Intervista con lo sviluppatore di Threat Bounty: Onur Atali
Incontra l’ultimo notiziario sulla SOC Prime Developers comunità ! Oggi vogliamo presentare Onur Atali, un abile sviluppatore che contribuisce al nostro Programma di Ricompensa per le Minacce dal giugno 2021. Onur è un creatore di contenuti attivo, concentrando i suoi sforzi sulle regole Sigma. Puoi fare riferimento alle rilevazioni di Onur di altissima qualità e valore nel Mercato delle Rilevazioni di Minacce.
Visualizza Contenuto delle Rilevazioni
Raccontaci un po’ di te e della tua esperienza nella cybersecurity
Ho 26 anni e sono nel settore della cybersecurity da circa 4 anni. Ho lavorato nei team Red e Blue. In particolare, sono stato catapultato nel settore della cybersecurity mentre stavo facendo un programma di applicazioni web durante gli anni del liceo. Mentre esaminavo il codice della mia applicazione web, ho visto che poteva scatenare una vulnerabilità , quindi ho iniziato a ricercare il coding sicuro e mi sono interessato alla sicurezza delle applicazioni web. Così sono entrato nel campo della cybersecurity.
Ero curioso riguardo alle reti e alla sicurezza durante gli anni del liceo e, di fatto, ho imparato le basi lì. Inoltre, a quel tempo, la mia università aveva introdotto una sezione di Tecnologia della Sicurezza Informatica, che includeva sicurezza di rete di base, programmazione di rete, sicurezza delle app web, che sono argomenti chiave che ho appreso sulla cybersecurity al college. Contemporaneamente, ho scoperto il concetto di CTF e mi sono messo alla prova attraverso molte competizioni CTF per vincere premi e ricevere riconoscimenti. Le competizioni mi hanno motivato parecchio e hanno aumentato la mia curiosità per la cybersecurity ancora di più, quindi ho iniziato a lavorare come pentester dopo la laurea.
Come hai deciso di impegnarti in attività di threat hunting? Quali sono i tuoi argomenti di interesse nella cybersecurity?
Quando lavoravo come pentester, dovevo fare ampie ricerche sugli obiettivi e cercare punti deboli. Maggiore è la nostra conoscenza del servizio, più informazioni abbiamo per catturare la falla e prevenire conseguenze negative. Ho lavorato come pentester per circa 2 anni e ho visto molti codici di exploit, metodi di exploit, tecniche di movimento laterale. A quel tempo ho deciso di immergermi nelle pratiche di rilevazione delle minacce e analisi degli attacchi, diventando un membro del Blue Team. Durante la ricerca delle tecniche di attacco e la creazione di metodi di difesa, ho passato molto tempo a sviluppare regole di rilevamento specifiche basate sulle tracce di attacco. Infatti, ho riprodotto gli attacchi sulla mia macchina virtuale per eseguire la ricerca. Il numero di attacchi informatici è cresciuto significativamente rispetto agli anni precedenti. I tipi di attacchi, i tipi di malware e i profili degli attori delle minacce sono abbastanza diversi e numerosi. Pertanto, gli studi di threat hunting devono essere fatti con precisione e richiedono un’accurata ricerca.
I miei ambiti di interesse nella cybersecurity includono il threat hunting, la scrittura di regole e playbook di caccia, lo sviluppo di software di sicurezza, la creazione di architetture di rete sicure e la sicurezza delle applicazioni mobili/web. Preparo anche software di simulazione di phishing e modelli di phishing.
Quali strumenti sono i più comunemente usati dai diversi attori delle minacce e quale sarebbe la tua raccomandazione per migliorare la difesa contro questi strumenti? Sarebbero perfetti degli esempi!
Gli attaccanti concentrano i loro sforzi su applicazioni di sistema legittime nel tentativo di nascondere le tracce. Gli hacker pensano che in questo modo aggireranno sia gli analisti della sicurezza sia le soluzioni di rilevamento delle minacce alla sicurezza. Durante la mia ricerca, ho visto strumenti come Impacket, Bloodhound, Rubeus, Mimikatz per il movimento laterale. Altri strumenti che ho incontrato molto spesso sono software open source come Proxychains, Tor, Hydra, Nmap. Per rilevare strumenti di minaccia speciali utilizzati dagli attaccanti, è importante registrare i comandi in esecuzione a livello del sistema operativo. Molti attaccanti eseguono comandi come “whoami,ipconfig, ping 8.8.8.8”, ed è necessario trattarli come sospetti. Ad esempio, un allarme dovrebbe essere generato se gli amministratori autorizzati sono interrogati su sistemi che forniscono servizi di Active Directory in SIEM per il rilevamento del movimento laterale. Gli attaccanti possono voler dirottare, cambiare o scaricare applicazioni dannose sul sistema che hanno acquisito, quindi è utile controllare il traffico internet e gli indirizzi web dai tuoi sistemi, specialmente quando si verifica una richiesta ai servizi di Tor. L’allarme può indicare una possibile minaccia. Forza Bruta gli attacchi sono il tipo di attacco più comune oggi, quindi il servizio SIEM deve rilevare e bloccare automaticamente gli indirizzi IP che scansionano almeno 10 porte diverse in 5 minuti o tentare di accedere a servizi critici come RDP, SSH, FTP con almeno 10 nomi utente diversi. Penso che SOC Prime sia la piattaforma più ricca del mondo in termini di regole di rilevamento delle minacce.
Quanto tempo ti è servito per padroneggiare la scrittura delle regole Sigma? Quale background tecnico è necessario per questo?
Penso che sia necessario conoscere bene i servizi di logging, specialmente a livello del sistema operativo, per scrivere regole Sigma. Per scrivere una regola, devi monitorare bene i movimenti degli aggressori e minimizzare i rilevamenti falsi positivi. Altrimenti, potrebbero verificarsi troppi allarmi e potresti perdere la minaccia reale. Le regole Sigma sono molto efficienti in termini di rilevamento delle minacce e ci aiutano a fare colpi precisi. Miglioro la mia capacità di scrivere regole studiando analisi di malware, revisione di Incident Response e rapporti di minacce informatiche. Quando scrivi una regola, è necessario assicurarsi che la fonte di rilevazione e il contenuto della regola scritta soddisfino l’allarme atteso.
Come hai scoperto il Programma di Ricompensa per le Minacce di SOC Prime?
Usavo la piattaforma SOC Prime per cercare regole di caccia alle minacce, ma ho scoperto il programma di ricompensa dai miei amici. Sono così felice di essere nel programma, perché sto imparando molte cose qui e migliorando me stesso.
Raccontaci del tuo viaggio con il Programma di Ricompensa per le Minacce. Quanto tempo ti serve in media per scrivere una regola Sigma che sarà pubblicata nel Mercato delle Rilevazioni di Minacce senza correzioni?
Ero davvero interessato quando ho sentito parlare del programma di ricompense SOC Prime Threat Bounty e ho subito fatto domanda. Il Team di SOC Prime ha approvato la mia domanda piuttosto rapidamente e mi ha contattato, il che mi ha reso molto felice. Prima di scrivere le regole, ho studiato le regole esistenti e ho appreso del processo.
Per scrivere regole perfettamente sulla piattaforma, specialmente nell’analisi del malware e Incident Response, gli sviluppatori devono avere almeno 1 anno di esperienza nella cybersecurity. Tuttavia, il primo tentativo potrebbe essere fatto già in 1-2 settimane dopo aver esaminato le regole esistenti all’interno della piattaforma e leggendo le linee guida.
Qual è il valore più grande per te dalla partecipazione al Programma di Ricompensa per le Minacce?
Il miglior valore della partecipazione al Programma di Ricompensa per le Minacce è che le regole che scrivo sono interessanti e aiutano la comunità . Perché se le regole che scrivi non sono funzionali, ovviamente non hanno senso. Insieme al programma di Ricompensa per le Minacce, ho avuto l’opportunità di migliorarmi nel punto di scrittura di una regola Sigma, e quando si scrive una regola, si può anche imparare sulle configurazioni di sicurezza dettagliate a livello del sistema operativo, il che ti dà un miglioramento tecnico. Sono felice di partecipare al Programma di Ricompensa per le Minacce, sia migliorando me stesso sia contribuendo alla comunità .
