Intervista con lo Sviluppatore: Sreeman Shanker

Incontra Sreeman, uno dei partecipanti più attivi del SOC Prime Threat Bounty Program. Sreeman partecipa al Threat Bounty Program dal dicembre 2019.

Prima di iniziare a pubblicare i suoi stessi contenuti sviluppati nel Threat Detection Marketplace, Sreeman ha contribuito notevolmente con cambiamenti e miglioramenti alle traduzioni dei contenuti TDM per Azure Sentinel e Microsoft Defender ATP.

Controlla il link per visualizzare le Regole sviluppate da Sreeman: https://tdm.socprime.com/?searchValue=tags.author:sreeman

Sreeman, raccontaci un po’ di te e della tua esperienza nella cybersecurity.

La mia prima introduzione alla sicurezza è stata quando ho visto il cult “Wargames”. Ho capito subito che la sicurezza informatica era ciò in cui avrei voluto specializzarmi quando sarei andato all’Università. Sono nel campo della sicurezza da circa 6 anni, iniziando come analista della sicurezza e attualmente mi occupo più di threat hunting e incident response. Dedico troppo tempo alla settimana leggendo, facendo ricerche e cercando di comprendere la logica dei nuovi metodi di exploit. Sono anche membro attivo dell’evento sulla sicurezza Hack In The Box.

Quanto è difficile padroneggiare il linguaggio Sigma avendo esperienza nella scrittura di regole per diversi sistemi di sicurezza?

Onestamente, è facile come imparare ad andare in bicicletta. Una volta che si comprendono le basi e si rimuovono le rotelle, è praticamente lo stesso andare avanti poiché il formato e le sintassi diventano familiari rapidamente. È sorprendente che non sia stato creato prima, ma Florian Roth ha pensato fuori dagli schemi e ha elaborato un’idea che aiuta veramente chi lavora in un ambiente blue team/SOC. I diversi SIEM hanno modi diversi per scrivere le regole, ma la logica di base è essenzialmente la stessa. Questo è esattamente ciò che fa SIGMA. Stiamo solo scrivendo ciò che deve essere la strategia di rilevamento in termini semplici, e poi le persone lo convertono nel linguaggio query del loro SIEM.

Ammetto che faccio ancora diversi errori di sintassi, e sono sicuro che le persone del TDM siano probabilmente infastidite dalla mia irruenza – ma sono grato che si prendano il tempo di farmi sapere cosa c’è che non va, così posso correggerlo.

Partecipi attivamente allo sviluppo della comunità: non solo pubblichi i tuoi contenuti di rilevamento, ma controlli anche le altre regole pubblicate dalla comunità e offri le tue traduzioni alle piattaforme se la regola non può essere tradotta automaticamente con Uncoder. Quanto tempo richiede tutto ciò?

Come accennato in precedenza, la logica trasmessa da una regola SIGMA è piuttosto facile da comprendere. Se sappiamo di cosa tratta la regola, è davvero semplice replicarla su altre piattaforme. È il sapere come scrivere query efficienti su quella piattaforma a dettare il tempo. Alcune query possono richiedere solo un paio di minuti, e altre leggermente più a lungo.

Tutti i contenuti di rilevamento delle minacce che hai contribuito al Threat Detection Marketplace sono disponibili gratuitamente e aiutano gli specialisti di cybersecurity di tutto il mondo a rilevare le minacce. Cosa ti motiva a pubblicare solo regole della comunità?

La cosa straordinaria della comunità di sicurezza è che tutti condividono le loro conoscenze e scoperte. Trovi persone come Samir Bousseaden, Florian Roth, @hexacorn, Oddvar Moe e molti altri che si prendono il tempo di spiegare e dimostrare un exploit oltre a scrivere regole per il rilevamento. Ho imparato molto da tutte queste persone, e senza pagare un centesimo. Mi sembra giusto contribuire alla comunità senza chiedere nulla, dopo aver assorbito tutte queste conoscenze.

Quale pensi sia il più grande vantaggio del SOC Prime Threat Bounty Program?

È una piattaforma davvero buona (forse l’unica?) che aiuta i blue-teamers/threat-hunters in tutto il mondo a convergere su un’unica interfaccia e identificare e utilizzare le regole di rilevamento delle minacce necessarie. Non solo, potrebbe essere il repository più grande al mondo di regole di rilevamento che si rivolge a tutti i SIEM/collettori di log esistenti. Un SOC che è appena all’inizio può usufruire di queste regole e ottenere un immediato slancio sulla maturità delle regole. La mappatura MITRE ATT&CK consente inoltre ai team di integrare regole di rilevamento adatte alla loro industria e aumentare le regole di rilevamento per tattiche che mancavano. SOC Prime e sviluppatori freelance aggiungono regole quotidianamente basate su nuove scoperte di sicurezza.

Inoltre, il mercato TDM consente alle organizzazioni di richiedere regole di rilevamento più adeguate alle loro esigenze organizzative (regole specifiche APT che potrebbero non essere disponibili). Questo non solo fornisce un vantaggio alle organizzazioni, ma come incentivi agli sviluppatori che creano le regole. Pensatelo come un programma di “bug bounty” per le regole di rilevamento, che credo poche altre piattaforme offrano!

Controlla il nostro ultimo Rule Digest e guarda l’esempio di contenuto sviluppato da Sreeman: https://socprime.com/en/blog/rule-digest-trojans-cyberspies-and-raticate-group/

Leggi le interviste con altri sviluppatori: https://socprime.com/en/tag/interview/