Intervista con lo sviluppatore: Thomas Patzke

Continuiamo a intervistare gli sviluppatori del nostro Threat Bounty Program (https://my.socprime.com/en/tdm-developers) per incoraggiare i professionisti della cybersecurity a sviluppare più regole Sigma, condividere i loro contenuti di rilevamento delle minacce e costruire una comunità più forte. L’intervista precedente è qui https://socprime.com/blog/interview-with-developer-florian-roth/

Incontra Thomas Patzke

Thomas è uno degli esperti più ispiratori nella comunità della cybersecurity con oltre 13 anni di esperienza nel campo della sicurezza informatica, lavora come blue teamer e threat hunter presso ThyssenKrupp CERT ed è creatore di Sigma insieme a Florian Roth. Thomas Patzke non è solo un contributore al progetto Sigma ma anche un sviluppatore esperto che scrive il codice per Sigmac e condivide strumenti relativi alla cybersecurity con la comunità (https://gist.github.com/thomaspatzke).

Raccontaci un po’ di te e della tua esperienza nel Threat Hunting.

Ho iniziato a lavorare nella sicurezza informatica nel 2006 come consulente con una vasta gamma di progetti. Rapidamente, mi sono spostato verso la sicurezza offensiva, concretamente la sicurezza delle applicazioni e occasionalmente ho fatto analisi dei registri e forense in progetti di risposta agli incidenti. Anche se questi lavori di IR erano piuttosto piccoli, i compiti erano molto interessanti e il mio interesse per i temi difensivi è cresciuto nel tempo e ha avuto un impulso nel 2015 quando ho iniziato a lavorare in un CERT e continuamente mi sono trovato di fronte a incidenti interessanti e attori delle minacce. Scavare in enormi quantità di dati per trovare un attaccante mi affascinava fin dall’inizio e infine mi sono completamente spostato dalla sicurezza offensiva al threat hunting e alla risposta agli incidenti.

Sei uno degli inventori di Sigma, quanto tempo ci è voluto per trasformare l’idea di Sigma in un concetto completo? Thomas, perché è stato scelto il nome ‘Sigma’? Ti aspettavi allora che Sigma sarebbe stato usato da migliaia di professionisti della cybersecurity di tutto il mondo?

Costruire Sigma è stato un processo fluido e molto agile. Quando Florian mi ha contattato per la prima volta con l’idea di un formato di firma per eventi logici, le sue idee erano già molto concrete. Abbiamo perfezionato questa idea insieme inviandoci messaggi vocali avanti e indietro e il giorno dopo Florian aveva già scritto le prime regole Sigma (https://github.com/Neo23x0/sigma/commit/87deb349adb22331aae1b923420d382fea278d2c) che non differiscono molto da come le regole Sigma sono scritte oggi. Il nome “Sigma” è stata un’idea di Florian e conoscendo Florian, sicuramente c’è una storia dietro, ma devi chiedere a lui per saperla 😉 Mi è piaciuto il nome e così abbiamo deciso di usarlo.

Nel tempo successivo, abbiamo ulteriormente perfezionato Sigma e scoperto molte sfide nella condivisione delle firme dei log come le diverse convenzioni di denominazione dei campi e le abbiamo risolte nel linguaggio di firma e negli strumenti di conversione. Dopo due o tre mesi avevamo qualcosa che consideravamo pronto per la pubblicazione, ma anche dopo il rilascio iniziale, nuovi concetti sono stati aggiunti e lo saranno anche in futuro.

Mi aspettavo che Sigma sarebbe stato utile per alcune persone perché è stato costruito sul dolore che Florian e io abbiamo sperimentato nella gestione degli incidenti e sapevamo che altre persone in quest’area avevano lo stesso dolore. Il feedback positivo da così tante persone e l’adozione da parte di team di risposta agli incidenti da varie organizzazioni è stato ben oltre le mie aspettative.

Thomas, quali sono i principali benefici di Sigma come strumento di threat hunting?

Il principale vantaggio di Sigma risiede nella distribuzione di un risultato del threat hunting, le firme dei log per eventi specifici. Se è possibile esprimerlo come una regola Sigma, lo puoi distribuire facilmente in un’organizzazione con una infrastruttura di rilevamento eterogenea. È comune in grandi organizzazioni avere diversi sistemi SIEM a causa di una infrastruttura IT storicamente cresciuta o perché diverse soluzioni sono utilizzate per scopi diversi. Con Sigma devi scrivere la regola una volta e puoi convertirla in una query di Splunk e ArcSight per i SIEM, una query di Elasticsearch per il data lake, un’one-liner di Grep o PowerShell per il triage di un sistema sospetto e per condividerla con la comunità.

Qual è secondo te la parte più complicata e che richiede più tempo nella scrittura di nuove regole Sigma e quanto tempo in media impieghi a scrivere una nuova regola Sigma?

Per me, ci vogliono solo pochi minuti per scrivere una regola Sigma, che è solo una piccola frazione del tempo che di solito impiego per la ricerca che porta alla firma del log. Florian e io abbiamo dedicato qualche sforzo per progettare Sigma in modo che sia user-friendly e facile da scrivere. Penso di essere troppo di parte per identificare le parti complicate di Sigma. Questo è un aspetto in cui ci affidiamo al feedback dei nostri utenti che non dovrebbero esitare a contattarci tramite il problema di GitHub o direttamente se c’è qualcosa che potrebbe essere migliorato.

Sigma sta diventando sempre più popolare in tutto il mondo, secondo te come influisce la regola Sigma sull’industria e come vedi il futuro di Sigma, qualche pensiero specifico sul suo ulteriore sviluppo?

So da alcuni utenti di Sigma che hanno inserito Sigma come requisito nelle RFP per i prodotti di sicurezza perché ci credono e abbiamo già avuto contatti con vari fornitori di sicurezza che vogliono integrare il supporto Sigma nei loro prodotti. Sarebbe fantastico vedere il supporto nativo di Sigma nei prodotti di sicurezza come YARA e Snort sono già integrati in molti prodotti. Ho sviluppato grandi parti del convertitore Sigma ma sono totalmente a posto con il fatto che diventi obsoleto dal supporto nativo di Sigma!

Presso SOC Prime abbiamo lanciato il Programma Threat Bounty che incoraggia la condivisione dei contenuti tra professionisti della cybersecurity. Thomas, ti piace l’idea di premiare gli sviluppatori per la condivisione di regole Sigma e altri contenuti di rilevamento delle minacce?

Sì! Come ricercatore di sicurezza offensiva, hai potuto scegliere per anni se volevi essere pagato per la tua ricerca o pubblicarla apertamente e accrescere la tua reputazione. Le ricompense di minaccia estendono questo alla ricerca difensiva e rappresentano un buon passo per correggere lo squilibrio delle ricompense tra entrambe le aree. Sono un grande sostenitore della pubblicazione gratuita dei risultati di ricerca e credo che le persone continueranno a farlo in futuro. Le ricompense di minaccia potrebbero persino motivare più persone a dedicare del tempo alla ricerca in sicurezza difensiva e migliorare la situazione complessiva.

Cosa consiglieresti agli specialisti della cybersecurity che stanno appena imparando a scrivere regole Sigma, qualche suggerimento per padroneggiare la scrittura di Sigma?

Il contenuto è importante! Penso che scrivere le regole Sigma sia relativamente facile e la curva di apprendimento sia abbastanza ripida. Un editor con supporto YAML è sufficiente e ci sono strumenti basati sul web come la UI Sigma di SOC Prime che supportano l’analista nella scrittura delle regole Sigma. Quindi il mio consiglio per imparare Sigma è molto semplice: vai avanti, fai qualche ricerca interessante o prendi una ricerca esistente (non dimenticare i crediti!) e crea una regola Sigma da essa. Diventerai automaticamente fluente con Sigma dopo un po’.