開発者インタビュー:アダム・スワン
私たちはDeveloper Program(https://my.socprime.com/en/tdm-developers)の参加者である脅威ハンターやサイバーセキュリティ愛好家とのインタビューシリーズを続けており、ウェブ上で関連する脅威を探し、その検出のためのユニークなコンテンツを作成している素晴らしい人々を紹介します。ご紹介します SOC Primeのシニア脅威ハンティングエンジニア – アダム・スワン。
アダム、 ご自身について少し教えてください。また、あなたの脅威ハンティング経験についても伺いたいです。
AOLチャットルームが流行していた子供の頃、特定のリンクにアクセスすることで他人のアウェイメッセージを変更するトリックに出会い、魅了されたことを覚えています。こうした‘ハッキング’の一端を垣間見ることが、多少無目的にこのキャリアパスを進むきっかけとなりました。高校では利用可能なすべてのコーディングクラスを受講し(正直に言えば私が興味を持った唯一のクラスでした)、大学プログラムを見ているうちにサイバーセキュリティをキャリアパスにできることを知りました。最終的にペンシルベニア工科大学の情報保証プログラムに入学しました。このプログラムは技術と政策のミックスであり、最終的には脅威ハンティングへの扉を開いてくれました。
大学を卒業した後、すぐに米国国防総省の8570に準拠するための認証収集を開始し、そこで働いている間にさらに技術的な機会が開かれることを期待しました。しかし、CISSPを含むいくつかの認証を取得した後も‘すべてのボックスをチェック’しても、本当に何も知らないと感じました。その時、マルウェア分析のポジションが開かれ、マネージャーがGREMの認定を取得しなければならないと言われました。マルウェア分析の前知識がなかったため、数週間の集中学習の後、認定に挑戦しました。この教材は非常に楽しめ、最終的に高度な技術的作業への道が開けたと感じました。ジュニアポジションに受け入れられ、マルウェア分析、インシデントレスポンス、デッドボックスフォレンジックのスキルを数年間磨きました。
しかし、ネイト(@neu5ron)がチームに加わるよう頼んでくるまでは、本当に脅威ハンティングに没頭することはありませんでした。彼がElasticを紹介してくれ、私たちはWindowsのイベントログを集中化し、検索する力に夢中になりました。これがきっかけとなり、Windowsログの力を広めるためのちょっとしたスピーキングツアーに出かけました。この時期にハンターとなり、一度も振り返ることはありませんでした。現在約2年半ほど実践しています。おそらくSOC Primeがインタビューした他のアナリストに比べれば、まだ新人です。
さて、業界における脅威ハンティングの最も重要なトレンドは何だと思いますか?
三つのトレンドに触れたいと思います。
第一に、脅威ハンティングプログラムを開始する組織が増えているか、既存のSOC機能に脅威ハンティングのコアコンセプトを追加しています。脅威ハンティングの基本は、セキュリティプログラムの改善に非常に効果的であると私は考えています。
第二に、脅威ハンティングにおけるもう一つのトレンドは、エンドポイント検出と対応(EDR)への依存です。システム上の重要なイベントに関する豊富なパッシブデータへのアクセスを提供し、アナリストが検出ロジックを記述したり手動で分析を行ったりできるものを好みます。リーダーシップは、完全に脅威検出を簡素化または自動化すると主張するベンダーに注意すべきです。対抗者はこれらのツールを認識しており、避けられることもあります。
最後に、脅威ハンティングコミュニティは共有なしでは存在せず、そこに至ることもありませんでした。脅威ハンティングにおける共有を可能にするSIGMAのようなプロジェクトは、今後の成功のための堅実な基盤を築きました。
アダム、シグマについてですが、シグマを使い始めたときの最初の経験はどうでしたか?
SIGMAはその発表から意識にありましたが、生産における初めての使用は2018年初頭でした。ある顧客が数ヶ月分のWindowsログを収集していましたが、既存のベンダー検出以外に多くの検出やアラートがありませんでした。SIEMエンジニアの助けを借りて、関連する公開SIGMAルールを展開しました。
そして、脅威ハンティングツールとしてのSigmaの主な利点についてはどう思いますか? Sigmaはどのようにして組織のサイバーディフェンスの構築方法を変えることができますか?
まず第一に、SIGMAは異なるアーキテクチャを持つ組織間で検出ロジックを共有することを可能にしますが、データソースや脅威が共通しています。例えば、私がSplunkを持ち、あなたがElasticを持っていて、両方がWindowsログを収集している場合、SIGMAを共通言語として使用し、共通の脅威であるランサムウェアなどに対する検出ロジックを共有できます。
第二に、SIGMAは、検出ロジックを記述し、SIEMのアラートに(簡単には)統合され得ない魅力的なメタデータで囲むことを可能にします。例えば、一部のSIEMでMITRE ATT&CKのカバレッジを追跡している場合、これらのルールを関連する技術に戻すのは明らかではないし簡単でもありません。SIGMA YAMLファイルを使用すると、ルールに自由にタグを付けることができます。
第三に、SIGMAで書かれた検出ロジックを維持すれば、新しいSIEMの導入が避けられないときに成功することになります。あなたのSOCが突然新しいSIEMを導入する責任を負わされたり(買収中に)、リーダーシップが新しいSIEMに切り替えることを決定したりしても、SIGMAを使用することで、新しい技術の迅速な移行や採用を可能にします。これは特に、SOC/脅威ハンティングをサービスとして提供している場合(MSSP)に重要です。
新しいSigmaルールを書く上で最も複雑で時間のかかる部分は何だと思いますか?どのくらいの平均時間で新しいSigmaルールを作成しますか? Sigmaを新しいルールを書くためのツールとして使用するのは便利ですか?また、どのルールを作成するかどのように決めていますか?
もっと直接的に行動可能なルールは、直接的な観察に基づいています。しかし、敵対者の行動やシステムへの影響についての洗練された仮説に基づいたルールも同様に有効です。SIGMAルールを書く際、最も時間のかかる部分は、あなたが書いたロジックが意図した技術/ツール/脅威を検出するだろうと確認するための研究と検証です。SIGMAでのルールを書くこと自体は、どのSIEMに対してもクエリを作成するのと大した時間はかかりません。これはSIGMAが邪魔をせず、文法がすぐに慣れるからです。
クオリティを保証するために、私はSIGMAアラートを書く全ての人がダニエル・ボハノン氏の頑丈なシグネチャーに関する講演を心に留めることを強くお勧めします(https://www.slideshare.net/DanielBohannon2/signaturesaredead-long-live-resilient-signatures)。
シグマのUIに関して、アダムさんの経験を教えてください。開発者のためにより使いやすくするための考えはありますか?
SIGMA UIは素晴らしいです。私はuncoder.ioを使用して、私のシグマルールが変換されることを確認します。ルールをコピー&ペーストするのは非常に簡単です。例えば、異なるバックエンドとの互換性に対する提案や推奨をSIGMA UIが提供してくれると良いです。例えば、ワイルドカードに大きく依存すると、Elastic互換性でトラブルに遭う可能性があります。
アダム、コンテンツライターとして、おそらくラボを持っているでしょう。ルールをどのようにテストし、どのログソースで作業するのを好んでいますか?
攻撃をシミュレートし、シグネチャの強靭性を確認/テストするためのラボを持つことは非常に重要です。私は、平均的な組織がアクセスできるログで作業するのを好みます。今日、ネイティブのエンドポイントロギング用のルールを書くことは最も広い範囲をカバーすることです。
来年、組織にとって最大のリスクをもたらすと思われるサイバー脅威の種類は何ですか?そのような脅威に対する検出能力を向上させるための提案はありますか?
脅威は組織によって大きく異なります。平均的な組織にとって最大の脅威は、ワーム感染可能なエクスプロイトや技術のワーム感染可能なランサムウェア(または破壊的なマルウェア)への採用だと言えるでしょう。シュレディンガーの侵入の時代は平均的な組織には終わり、ほとんどの組織がデータを人質に取られた時にハッキングされたことを知るでしょう。幸い、この種の攻撃を防ぎ検出する方法は比較的成熟しています。これらの方法の実行は、ネットワーク/システムの範囲と複雑さによって、比較的シンプルなものから非常に複雑なものまで様々です。従って、私の提案は本当にリーダーシップに対するものです。可能な限り、シンプルさに向かって進むことです。
SOC Primeでは、サイバーセキュリティの専門家間のコンテンツ共有を促進するためのThreat Bounty Programを立ち上げました。アダムさん、Sigmaルールやその他の脅威検出コンテンツの共有を報いるアイデアはどう思いますか?
はい。もし何らかのセキュリティリサーチをしているのなら、検出をどのように共有できるか考えてください。すべてのやるべきことは、あなたのラボのログの詳細度を上げ、概念実証を実行した後で検出の可能性があるログを確認することです。どのように始めれば良いかわからない場合は、私に連絡してください @acalarch と、私があなたにそれが非常にシンプルであることを約束します。
アダム、どのキャリアパスを選ぶべきか決めている若いサイバーセキュリティスペシャリストへのおすすめは何ですか?
私がしておけばよかったことを以下に挙げます:
- カンファレンスに出席し、取得できるトレーニングを活用してください。それは安く、同僚や潜在的なメンターに囲まれることができます。
- 自分自身を擁護し、懐疑的/現実的であること。他の意図を公にしない、意図について騒ぐ、メンターを求める、そして進むことを恐れない。
