La Nuova Era del Programma di Ricompensa per Minacce

Come il Crowdsourcing Plasma le Strategie di Difesa Cibernetica Future

Il crowdsourcing è uno dei pilastri chiave per costruire una difesa cibernetica avanzata in grado di affrontare le nuove sfide panoramiche del moderno paesaggio delle minacce. Con oltre 30K di nuove vulnerabilità scoperte solo nel 2023 e attacchi informatici che si verificano ogni minuto, team indipendenti non possono far fronte alla valanga di minacce esistenti. La condivisione della conoscenza è necessaria per superare in velocità e intelligenza gli avversari.

Aggregando dati e intuizioni da più fonti, le iniziative di rilevamento delle minacce basate su crowdsourcing offrono una comprensione più ricca della superficie d’attacco e consentono risposte più rapide e coordinate. Questo approccio collaborativo ottimizza le risorse, assicura la condivisione delle informazioni in tempo reale e promuove il miglioramento continuo attraverso un ciclo di feedback iterativo. Con la sua portata globale e capacità di innovazione, il crowdsourcing costruisce una rete di difesa resiliente e scalabile, guidando pratiche di cybersecurity efficaci e guidate dalla comunità per contrastare minacce cibernetiche sofisticate e in evoluzione.

Essendo gli evangelisti dell’approccio collettivo alla difesa cibernetica, al terzo workshop della comunità dell’UE ATT&CK a maggio 2019, SOC Prime ha lanciato il primo programma di compensi dell’industria per i difensori cibernetici. In occasione del 5° anniversario del Threat Bounty Program, introduciamo il toolset migliorato e le capacità estese per i contributi, riflettendo i principi fondamentali della cybersecurity moderna e fornendo ai membri della comunità crowdsourced le tecnologie più avanzate di SOC Prime per l’ingegneria del rilevamento.

Unisciti a Threat Bounty

Ritorno alle Origini

Il riconoscimento dell’eccellenza personale e dei diritti di autore sono fondamentali per l’iniziativa di SOC Prime che unisce specialisti in tutto il mondo e offre loro l’opportunità di contribuire alla difesa cibernetica globale.

L’iniziativa Threat Bounty ha ricevuto supporto dai membri della comunità della cybersecurity che si sono affrettati a candidarsi e a pre-registrarsi per il Programma dopo l’annuncio. Come reazione immediata alla prontezza e alla domanda della comunità, abbiamo lanciato il Developer Portal a inizio giugno 2019, che ha servito come principale hub per il contributo di regole di rilevamento a SOC Prime per cinque anni.

Sin dal primo giorno, il Threat Bounty Program di SOC Prime è stato conosciuto come un ambiente affidabile e di supporto per coloro che desiderano sfidare le proprie competenze di ingegneria del rilevamento e guadagnare del denaro mentre osservano come le loro regole di rilevamento aiutano le aziende di tutto il mondo a resistere alle minacce cibernetiche emergenti o conosciute.

Lo sviluppo e la trasformazione del Programma sono sempre stati allineati con l’evoluzione del settore e della tecnologia, permettendoci di mantenere alta professionalità e motivazione per coloro che desiderano espandere le loro pratiche di ingegneria del rilevamento e far parte del Blue Team crowdsourced fornendo rilevamenti alle organizzazioni in tutto il mondo. In questi giorni, stiamo portando l’esperienza utente dei membri di Threat Bounty a un livello completamente nuovo, equipaggiandoli con le tecnologie e gli strumenti più avanzati di SOC Prime per l’ingegneria del rilevamento.

Guidare la Comunità

Con l’idea della condivisione della conoscenza illimitata all’interno della comunità, già nel 2018, SOC Prime ha lanciato Uncoder.IO, che ha agito come un traduttore online veloce, privato e facile da usare per Sigma Rules, mantenendo il 100% di privacy dei suoi utenti. Visto il successo di Uncoder come strumento comunitario, a novembre 2023, il team di SOC Prime ha reso Uncoder.IO uno strumento completamente open-source sotto licenza Apache 2.0. Poiché Uncoder è stato sviluppato con la privacy in mente, la versione SaaS dello strumento disponibile su https://uncoder.io assicura nessun tracciamento dei cookie, registrazione o condivisione di dati o codice con terze parti. Per la comunità, ciò significa che qualsiasi professionista della sicurezza esperto o principiante nella difesa cibernetica beneficia delle capacità base di conversione IOC, traduzione di contenuti e creazione di regole Sigma e Roota.

Dalla prima pre-registrazione al Threat Bounty Program nell’aprile 2019, SOC Prime ha ricevuto quasi 2.000 domande per unirsi al Programma e ha accolto oltre 600 individui che hanno dimostrato la loro disponibilità a contribuire alla difesa cibernetica globale tramite SOC Prime. Contribuire all’ingegneria del rilevamento crowdsourced spesso richiede agli autori delle regole di rilevamento delle minacce di avventurarsi oltre il regno familiare degli interessi e delle competenze professionali stabilite sul posto di lavoro, nell’organizzazione o persino nell’industria e ampliare le loro competenze esperte e l’analisi del panorama globale delle minacce cibernetiche.

Sebbene allineare gli sforzi degli ingegneri del rilevamento delle minacce crowdsourced con le esigenze attuali del mercato sia una parte essenziale, o addirittura vitale, del Threat Bounty Program, è sempre difficile per gli autori dei contenuti mantenere le loro competenze allineate con le esigenze contemporanee, riguardo alla complessità dei rilevamenti e al panorama delle minacce in continua evoluzione.

I membri del programma che sono stati con la comunità sin dai primi giorni ricordano quanto fosse facile e senza sforzo pubblicare il loro contenuto sulla piattaforma SOC Prime. Gli autori potevano inviare i loro algoritmi di rilevamento per una pubblicazione Premium o Community, e questo approccio forniva agli autori più flessibilità, specialmente quando la logica di rilevamento non era complessa. Tuttavia, favorire e promuovere i contributi minimi alla comunità globale è contro i principi del Programma.

Il Threat Bounty Program è un ambiente esigente che promuove lo sviluppo del talento personale nella forza lavoro della cybersecurity di qualsiasi organizzazione e fornitore di cybersecurity. Il programma consente agli esperti che si specializzano in varie tecnologie di sviluppare ulteriormente e utilizzare le loro competenze applicate in un ambiente etico e competitivo con requisiti rigorosi per l’osservanza delle leggi e dei regolamenti riguardanti i diritti IP e i dati personali, oltre alla capacità di comprendere il formato Sigma generico e una conoscenza approfondita dei formati specifici del fornitore.

Inoltre, lo sviluppo e l’evoluzione di Uncoder IO e l’introduzione della conversione IOC a query personalizzate di caccia ha segnato un’altra svolta nella trasformazione del Threat Bounty Program e nei requisiti di accettazione dei contenuti. In risposta all’evoluzione del Programma, gli autori dei contenuti che volevano guadagnare cash con i propri rilevamenti dovevano adattarsi all’ambiente più esigente e investire tempo nello sviluppo di regole più complesse.

Ricompense

La possibilità di monetizzare le regole di rilevamento con il Threat Bounty Program di SOC Prime è indubbiamente un punto importante da considerare per coloro che cercano opportunità di guadagnare un reddito aggiuntivo dalla loro conoscenza professionale.

Il sistema di ricompense basato sul rating è un modo per fornire un feedback globale sul contenuto del rilevamento, che include il riflettere le tendenze nella domanda di copertura del rilevamento delle tecnologie, fonti di log specifiche, comportamenti e strumenti di gruppi APT particolari.

Questo approccio alla ricompensa degli autori di contenuti è stato più che utile nell’allineare le raccomandazioni generali per le regole accettate con la domanda effettiva degli utenti regolari della Piattaforma. Ad esempio, è diventato chiaro che un rilevamento minimo o un IOC di basso livello non può contribuire a un efficace rilevamento delle minacce come parte dell’offerta di SOC Prime per la comunità globale.

Il sistema di ricompense basato sul rating, insieme agli standard stabiliti per la qualità dei contributi, consente a SOC Prime di premiare gli autori che forniscono contenuti attuabili in grado di rilevare strumenti e comportamenti dannosi negli ambienti reali di aziende e governi.

L’informazione è la Chiave

La condivisione continua del feedback è essenziale per mantenere alti standard di sviluppo dei contenuti crowdsourced, assicurando il coinvolgimento continuo della comunità cibernetica nello sviluppo di rilevamenti attuabili, migliorando la qualità dei contenuti e aumentando la credibilità tra gli utenti finali. Mentre forniamo agli autori un feedback sulle loro regole presentate tramite email, gli ingegneri di SOC Prime che verificano i rilevamenti suggeriti per la pubblicazione non estendono il loro feedback a consulenze professionali personali o coaching. Invece, incoraggiamo i membri del Threat Bounty Program a partecipare a discussioni guidate dalla comunità, che crediamo siano più preziose per la comunità di Threat Bounty rispetto alle consultazioni individuali, poiché aumentano la trasparenza, favoriscono lo scambio di informazioni e incoraggiano lo sviluppo delle competenze tra gli autori di Threat Bounty.

Per equipaggiare i membri del Threat Bounty Program con una comunità di apprendimento aperto e scambio di conoscenze, abbiamo introdotto un canale Discord che funge da hub in cui i professionisti esperti condividono generosamente le loro conoscenze e intuizioni con i nuovi arrivati desiderosi di favorire la collaborazione peer-driven, partecipare a discussioni animate, tenersi aggiornati con le ultime tendenze della cybersecurity e avanzare nelle loro competenze tecniche.

Cosa C’è di Nuovo?

Il rilevamento delle minacce basato sul crowdsourcing viene sempre con un linguaggio unificato, in modo che qualsiasi professionista della sicurezza possa beneficiare della difesa cibernetica collettiva. Il Threat Bounty Program è iniziato con le regole Sigma al suo cuore, rendendo i contributi della comunità portabili in molti linguaggi SIEM ed EDR. Tuttavia, per permettere all’industria di superare i limiti delle regole Sigma nel descrivere e trasportare rilevamenti complessi basati sul comportamento, il team di SOC Prime ha introdotto Roota nel 2023.

Con Roota che funge da wrapper, i difensori cibernetici possono prendere una regola o query nativa e arricchirla con metadati, grazie all’aiuto di Uncoder AI, traducendo il codice in altri linguaggi SIEM, EDR e Data Lake. Inspirati dal successo delle regole Yara e Sigma, Roota si concentra su un’applicabilità più ampia da parte di una comunità più vasta di difensori. Questo significa che puoi scrivere in Roota con qualsiasi linguaggio tu già conosca e Uncoder aiuterà a tradurre in altri linguaggi comuni, eliminando la necessità di apprendere nuovi linguaggi di query specifici o generici. L’obiettivo è dotare chiunque abbia esperienza nella scrittura di regole di migliori strumenti al lavoro. In questo modo, non solo i Cacciatori di Minacce più esperti, gli esperti di DFIR e regole Sigma, ma anche gli Analisti SOC desiderosi di contribuire al bene collettivo tramite il Threat Bounty Program ora usano la suite avanzata di ingegneria del rilevamento di SOC Prime con Uncoder al suo cuore. SOC Prime ora fornisce ai nostri membri di Threat Bounty un’intelligenza artificiale privata che non perde il loro codice, supporta l’adesione alla Licenza delle Regole di Rilevamento, e assicura che i diritti d’autore per la proprietà intellettuale non vadano persi nella traduzione, tutto in cima a un ambiente di sviluppo privato che non è trattato dall’IA generativa, un repository personale per archiviare i loro rilevamenti in un ambiente cloud SOC 2 Type II, e molte caratteristiche simili a IDE, incluso il completamento automatico del codice, tagging MITRE ATT&CK, QA, correzioni, e un flusso di lavoro integrato per la revisione e l’uso del codice.

Unisciti a Threat Bounty

La nuova era del programma di ingegneria del rilevamento basata su crowdsourcing di SOC Prime unifica tutte le nostre iniziative comunitarie, creando un flusso di lavoro tutto-in-uno facile da usare progettato per liberare il talento personale, migliorare le abilità di ingegneria del rilevamento e di caccia alle minacce, ed espandere l’esperienza tecnologica. Il Threat Bounty Program fornisce un ambiente sicuro, etico e competitivo per i partecipanti a contribuire alla difesa cibernetica ottenendo allo stesso tempo riconoscimento e benefici tangibili per i loro sforzi.