Intervista con lo Sviluppatore di Threat Bounty: Michel de Crevoisier

Scopri l’ultima edizione del notiziario sulla comunità degli sviluppatori SOC Prime! Oggi vogliamo introdurre Michel de Crevoisier, uno sviluppatore prolifico che contribuisce al nostro programma Threat Bounty dal novembre 2020. Michel è un creatore di contenuti attivo, concentrando i suoi sforzi sulle regole Sigma. Puoi fare riferimento alle rilevazioni di Michel della massima qualità e valore nel Threat Detection Marketplace.

Visualizza Contenuto di Rilevamento

1. Raccontaci un po’ di te e della tua esperienza nella sicurezza informatica

Ho iniziato la mia carriera nella sicurezza come analista SOC nel 2017 dopo diverse esperienze in amministrazione di sistemi, rete e virtualizzazione. Nella mia mente, è stato sempre chiaro che la mia carriera dovesse essere costruita intorno alla sicurezza. Infatti, sono stato coinvolto in troppi progetti dove la sicurezza non era una priorità, esponendo le organizzazioni a rischi inutili. Ho accettato questo come una sfida personale iniziando un blog e partecipando a diversi eventi di sicurezza, anche come relatore. Recentemente ho partecipato a un corso di sicurezza SANS sulla rilevazione delle minacce per ottenere una certificazione GIAC per ampliare, oltre ad altre cose, la mia conoscenza e le mie competenze.

2. Perché hai deciso di concentrarti sulle regole Sigma come uno degli strumenti principali per la caccia alle minacce?

Da una prospettiva di caccia alle minacce, SIGMA fornisce capacità avanzate per condividere una logica IOC semplice o complessa in un formato comune che è comprensibile e utilizzabile da qualsiasi analista, indipendentemente dalla tecnologia SIEM in uso. Con il rilascio di questo formato aperto e l’ascesa della “Githubification of InfoSec” (fonte), SIGMA era decisamente lo strumento di cui avevo bisogno.

3. Quanto tempo ti è servito per padroneggiare la scrittura delle regole Sigma? Quale background tecnico è richiesto per padroneggiarlo? E quanto tempo mediamente ti serve per scrivere una nuova regola IOC Sigma e una regola di caccia alle minacce?

Padroneggiare le regole SIGMA mi ha richiesto solo pochissime settimane e scrivere una regola solitamente mi richiede circa un’ora poiché cerco sempre di valutare la minaccia nel mio laboratorio per garantire la qualità della regola. Cerco anche di allegare un campione di log reale così che l’analista possa facilmente apprezzare il contesto.

Tuttavia, comprendere i fondamenti del linguaggio, dal mio punto di vista, non è sufficiente. Infatti, scrivere buone regole richiede anche una corretta comprensione della minaccia, dei suoi comportamenti e dei diversi IOC che può attivare. La conoscenza di framework di sicurezza come Metasploit o Cobalt Strike è anche piuttosto utile così come le competenze offensive.

4. Quali sono i tuoi argomenti di interesse nella cyber-sicurezza? Quali tipi di minacce sono i più difficili da rilevare e combattere?

Gli attacchi alla catena di fornitura come CCleaner, SolarWinds, or Codecov sono tra i più difficili da rilevare: la minaccia è incorporata nel software legittimo conosciuto come affidabile e utilizzato da molte aziende. L’intrusione richiede mesi ed è molto furtiva. Inoltre, le intrusioni nel cloud combinate con un movimento laterale verso l’ambiente on-premise (o viceversa) sono anche piuttosto difficili da combattere poiché la maturità della copertura di rilevamento non è sempre la stessa su entrambi i lati o è gestita da diverse parti con mentalità diverse. Ovviamente, i vettori di intrusione comuni rimangono validi e non dovremmo dimenticare il phishing, gli exploit dei server web e abusi di PowerShell, DCOM or Strumentazione gestione Windows (WMI).

5. Ora esistono molti gruppi di attori delle minacce e il loro numero sta crescendo, quali attori delle minacce a tuo parere rappresentano la minaccia più grande? Come valuteresti se un gruppo di attori delle minacce è più o meno pericoloso?

Attori come quello dietro l’attacco alla catena di fornitura di SolarWinds hanno dimostrato quanto potenti possano essere. Analizzare le loro capacità di preparazione e infiltrazione nei fornitori terzi prima di attaccare il loro bersaglio finale è davvero spaventoso. Sono poliedrici, prendono di mira infrastrutture cloud e on-premise, capaci di compromettere l’infrastruttura di compilazione e firma del codice… E tutto questo mentre rimangono quasi invisibili sotto la copertura dei radar.

6. Come hai saputo del programma SOC Prime Threat Bounty? Perché hai deciso di partecipare? Qual è il valore più grande per te dalla partecipazione al programma Threat Bounty?

Partecipare al programma Threat Bounty è stata innanzitutto un’opportunità per espandere la mia conoscenza, spingendomi fuori dalla zona di comfort per esplorare nuove minacce e TTP. Nel tempo, mi sono reso conto che stavo contribuendo più ampiamente a rafforzare le organizzazioni SOC e a far parte di una comunità di sviluppatori di talento.

Desideroso di monetizzare le tue competenze di caccia alle minacce e potenziare la tua esperienza nella difesa informatica? SOC Prime sta cercando membri del Blue Team che tengano d’occhio da vicino le ultime tendenze della cybersecurity! Il nostro programma Threat Bounty paga premi ricorrenti per contenuti SOC mirati al rilevamento delle minacce, alla caccia alle minacce e alla risposta agli incidenti – come SIGMA, Yara, Snort, Log Parsers e Contenuti SIEM Nativi. Invia le rilevazioni per soddisfare le richieste della Wanted List e raddoppia i tuoi profitti aiutando la comunità del Threat Detection Marketplace a resistere alle minacce informatiche emergenti.

Cerchi un modo per arricchire le tue conoscenze sulla cybersecurity? Esplora la Cyber Library di SOC Prime per padroneggiare le tue competenze hard SIEM, guarda video educativi approfonditi e aggiornati con guide pratiche su come cacciare le minacce.

Esplora la Cyber Library Unisciti a Threat Bounty