Successo della Ricerca Minaccia: Kyaw Pyiyt Htet
Oggi, vogliamo raccontarvi la storia di Kyaw Pyiyt Htet, l’autore di contenuti che fa parte del Threat Bounty Program da quasi quattro anni. Abbiamo introdotto Kyaw Pyiyt Htet sul nostro blog e menzionato alcune informazioni sul suo background personale e professionale.
È emozionante sentire ora da Kyaw Pyiyt Htet e apprendere dello sviluppo professionale, dei progressi di carriera e dei suoi piani per il futuro.
Parlaci di te, della tua azienda attuale e della tua posizione all’interno dell’azienda.
Sono Kyaw Pyiyt Htet. Il mio nome è un po’ difficile da pronunciare. Attualmente lavoro come Senior Threat Analyst presso LMNTRIX, un servizio XDR australiano. L’azienda fornisce servizi di difesa informatica nelle regioni APAC e Nord America. Le mie attività quotidiane si concentrano principalmente sulla risposta alle minacce utilizzando EDR/XDR. È ciò che faccio nella mia posizione attuale e come lavoro quotidiano.
Prima di unirmi al Threat Bounty Program, lavoravo come analista L1. Ho messo a punto le regole di rilevamento e facevo affidamento su firme e monitoraggio reattivo. Ho anche imparato come operano gli ingegneri del rilevamento delle minacce e come identificare efficacemente gli incidenti informatici.
Da quanto tempo sei membro del Threat Bounty Program? Quali ritieni siano i tuoi successi e traguardi più grandi come autore di contenuti del Threat Bounty?
Partecipo al programma Threat Bounty da tre anni e otto mesi, e continuo a contribuire. Il mio più grande successo e traguardo è stato essere elencato come il Miglior autore nel 2022 ad agosto, ottobre e novembre nel rapporto mensile. Recentemente, sono stato riconosciuto come uno dei Top 20 contributori di SOC Prime.
Parlando di contributi di regole, puoi dirci quante regole hai sottoposto durante la tua partecipazione al Programma?
Attualmente, 189 regole sono state con successo pubblicate sul Threat Detection Marketplace. La presentazione complessiva potrebbe contare oltre 200 regole, ma purtroppo non riesco a ricordarle in dettaglio. Molte delle mie presentazioni sono state respinte. Anche se ho ricevuto molte bocciature, ho acquisito esperienza che utilizzo per creare regole Sigma di alta qualità .
Hai un programma personale o dei traguardi per la presentazione delle tue regole? Osservando l’attività della comunità Threat Bounty, il numero di presentazioni per gli autori che pubblicano attivamente varia significativamente, da 5 a più di 50 presentazioni a settimana. Come fai a farlo?
Non ho alcun obiettivo fisso. E più di 50 presentazioni mensili – non le faccio. Ma posso dirti qual è il mio approccio.
Prima di tutto, leggo rapporti open-source di minacce, come Unit 42, Cybereason, Cisco Talos e simili. Di solito, leggo i rapporti e cerco alcuni artefatti di rilevamento. Ad esempio, ci sono creazioni di chiavi di registro, o operazioni pianificate dall’attore della minaccia, e così via, quindi prendo quell’artefatto di rilevamento, creo una regola Sigma, e contribuisco al Threat Bounty Program.
Parallelamente, ricerco il framework C2 personalizzato nel mio ambiente di laboratorio domestico, e lì posso trovare altri significativi artefatti di rilevamento. Attualmente, ho diverse regole di rilevamento sulla piattaforma SOC Prime che sono 100% il mio lavoro di ricerca interna.
Questi due approcci li utilizzo per scrivere le regole di rilevamento che contribuisco.
Hai qualche argomento particolare o direzioni nella caccia alle minacce che ti appassionano e ti eccitano molto?
Quando leggo un rapporto di intelligence sulle minacce , cerco prima gli indicatori di attacco piuttosto che gli indicatori di compromissione. Se devo creare un contenuto di rilevamento robusto, dovrebbe basarsi su indicatori di attacco perché è difficile cambiare dalla prospettiva dell’attaccante.
Ad esempio, se scriviamo una regola Sigma basata su IOC, come un indirizzo IP o un nome di dominio, non è davvero affidabile come rilevamento a lungo termine.
Questo è il motivo per cui presto attenzione alle esecuzioni della linea di comando o ad altri artefatti chiave del registro che sono difficili da cambiare nell’operazione di un attaccante.
Parliamo della parte meno piacevole delle presentazioni di contenuti, ovvero, il rifiuto di contenuti. Qual è la tua esperienza?
Onestamente, in precedenza facevo affidamento sugli IOC per creare regole Sigma, e questo era il motivo principale per cui le mie regole venivano respinte. Un altro motivo è che a volte creo regole molto tardi, quindi il contenuto di altri contributori ha già superato la verifica prima di me.
Ogni volta che ricevo un rifiuto, il team di verifica di SOC Prime specifica un motivo. Mi hanno raccomandato di concentrarmi sulla creazione di regole di rilevamento di alta qualità e alta precisione. Ho acquisito questa esperienza anche se ho ricevuto tanti rifiuti.
E come hai fatto a passare dalla scrittura di regole basate su IOC a contenuti comportamentali?
In seguito, ho iniziato ad applicare il modello Piramide del Dolore perché, utilizzando questo modello, possiamo fare una valutazione delle capacità dell’attaccante in base al livello di difficoltà . Quello che intendo è che, più alto è il livello degli artefatti nella Piramide del Dolore, maggiore è la precisione della regola di rilevamento.
Applico sempre il modello della Piramide del Dolore quando leggo i rapporti di minacce o faccio la mia ricerca. Quando trovo alcuni buoni artefatti, creo una regola Sigma e la sottopongo.
Questa esperienza ti ha aiutato a crescere professionalmente?
Sì, esattamente. Ad esempio, sono molto attento alle raccomandazioni del Team SOC Prime quando dicono che la mia regola è debole o che devo regolare alcuni parametri di rilevamento. Questo tipo di raccomandazioni mi aiuta molto anche nel mio lavoro. Posso effettuare una miglior messa a punto e ridurre gli avvisi di falso positivo. Penso di aver guadagnato molto dalla mia esperienza partecipando al Threat Bounty Program.
Qual è stata la tua principale motivazione per partecipare al Threat Bounty? Era il denaro, l’auto-miglioramento o forse una sfida?
Per creare regole per il Threat Bounty Program, devo leggere notizie sui minacce emergenti. Questo mi aiuta molto nel mio lavoro quotidiano perché le mie responsabilità includono operazioni di cyber threat intelligence. Significa che devo rimanere connesso con le informazioni sulle minacce emergenti e creare regole di rilevamento quasi ogni giorno. In realtà , partecipare al Threat Bounty Program e svolgere il mio lavoro quotidiano sono strettamente collegati, e non c’è una grande differenza. Questo è il motivo per cui incoraggio tutti a partecipare al Threat Bounty Program, che ci aiuterà ad elevare le nostre competenze e sarà vantaggioso per le aziende per cui lavoriamo.
Qual è la tua motivazione personale per continuare a contribuire con regole a Threat Bounty?
Prima di tutto, voglio contribuire alla comunità internazionale perché voglio essere famoso. Questa è la mia motivazione personale e il mio ego. Sicuramente, voglio avere un reddito aggiuntivo e essere in grado di comprare quello che voglio. Un’altra importante motivazione per me è che posso mostrare la mia carriera e le mie competenze partecipando al Threat Bounty Program. Posso aggiungerlo al mio CV quando faccio domanda per un nuovo lavoro nel mercato della cyber sicurezza internazionale.
Parliamo della tua comunità . Condividi la tua esperienza e consigli ai tuoi amici e colleghi di unirsi al Threat Bounty Program?
Sì, certo, alcuni dei miei amici contribuiscono già attivamente al Threat Bounty Program. Per quelli che non sono ancora membri di questo programma, incoraggio sempre a partecipare. Anche se riceverete molti rifiuti all’inizio, parallelamente, come ho già detto, è una grande opportunità per imparare come creare regole di rilevamento mature. Non mollate!
L’altro vantaggio è che stiamo creando regole Sigma, quindi sappiamo cos’è l’attività anormale e possiamo migliorare meglio le regole esistenti. Questo è il tipo di elevazione delle competenze che si può guadagnare partecipando al Threat Bounty Program.
Come pianifichi di svilupparti ulteriormente professionalmente? Ti affidi a SOC Prime per questo?
Con l’assistenza di SOC Prime — e davvero è una delle parti principali del mio sviluppo professionale — voglio diventare un esperto di cyber threat intelligence in cinque anni. Con l’assistenza di SOC Prime, ho avuto la possibilità di interagire con la comunità internazionale sul server Discord e ricevere feedback dal team di verifica, che è anche una parte importante dell’auto-miglioramento.
Inoltre, con Uncoder AI, posso facilmente convertire le regole Sigma nel linguaggio EDR che usiamo nella nostra azienda, cosa che è anche utile.
La tua esperienza è molto interessante e stimolante. Credo che più appassionati che stanno appena iniziando le loro carriere dovrebbero seguire il tuo esempio e i tuoi consigli e unirsi al Threat Bounty Program.Â
