Intervista con lo sviluppatore di Threat Bounty – Mustafa Gurkan Karakaya
Oggi vogliamo presentare alla comunità di SOC Prime uno dei membri più attivi del Programma Threat Bounty e autore delle rilevazioni validate disponibili sulla piattaforma SOC Prime. Ecco a voi Mustafa Gürkan Karakaya, che ha dimostrato la sua esperienza in cybersecurity e potenziale di ulteriore sviluppo da quando è entrato nel Programma nel dicembre 2022.
Regole di Mustafa Gurkan KARAKAYA
Raccontaci un po’ di te e della tua esperienza in cybersecurity.
Mi chiamo Mustafa Gürkan KARAKAYA. Ho 25 anni. Vivo ad Ankara, in Turchia. Mi sono laureato presso il Dipartimento di Ingegneria Informatica all’Università Yıldırım Beyazıt di Ankara nel 2020. Ho iniziato il mio percorso nel campo della cybersecurity concentrandomi sul pentesting. Successivamente, ho ampliato i miei interessi includendo varie attività relative al purple team, in particolare nelle aree di SIEM (Gestione delle informazioni e degli eventi di sicurezza), SOAR (Orchestrazione e automazione della sicurezza e risposta), analisi malware, analisi DFIR (Forensic digitale e risposta agli incidenti) e indagini forensi. Nel mio primo lavoro, mi sono principalmente occupato di supporto tecnico e attività di consulenza per istituzioni militari fornendo assistenza e consulenza in vari aspetti tecnici. Nella mia seconda azienda, ho continuato a fornire supporto tecnico e servizi di consulenza, specificamente concentrandomi sull’implementazione e manutenzione di SIEM. Attualmente, lavoro come Ingegnere di Sicurezza Informatica.
Come hai scoperto SOC Prime? Perché hai deciso di unirti al Programma Threat Bounty?
Ho scoperto per la prima volta SOC Prime su LinkedIn, ma ho sentito parlare dell’opportunità di scrivere regole sulla piattaforma dal mio team leader nell’azienda per cui attualmente lavoro. Mi sono unito a questo programma perché mi piace ricercare nuovi metodi di attacco ogni giorno.
In base alla tua esperienza, quali competenze sono necessarie per creare regole con maggiori possibilità di essere pubblicate? Cosa puoi consigliare a chi ha appena iniziato a scrivere regole Sigma con Threat Bounty?
A mio parere, il criterio più importante per la pubblicazione di contenuti è che la regola sia specifica e in grado di fare determinazioni precise, il che ridurrà il tasso di falsi positivi. Il mio consiglio per gli autori di contenuti che hanno appena iniziato a scrivere regole Sigma è di analizzare le attività degli avversari in uno scenario di attacco secondo il framework MITRE ATT&CK e cercare di comprendere le intenzioni degli attaccanti. Inoltre, esaminare le regole pre-esistenti e capire quali tracce lascerebbe l’attacco in quali fonti di log sarà altamente vantaggioso nello sviluppo di regole appropriate.
In base alle rilevazioni che ricerchi e crei, quali sono le minacce più critiche per le moderne organizzazioni? Quali misure consideri le più efficienti per proteggere le infrastrutture?
Penso che la minaccia più importante sia il fattore umano. Non importa quanto avanzate o sofisticate possano essere le misure di sicurezza e le tecnologie, le azioni e i comportamenti umani possono compromettere la sicurezza. Gli errori umani, la negligenza, la mancanza di consapevolezza e le intenzioni malevole possono rappresentare gravi rischi per la riservatezza, l’integrità e la disponibilità delle informazioni sensibili. È fondamentale dare priorità all’educazione degli utenti, alla formazione sulla consapevolezza e all’instaurazione di una forte cultura della sicurezza per mitigare questi rischi legati all’uomo. Pertanto, credo che i metodi primari di rilevamento delle minacce siano localizzati all’endpoint. Le organizzazioni devono raccogliere i log degli endpoint per i metodi di rilevamento delle minacce e l’analisi dettagliata. Le regole sono come luci che illuminano le minacce nascoste. E più aumentiamo la quantità di luce, più aumenterà la visibilità delle minacce.
Quali tipi di minacce sono i più complicati da rilevare? Forse puoi fornire un esempio dalla vita reale?
Credo che rilevare attacchi che avvengono nei percorsi di applicazioni apparentemente legittime sia la sfida più grande per le organizzazioni. Se devo fornire un esempio dalla mia regola, prendiamo Comportamento sospetto del malware QakBot con linea di comando associata propagandosi tramite il documento malevolo di OneNote (tramite process_creation). In questa regola, gli attaccanti diffondono il malware Qakbot sulla macchina della vittima utilizzando un documento OneNote. Nessun prodotto di sicurezza, incluso AV e EDR, può rilevare questo attacco poiché tutti i processi coinvolti sono firmati da Microsoft e sembrano legittimi. Tuttavia, quando questi processi legittimi vengono utilizzati insieme, il comportamento malevolo viene attivato. Si connette a un server C2, scarica altri payload malevoli e diffonde il malware Qakbot sulla macchina della vittima.
Come esperto di sicurezza, quale pensi debba essere la priorità numero uno per le organizzazioni che vogliono costruire una difesa cyber robusta?
Per le organizzazioni che si sforzano di stabilire una difesa robusta, la priorità più cruciale è aumentare la consapevolezza tra i dipendenti sulla cybersecurity affinché evitino di aprire email non sicure. Inoltre, il mio consiglio per i team di cybersecurity è di monitorare le attività anomale degli utenti, filtrare le attività di rete insolite, raccogliere i log dei client in tutta l’organizzazione (cosa che molte organizzazioni trascurano) e definire regole corrispondenti nei prodotti di sicurezza.
Quali sono i principali vantaggi di essere membro del Programma Threat Bounty di SOC Prime?
Credo che il vantaggio più importante sia che mi permette di rimanere informato sulle nuove vulnerabilità emergenti e sui malware ogni giorno, così come di tenermi aggiornato sulle ultime tecniche utilizzate dagli attaccanti. Raccomando che le persone curiose, lavoratrici e desiderose di imparare cose nuove dovrebbero partecipare Programma Threat Bounty.
