Interview with Threat Bounty Developer: Wirapong Petshagun

SOC Prime Programma Threat Bounty continua a unire entusiasti e appassionati sviluppatori di contenuti di rilevamento che si sono uniti alla comunità per contribuire alla difesa informatica collettiva e monetizzare le loro esclusive rilevazioni sulla piattaforma SOC Prime. Vi presentiamo Wirapong Petshagun, che si è unito alla comunità Threat Bounty a giugno 2022 e ha pubblicato regolarmente regole di alta qualità per aiutare gli utenti di SOC Prime a rilevare tempestivamente le minacce esistenti ed emergenti. A settembre 2022, Wirapong era uno dei 5 sviluppatori di contenuti Threat Bounty più apprezzati.

Rilevamenti di Wirapong Petshagun

1. Raccontaci un po’ di te, della tua formazione professionale e della tua esperienza in ambito cybersecurity.

Saluti, Mi chiamo Wirapong Petshagun e vengo dalla Thailandia. Mi sono laureato in un programma di Master of Science in Gestione della Cybersecurity. Sono interessato alla cybersecurity da quando ero all’università. Il mio primo lavoro è stato come risposta agli incidenti di cybersecurity presso una delle più grandi aziende di telecomunicazioni della Thailandia. È stato difficile per me perché ero nuovo nel campo. Sono stato incaricato di creare regole di rilevamento per soluzioni di sicurezza come IPS, WAF, EDR e SIEM. Oltre a ciò, ho gestito numerosi incidenti informatici e ho progettato e creato playbook automatizzati da implementare con SOAR.

Attualmente lavoro come Cyber Incident Responder per una società di consulenza sulla sicurezza. Mi è stato affidato il compito di fornire notizie sulla sicurezza e metodi di rilevamento a un cliente. Ho ricercato molti siti web fino a trovare SOC Prime. Al di là di ciò, ho creato molte sfide CTF, che mi hanno aiutato a comprendere a fondo come attaccare e rilevare.

2. Quali sono i tuoi argomenti di interesse nella cybersecurity e perché? Come vuoi crescere come professionista della cybersecurity?

Sono interessato agli incidenti informatici perché è eccitante vedere nuove tecniche utilizzate da vari gruppi APT. Come Incident Responder, non ho paura di affrontare compiti impegnativi perché credo che sia il modo più efficace per migliorare le mie competenze.

3. Come hai scoperto il Programma Threat Bounty e perché hai deciso di parteciparvi?

Ho scoperto la piattaforma SOC Prime mentre cercavo una regola di rilevamento da utilizzare con il SIEM per rilevare nuove CVE e tecniche. Successivamente, ho trovato il Programma Threat Bounty su SOC Prime e ho deciso di unirmi immediatamente perché è l’unica piattaforma che ha un Programma Threat Bounty, che permette ai Blue Teamers di pubblicare regole di rilevamento per aiutare molte organizzazioni a rilevare gli attacchi informatici. Credo anche che il Programma Threat Bounty possa aiutarmi a migliorare le mie conoscenze e competenze.

4. Raccontaci del tuo percorso ed esperienza con il Programma Threat Bounty. Cosa ti ha sorpreso di più?

Avevo appena iniziato a imparare a scrivere regole Sigma e regole Snort il mese prima di unirmi al Programma Threat Bounty. Sono rimasto sorpreso quando ho creato e inviato regole di rilevamento a SOC Prime. Ogni regola viene esaminata in dettaglio e viene fornito anche un feedback dal revisore. Questo potrebbe aiutarmi a migliorare le mie abilità nella scrittura di regole di alta qualità.

Un’altra cosa che mi ha sorpreso è stato il fatto che ho sviluppato una regola Sigma che includa alcuni payload dannosi, ed è stata bloccata dal WAF della piattaforma SOC Prime. Temevo che sarei stato bannato in quel momento, ma quando ho contattato SOC Prime su Slack, mi hanno informato che si trattava di un bug e mi hanno consigliato di segnalarlo al canale bug list.

5. Quanto tempo ti serve in media per creare una regola Sigma che sarà pubblicata sulla piattaforma SOC Prime?

Il tempo medio dipende dalla complessità della regola, dal tipo di regola, e dalle tecniche utilizzate dagli attori della minaccia. Alcune tecniche devono essere testate per assicurarsi che funzionino e sono adattate per ridurre i falsi positivi, il che influenza anche il tempo necessario per la scrittura. Di solito, impiego tra i 15 e i 30 minuti per ciascuna regola Sigma.

6. Qual è secondo te il maggiore beneficio del Programma Threat Bounty di SOC Prime per la cybersecurity e per te personalmente?

Il Programma Threat Bounty di SOC Prime è l’unico modo per Blue Teamers come me di acquisire esperienza preziosa nella scrittura di regole di rilevamento delle minacce sotto la supervisione del Team SOC Prime. Il programma è anche una nuova passione per esplorare nuove tecniche di attacco utilizzate dagli attori delle minacce a livello mondiale.

7. Cosa consiglieresti ai principianti del Threat Bounty dalla tua esperienza?

Se sei nuovo al Programma Threat Bounty, inizia guardando le regole Sigma di SigmaHQ o le regole di accesso libero di SOC Prime , poi verifica i dettagli degli attacchi dal link nella referenza della regola e prova a convertire in condizioni per rilevare gli attacchi da solo. Questo è il modo più rapido per apprendere di più su come scrivere le, then check for attack details from the link in the rule reference and attempt to convert to conditions to detect the attacks yourself. This is the quickest way to learn more about how to write the regole Sigma .