Intervista con lo sviluppatore di Threat Bounty: Nattatorn Chuensangarun
Scopri le ultime notizie sulla community di SOC Prime! Oggi vogliamo presentare Nattatorn Chuensangarun, un prolifico autore di contenuti di rilevamento che contribuisce al nostro Programma Threat Bounty dal agosto 2021. Nattatorn è uno sviluppatore di contenuti attivo, concentrando i suoi sforzi sulle regole Sigma. Puoi fare riferimento alle rilevazioni di Nattatorn della massima qualità e valore nel repository del Threat Detection Marketplace della piattaforma di SOC Prime:
Visualizza Contenuto di Rilevamento
Raccontaci un po’ della tua carriera professionale e della tua esperienza in cybersecurity.
Ciao! Sono Nattatorn Chuensangarun dalla Thailandia. Poiché sono interessato alla cybersecurity, dopo essermi laureato in Informatica nel 2019, ho deciso di iniziare il mio primo lavoro in una delle più grandi banche della Thailandia come parte del team di Security Intelligence and Operations Center. Era molto nuovo per me perché avevo solo esperienza in analisi dei dati. Tuttavia, con il grande supporto dei membri del mio team, ho iniziato a formarmi per diventare un analista SOC. Mi è stato assegnato il compito di supervisionare la sezione Threat Intelligence. È stato stimolante poiché dovevo monitorare varie minacce, attingendo ai flussi di notizie diffuse relative alle vulnerabilità , fughe di dati o tendenze di attacchi in corso. Ho ricercato e creato regole per rilevare diverse minacce sulla piattaforma Threat Intelligence fino a quando ho incontrato SOC Prime.
Quali sono i tuoi argomenti di interesse nella cybersecurity?
Sono in realtà aperto a molti argomenti nella cybersecurity. Tuttavia, probabilmente sono molto interessato a scrivere playbook da implementare con la Security Orchestration, Automation and Response (SOAR). Può essere esteso alla Threat Hunting, alla Risposta Automatica agli Incidenti (IR) e può aiutare a gestire un gran numero di attacchi di base. In questo modo, il team di monitoraggio può ridurre gli sforzi e trascorrere più tempo a ricercare difese e nuovi attacchi. Sono anche interessato alla sicurezza del cloud, ai gruppi di attori delle minacce, alle nuove sfide del ransomware e all’utilizzo di big data per analizzare attacchi e comportamenti anomali.
Come hai conosciuto il Programma Threat Bounty? Perché hai deciso di unirti?
L’anno scorso, ho conosciuto la piattaforma SOC Prime per cercare regole di rilevamento delle minacce che ho applicato al sistema SIEM per cercare vulnerabilità . È stato la prima volta che ho incontrato SOC Prime. Uno dei membri del mio team mi ha suggerito di provare a partecipare al Programma Threat Bounty come sviluppatore. Ho pensato che fosse un’idea entusiasmante e ho deciso di partecipare perché credo che questo programma possa aiutarmi a migliorare le mie competenze. Infatti, con Threat Bounty, posso approfondire la mia esperienza nella scrittura di regole per diversi tipi di minacce, acquisire nuove conoscenze e condividere informazioni sulla sicurezza con altri membri della comunità SOC Prime Threat Bounty. Le mie regole pubblicate possono anche essere applicate per rafforzare le difese della mia organizzazione o condivise con altre aziende per mitigare le minacce informatiche.
Raccontaci il tuo percorso con il Programma Threat Bounty. Quanto tempo impieghi in media per scrivere una regola Sigma pubblicata sulla piattaforma SOC Prime?
Ho scritto regole per strumenti di sicurezza prima, ma erano piuttosto restrittive e complicate poiché diversi strumenti richiedono modi diversi di scrittura. Dopo aver conosciuto la piattaforma SOC Prime e aver imparato a scrivere le regole Sigma, si è aperto per me un mondo senza confini. Le ricompense Threat Bounty di SOC Prime mi hanno anche ispirato a portare al livello successivo le mie competenze nella scrittura delle regole Sigma. Mi piace imparare nuove tecniche e scrivere energicamente regole per affrontare nuove minacce.
A mio parere, il tempo medio necessario per scrivere una regola Sigma può dipendere dalla comprensione del tipo di regola, dal comportamento degli attori delle minacce e dalle tecniche di attacco. La varietà degli IOCs influenza anche il tempo di scrittura perché i professionisti della sicurezza devono ispezionare i metadata per identificare i comportamenti normali o anormali. Di solito impiego circa 30 minuti per analizzare le minacce e scrivere una regola Sigma.
Quanto tempo ti ci è voluto per padroneggiare le competenze nella scrittura delle regole Sigma? Quale background tecnico è necessario per questo?
Ho impiegato circa una settimana per studiare come scrivere le regole Sigma, principalmente ispezionando esempi su GitHub e sul Threat Detection Marketplace di SOC Prime. Queste risorse mi hanno aiutato a vedere la varietà dei tipi di regole Sigma. Ora, di solito, creo i miei template per separare ogni servizio dalle diverse fonti. In questo modo, è più facile per me implementare le regole. Inoltre, scrivere le regole in modo efficiente è essenziale. All’inizio, spesso scrivevo in modo inadatto, quindi le mie regole risultavano in minacce mancate o falsi positivi. Tuttavia, la piattaforma SOC Prime offre aiuto esperto per rivedere le mie regole prima della pubblicazione. Posso regolare le mie regole in caso di errori e imparare a migliorarmi evitando errori.
In che modo l’approccio collaborativo alla difesa informatica può aiutare a mitigare rischi critici su scala globale come il log4j?
Chiudere un divario o mitigare un rischio non riguarda solo la tecnologia. Dovremmo tornare ai fondamenti, inclusi persone, processi e tecnologia. Questi sono i componenti chiave per gestire il rischio, quindi dovrebbero essere considerati insieme. La sola tecnologia potrebbe effettivamente avere la capacità di mitigare la maggior parte delle minacce. Tuttavia, non possiamo raggiungere la massima protezione in termini di tempo e qualità senza persone e processi. Utilizzare la piattaforma di SOC Prime è uno dei passaggi che può contribuire a ridurre il rischio. Fornisce ampie opportunità di networking affinché gli sviluppatori possano scambiare tecniche di caccia o trovare tempestivamente IOCs, il che è vantaggioso per ridurre i rischi.
Qual è, secondo te, il vantaggio più significativo del Programma Threat Bounty di SOC Prime?
Il Programma Threat Bounty di SOC Prime mi permette di ottenere molta esperienza nella scrittura di regole di rilevamento delle minacce sotto la supervisione e il consiglio del Team di SOC Prime. Il programma mi aiuta a migliorare le mie competenze e supporta le organizzazioni in tutto il mondo favorendo una comunità di cybersecurity. È un grande onore quando qualcuno invia un messaggio diretto dicendomi che le mie regole di rilevamento possono aiutare la loro organizzazione. Tali casi mi motivano a iniziare prontamente nuove regole per affrontare nuove minacce e studiare nuove tecniche, con la speranza che il mio tentativo possa aiutare la comunità a resistere alle minacce.
Cosa consiglieresti ai principianti del Threat Bounty?
Per chiunque inizi o studi un Programma Threat Bounty, potresti aprire la strada leggendo i feed di notizie sulle minacce, monitorando gli attacchi informatici in tutto il mondo o utilizzando log di attacchi affidabili per scrivere all’inizio una regola Sigma. Altrimenti, potresti visualizzare in anteprima gli esempi su GitHub e Threat Detection Marketplace. Sfida te stesso una volta e aiuta la comunità della cybersecurity insieme!
