Intervista con lo sviluppatore di Threat Bounty – Aung Kyaw Min Naing

[post-views]
Giugno 07, 2023 · 6 min di lettura
Intervista con lo sviluppatore di Threat Bounty – Aung Kyaw Min Naing

È già diventata una buona tradizione in SOC Prime quando Threat Bounty i membri condividono storie sui loro percorsi professionali, la loro esperienza e i successi con Threat Bounty. Oggi siamo qui con Aung Kyaw Min Naing, che si è unito al programma nel giugno 2022 e si è già dimostrato un contributore attivo alla difesa informatica collettiva.

Regole di Aung Kyaw Min Naing

Per favore, parlaci un po’ di te e della tua esperienza nella cybersecurity.

Ciao a tutti! Sono Aung Kyaw Min Naing, e vengo dalla città di Mandalay in Myanmar. Da quando mi sono laureato in Ingegneria Elettronica nel 2017, il mio interesse per la cybersecurity mi ha spinto a perseguire una carriera in questo campo. Attualmente, lavoro come Analista di Sicurezza Informatica (Threat Hunting) in una società di servizi di sicurezza gestita con sede in Thailandia. Le mie principali responsabilità includono la ricerca proattiva di attività malevole nelle notizie sulle minacce informatiche, la conduzione di ricerche approfondite per migliorare le rilevazioni basate sul comportamento affrontando minacce informatiche emergenti e tecniche di attacco, e la gestione efficace degli incidenti di sicurezza critici. Nei primi giorni della mia carriera, ho acquisito esperienza pratica come ingegnere di rete in una società di servizi Internet mentre contemporaneamente mi addentravo nel mondo della cybersecurity. Portando avanti la mia passione, ho intrapreso il mio percorso professionale nella cybersecurity come Ingegnere del Centro Operativo di Sicurezza specializzato nella prevenzione degli attacchi DDoS presso una società locale di soluzioni IT e sicurezza. Inoltre, ho avuto l’opportunità di lavorare con la più grande banca privata locale e la Corporate Pubblica nel settore delle bevande in Myanmar come professionista della sicurezza informatica, dove ho giocato questo ruolo nell’implementazione di progetti PCS-DSS e controlli di sicurezza CIS dal punto di vista tecnico. Questo ha comportato la conduzione di scansioni VA, il coinvolgimento in operazioni di monitoraggio della sicurezza quotidiane per rilevare e mitigare gli attacchi informatici e la collaborazione con ingegneri di sistema e sviluppatori di team interni ed organizzazioni terze esterne. Inoltre, mentre lavoravo in questa posizione, ho esaminato molte certificazioni internazionali di cybersecurity da varie piattaforme, come penetration tester di eLearnsecurity, CompTIA Cybersecurity Analyst (CySA+), Microsoft Security Operation Analyst, ecc.

Come hai scoperto SOC Prime? Perché hai deciso di unirti al Programma Threat Bounty?

Dopo aver scoperto SOC Prime su LinkedIn, i miei ex membri del team mi hanno consigliato di unirmi al Programma Threat Bounty come sviluppatore per scrivere regole e contribuire a rilevare attacchi informatici, il che si allinea perfettamente con la mia passione per la ricerca quotidiana di nuovi metodi di attacco e l’assistenza alle organizzazioni nel migliorare le loro capacità di cybersecurity. Credo fermamente che partecipare al Programma Threat Bounty non solo mi permetterà di migliorare la mia conoscenza e le mie competenze, ma anche di avere un impatto significativo sulla comunità della cybersecurity. Inoltre, sono particolarmente interessato alle attività dei collettivi APT e sono curioso di sapere cosa potrebbe esserci nella mente di un membro di un gruppo APT. Pertanto, ho deciso di acquisire le competenze nella scrittura di regole Sigma e applicarle per rilevare attività avversarie.

Oggi, le organizzazioni si trovano di fronte alla sfida di resistere agli attacchi della guerra cibernetica globale. Quali misure pensi che potrebbero essere le più efficienti per proteggere le infrastrutture?

Utilizzando il linguaggio Sigma e un approccio basato sulla comunità, il Programma Threat Bounty di SOC Prime aiuta le organizzazioni a rafforzare la protezione delle loro infrastrutture rilevando proattivamente le minacce emergenti e promuovendo la collaborazione tra i professionisti della cybersecurity. Dal mio punto di vista, l’idea prevalente nel campo della cybersecurity è che la prevenzione è ideale, ma la rilevazione è un must. Pertanto, Sigma emerge come una risorsa preziosa, permettendo capacità di rilevazione robuste contro le minacce del malware moderno, le CVE più recenti e le attività mirate degli APT.

In base alla tua esperienza, quali minacce sono più difficili da rilevare?

A mio parere, il primo passo è identificare quali tipi di fonti log e fonti di dati sono necessari per catturare le prove per un punto di rilevamento specifico. L’abuso di applicazioni legittime e gli attacchi di iniezione della memoria sono difficili da rilevare. I vantaggi di Sigma sono che è un linguaggio unico, flessibile, facile da scrivere e generico per regole di rilevazione contro minacce cibernetiche sofisticate e complesse che consente operazioni di sicurezza cross-platform. Il punto limitante è che non supporta tutti i fornitori e alcune delle regole non funzionano correttamente per i casi di utilizzo di sicurezza esistenti.

Quali competenze ritieni necessarie per sviluppare regole Sigma per il threat-hunting che abbiano più possibilità di essere pubblicate sulla piattaforma SOC Prime?

Per quanto riguarda lo sviluppo di regole Sigma, il mio solito approccio prevede la creazione di template derivati da risorse diverse. La maggior parte dei miei contributi Sigma a SOC Prime si basa su questi template, con alcuni piccoli aggiustamenti incorporati. Il mio metodo per creare la regola Sigma è delineato nel seguente elenco, passo dopo passo:

  • Rimani aggiornato e ricerca le notizie e i rapporti sulle minacce.
  • Traccia i gruppi di attori delle minacce e impara nuovi schemi di attacco.
  • Comprendi profondamente il linguaggio Sigma e la sintassi.
  • Avere una solida comprensione dei concetti di attacco informatico, dei servizi di log e delle fonti di dati.
  • Esplora lo stack di rilevamento esistente nel SOC Prime Platform usando la ricerca Lucene prima di scrivere la regola.
  • Use Uncoder AI per convalidare la regola e convertirla nel formato di lingua richiesto.

Quali benefici vedi nel partecipare al Programma Threat Bounty di SOC Prime? Puoi raccomandare ad altri di unirsi al programma? Perché?

Il SOC Prime Threat Bounty Program fornisce benefici sia alle aziende che agli sviluppatori individuali. Partecipare a questo programma consente alle organizzazioni di rimanere un passo avanti rispetto alle minacce emergenti mentre offre opportunità per gli sviluppatori di contribuire, migliorare le loro competenze e essere premiati per il loro prezioso lavoro.

 

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati