leader nel contributo di contenuti per il rilevamento delle minacce. Cosa ti motiva a condividere i tuoi contenuti con la comunità?

I Bug Bounty Programs dove sono necessarie capacità di red team sono già molto noti. Mi chiedevo se alcune aziende avessero già creato un programma di ricompensa per sfidare anche le capacità di blue team. È un buon modo per sviluppare le tue competenze, visione, nuove idee, e guadagnare come pentester.

Quando ho iniziato un nuovo lavoro quest’anno, ho avvertito la necessità di nuovi contenuti di rilevamento e ho ricordato il Threat Detection Marketplace. Ho visitato il sito web di SOC Prime e ho deciso di unirmi a questo programma. La mia esperienza nel Security Operation Center e nel Threat Hunting supera i 10 anni, e credo di poter creare nuovi contenuti di rilevamento utili per i membri della comunità di Threat Detection Marketplace. E quest’anno, sto ricercando Cyber-Attack Cloud e voglio condividere la mia esperienza con la comunità per prevenire molti attacchi informatici al cloud.

Scrivi molti contenuti relativi al cloud ed è fantastico. Qual è la ragione di ciò?

Oggigiorno, la maggior parte delle organizzazioni si trasferisce al cloud perché sono facilmente gestibili, riducono i costi e scalabili. Molte persone ancora mancano di conoscenza e comprensione della cybersecurity del cloud, ma il proprietario dell’azienda vuole fornire il prodotto il più rapidamente possibile ai propri clienti. Questo motivo può portare a una serie di vulnerabilità o debolezze che saranno prese di mira dagli hacker per cercare di penetrare nel sistema cloud e rubare i tuoi dati. È un obiettivo facile per un hacker se l’amministratore ignora la sicurezza informatica del cloud. Negli ultimi anni, una grande quantità di informazioni importanti e dati dei clienti è trapelata da molti sistemi cloud come British Airways. Questi motivi sono il motivo per cui cerco di studiare e trovare nuovi metodi di rilevamento per tenere il passo con la situazione attuale.

Quanto tempo ti ci è voluto per padroneggiare la scrittura delle Sigma rules? Quale background tecnico è necessario per padroneggiarle? Sittikorn, quanto tempo impieghi in media per scrivere una nuova regola IOC Sigma e una regola di threat-hunting Sigma?

Fondamentalmente, ho iniziato a imparare a scrivere Sigma rules il mese scorso. Ho letto un articolo sulla scrittura di Sigma Rule dal sito web di Thomas Patzke e ho visto molte Sigma rules su Threat Detection Marketplace e GitHub. Ho provato a tradurre le mie regole per ArcSight SIEM in Sigma Rule per poi sottoporle a Threat Detection Marketplace. Ho dovuto modificarle diverse volte per ottenere lo stato di “approved”, e questo mi ha aiutato a comprendere meglio Sigma. A mio parere, se vuoi diventare un maestro, devi iniziare a scrivere una Sigma rule basandoti sul comportamento o le fonti di log che comprendi molto bene. Non ci vorrà molto.

Il tempo medio richiesto per scrivere una nuova Sigma rule dipende dalla complessità della regola, dall’esempio di registro eventi, e dalle condizioni specifiche per ridurre anche i falsi rilevamenti. Generalmente, impiego circa 15 – 60 minuti per ciascuna regola.

Sittikorn, la Pandemia è un’altra sfida per un professionista della cybersecurity dato che molti attori delle minacce hanno aumentato le loro attività. Raccontaci come ha influenzato il tuo lavoro quotidiano.

Dobbiamo pensare come un hacker. Credo che dovremmo aumentare il monitoraggio della sicurezza sui canali remoti, sulla gestione della console cloud, sulla gestione dei clienti e sul monitoraggio della Threat Intelligence riguardo al campagna Pandemia aggiornata e quindi applicare IoC alla protezione della sicurezza.

Qual è secondo te il più grande vantaggio del SOC Prime Threat Bounty Program?

Il Threat Bounty program è un programma perfetto per i blue teamer per monetizzare la loro esperienza in SOC e Threat Hunting. Non è inferiore ai programmi di Bug bounty per pentester. È una nuova passione per apprendere nuovi metodi di rilevamento di nuovi attacchi e nuovi malware e per pensare in modo creativo.