Intervista con lo sviluppatore di Threat Bounty – Mehmet Kadir CIRIK

[post-views]
Giugno 12, 2023 · 7 min di lettura
Intervista con lo sviluppatore di Threat Bounty – Mehmet Kadir CIRIK

Mentre continuiamo a raccontare dei nostri membri acuti del Threat Bounty di SOC Prime, condividendo storie sulla loro crescita professionale e ampliamento della loro esperienza nello sviluppo di regole che contribuiscono alla difesa informatica globale, oggi presentiamo Mehmet Kadir CIRIK, che ha aderito al programma nel gennaio 2023 e da allora contribuisce attivamente con le sue rilevazioni.

Mehmet Kadir CIRIK

Raccontaci qualcosa di te e della tua esperienza nella sicurezza informatica.

Ciao! Sono Mehmet Kadir CIRIK, ho 22 anni. Sono nato a Mersin, in Turchia, nel 2001 e sono cresciuto lì. Attualmente sono uno studente dell’ultimo anno nei dipartimenti di ingegneria informatica forense e ingegneria informatica presso l’Università di Firat. Nel mio secondo anno di università, ho studiato nel dipartimento di informatica in Macedonia del Nord per circa 8 mesi nell’ambito dell’Erasmus. Lavoro a tempo pieno nel campo della sicurezza informatica dal mio secondo anno di università. Attualmente lavoro come Ingegnere Blue Team e Ricercatore di Minacce in un’azienda con sede a Istanbul. Le mie principali responsabilità includono l’indagine proattiva delle attività dannose all’interno dei feed di notizie sulle minacce informatiche, la ricerca approfondita per sviluppare rilevamenti basati sul comportamento che affrontano nuove minacce e tecniche di attacco, e la gestione efficace degli incidenti di sicurezza critici. Ho iniziato la mia carriera nell’Intelligence delle Minacce Informatiche. Poi ho lavorato come analista MDR e ho sviluppato le mie competenze forensi.

Come hai conosciuto SOC Prime? Perché hai deciso di unirti al Threat Bounty Program?

Ho scoperto SOC Prime per la prima volta attraverso post su LinkedIn. Ero interessato a scrivere Sigma Rules prima, ma non avevo mai scritto una singola Sigma Rule fino a quel momento. Nell’azienda per cui lavoro attualmente, ho ricevuto supporto e guida dai miei colleghi senior su come scrivere regole Sigma e come sottoporle per la pubblicazione sulla piattaforma SOC Prime. Scrivendo regole Sigma, posso migliorare le mie competenze e acquisire conoscenze su molte vulnerabilità e tecniche di attacco in un tempo molto breve. Sono particolarmente interessato alle attività dei collettivi APT, e mi chiedo cosa possa esserci nella mente di un membro di un gruppo APT. È per questo che mi sono unito come membro del Threat Bounty di SOC Prime e mi impegno a scrivere le mie regole regolarmente.

Quali competenze ritieni necessarie per sviluppare regole Sigma con maggiori possibilità di essere pubblicate sulla piattaforma SOC Prime?

Per aumentare le possibilità di essere pubblicati sulla piattaforma SOC Prime, mi prendo cura di scrivere regole prestando attenzione eccezionale al contenuto della regola in modo che non crei alcuna percezione falsa o fuorviante sulla rilevazione. Inoltre, mi assicuro di costruire le mie regole in modo che siano in grado di rilevare attività dannose per lungo tempo. Mirando direttamente al comportamento TTP di qualsiasi gruppo APT o di un malware, scrivo le mie regole in base a questi TTP. In questo modo, anche se gli attaccanti cambiano comportamento (nomi di file, hash di file e nomi di dominio), mi assicuro che le regole che ho scritto catturino costantemente gli attacchi.

Oggigiorno, le organizzazioni affrontano la sfida di resistere agli attacchi della guerra informatica globale. Quali misure pensi possano essere le più efficienti per proteggere le infrastrutture?

Le organizzazioni possono proteggere la loro infrastruttura utilizzando algoritmi di rilevamento all’interno della piattaforma SOC Prime, in particolare le regole Sigma sviluppate e condivise dai membri del Threat Bounty. Tali regole agiscono come un valido meccanismo di rilevamento per le vulnerabilità appena rilasciate, le attività dei gruppi APT e i malware. È per questo che Sigma emerge come una risorsa preziosa, fornendo potenti capacità di rilevamento contro le minacce informatiche moderne, le ultime CVE e le attività APT mirate.

Quali tipi di minacce sono i più complicati da rilevare? Forse puoi fornire un esempio dalla vita reale?

Gli attacchi informatici avanzati o mirati sono generalmente considerati i tipi di minacce più complessi da rilevare. Questi attacchi richiedono tecniche sofisticate, misure di privacy e competenze avanzate. Tali attacchi sono di solito effettuati da collettivi sponsorizzati dallo stato, minacce persistenti avanzate (APT) o attaccanti esperti.

Ad esempio, l’attacco informatico noto come “Stuxnet” era un worm virus avanzato molto complesso da veicolare e diffondere. Questo attacco è stato effettuato contro il programma nucleare iraniano nel 2010 e ha infiltrato i suoi obiettivi, interrompendo i sistemi di controllo dei reattori nucleari. Sebbene le identità degli autori siano sconosciute, si pensa che l’attacco sia stato altamente sofisticato e possibilmente un’operazione sponsorizzata dallo stato.

Suggerisco alle aziende di prestare attenzione alle regole pubblicate di recente sulla piattaforma SOC Prime perché gli attacchi informatici stanno diventando sempre più sofisticati, e sempre più aziende, istituzioni e individui sono colpiti da questi attacchi.

Quale pensi dovrebbe essere la priorità n. 1 per le organizzazioni che vogliono costruire una robusta difesa informatica?

Come cacciatore di minacce esperto, posso dire che la priorità n. 1 per le organizzazioni dovrebbe essere il monitoraggio continuo e la raccolta di intelligence sulle minacce. Una buona intelligence sulle minacce è fondamentale per rilevare attacchi e rafforzare le difese. In un ambiente dove le minacce cambiano ed evolvono costantemente, è vitale stabilire una strategia di difesa basata su informazioni sulle minacce aggiornate. In particolare, i seguenti argomenti sono aree dove i cacciatori di minacce possono offrire preziose intuizioni:

  • Nuovi metodi e tecniche di attacco: Rilevare nuove tecniche e metodi di attacco che emergono costantemente è fondamentale per mantenere aggiornate le misure difensive.
  • Scoperta delle vulnerabilità: Rilevare e segnalare le vulnerabilità nei sistemi dà un grande contributo alla difesa contro gli attacchi. In particolare, le scoperte fatte con tecniche come i test di penetrazione e le scansioni di vulnerabilità giocano un ruolo importante nella difesa informatica.
  • Malware e attività dannosa: Rilevazione, analisi e prevenzione del malware sono vitali per mantenere la sicurezza di un’organizzazione. Le rilevazioni fatte in quest’area contribuiscono all’intelligence condivisa sulle minacce.

Quale pensi sia il maggiore beneficio del Threat Bounty Program di SOC Prime?

A mio parere, i maggiori benefici del Threat Bounty Program di SOC Prime sono:

  • Coinvolgimento della comunità: Il Threat Bounty Program promuove una comunità globale di cacciatori di minacce, incoraggiando gli esperti di sicurezza informatica a fare rete e condividere conoscenze. Questo assicura un rilevamento efficace delle minacce e una difesa sfruttando diverse esperienze e prospettive.
  • Ricompense e motivazione: il programma offre ai partecipanti ricompense finanziarie per i loro contributi. Ciò motiva i cacciatori di minacce e incoraggia un maggiore coinvolgimento. Inoltre, i partecipanti hanno l’opportunità di mostrare il loro talento ed essere riconosciuti nell’industria.
  • Sviluppo dell’intelligence sulle minacce: il programma consente ai partecipanti di specializzarsi nell’intelligence sulle minacce. I rilevamenti pubblicati contribuiscono all’intelligence condivisa sulle minacce e possono essere utilizzati per fornire una difesa informatica più forte.

Dalla mia esperienza, credo che le persone che desiderano partecipare al Threat Bounty Program e guadagnare con le loro rilevazioni dovrebbero possedere le seguenti competenze minime in sicurezza informatica:

  • Sicurezza della rete: è importante avere conoscenze ed esperienza nei problemi di sicurezza di base della rete. È necessario avere un buon insieme di competenze, come l’analisi del traffico di rete, le regole del firewall e la rilevazione delle vulnerabilità di rete.
  • Analisi del malware: le capacità di analisi del malware sono essenziali per rilevare e analizzare file dannosi e comprendere l’attività dannosa. È fondamentale avere una buona comprensione e competenze tecniche.
  • Test di penetrazione: le capacità di test di penetrazione sono essenziali per rilevare vulnerabilità e exploit nei sistemi. La capacità di vedere i sistemi attraverso gli occhi di un attaccante e rilevare vulnerabilità è vitale.

Interessato a unirti al Threat Bounty Program? Non esitare ad applicare per la partecipazione e unisciti all’iniziativa di crowdsourcing che ti incoraggia a svilupparti professionalmente mentre monetizzi le tue rilevazioni.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Intervista con lo sviluppatore di Threat Bounty – Aung Kyaw Min Naing
Blog, Intervista — 6 min di lettura
Intervista con lo sviluppatore di Threat Bounty – Aung Kyaw Min Naing
Alla Yurchenko
Intervista con lo sviluppatore di Threat Bounty – Mustafa Gurkan Karakaya
Blog, Intervista — 5 min di lettura
Intervista con lo sviluppatore di Threat Bounty – Mustafa Gurkan Karakaya
Alla Yurchenko
Guidare la Crescita Aziendale in Tempi Turbolenti dalla Prospettiva del CISO: Parte II
Blog, Intervista — 5 min di lettura
Guidare la Crescita Aziendale in Tempi Turbolenti dalla Prospettiva del CISO: Parte II
Daryna Olyniychuk