開発者インタビュー: Den Iuzvyk
SOC Primeは、SOC Prime Threat Bounty Developer Programの参加者へのインタビューをもう一度紹介します(https://my.socprime.com/en/tdm-developers)。本日紹介するのは、Threat Bounty Programに参加している期間中に60以上の高品質で検出価値のあるコミュニティルールを発表したDen Iuzvykです。コンテンツ開発者へのインタビューの詳細はこちらのブログでお読みください:https://socprime.com/en/tag/interview/
あなた自身と脅威ハンティングの経験について少し教えてください。
私の名前はDen Iuzvykです。ウクライナのキーウ出身で、34歳です。Simplerityという会社でCTOをしています。
私のキャリアは2003年にソフトウェア開発者として始まりました。2015年にサイバーセキュリティに興味を持つようになりました。その後、ログ分析と脅威ハンティングのためのプラットフォームを作成した会社の共同設立者となりました。様々なマルウェア検出ツールを作成し、攻撃を自動化してシミュレートし、現代の検出システムの弱点をチェックしました。
Den、脅威ハンティングと脅威検出の違いは何ですか?
脅威ハンティングは、既存のセキュリティシステムやアラームシステムをすり抜けた脅威を積極的に検出することに焦点を当てた脅威検出プロセスの一部です。脅威検出は、脅威のライフサイクルの各段階での検出を目指す一連の行動です。
あなたの意見では、Sigmaが脅威ハンティングにおいて効率的なツールである理由は何ですか?
Sigmaは脅威ハンターにとって理想的な選択です。なぜなら、高レベルな形式が特定のバックエンドに縛られることなく、分析の使用、保存、共有を可能にするからです。Sigmaはログのフィールド名を脇に置き、結果に集中させてくれます。私がSigmaでお気に入りの部分は「参照」であり、それは著者が検出作成のためにインスパイアされたソースです。
脅威ハンティングのためにSigmaルールを開発するためにはどんなスキルが必要ですか?
まず第一に、データ処理における分析的アプローチです。なぜなら、効果的な検出を作成するために使用できるパターンを見つける必要があるからです。
第二のスキルは攻撃者のTTPを知ることです。
第三のポイントは、オペレーティングシステムの内部構造をよく理解していることです。
四番目は、ネットワークセキュリティとデータセキュリティの理解です。
検出するのが最も難しいタイプの脅威は何ですか?Den、実際の例を挙げてもらえますか?
最も検出するのが難しいのはルートキットです。次に、バグでリリースされた署名付きドライバーで、これがカーネルモードで直接動作を許可し、その結果不正使用者がセキュリティシステムを回避できるものです。次に来るのは.NET Frameworkを使用した脅威です(AppDomainManagerおよびアセンブリの読み込み)。しかし私たちを幸せにしてくれるのは、潜在的な脅威ベクトルの理解の増加と、その結果、.NETバージョン4.8とのAMSIの統合や、ETW(イベントWindows向けトレース)などの新しい視認性が現れることです。
SOC PrimeのThreat Bounty Programの最大の利益は何だと思いますか?
検出ルール作成者の立場から見ると、Threat Bounty Programは顧客のニーズを提示し、研究に深く関与させて知識と経験を得るとともに、SOC Primeから報酬を得ることができます。
データ漏洩は現在多くの組織にとって非常に一般的な問題ですが、(無責任な従業員によるものでない場合)データ侵害を回避するために最も効果的と思われる対策は何ですか?
それは会社の種類によって異なる場合がありますが、選択された戦略に依存します。しかし、次のステップは重要です:
現在のセキュリティシステムの評価、脆弱性エリアのトラブルシューティング。
データ分類。どこに何の情報が保存されているのかを知ることは非常に重要です。すべての情報が保護される必要はありません。
アクセス分類。情報へのアクセス権を持つ人物を知ることが重要です。物理的およびネットワークにおいて。
継続的なモニタリング。データストレージとワークステーションから受信したログの収集と分析。
従業員の教育と適時の情報提供。
暗号化。保存されたすべてのデータおよび転送されるデータは暗号化される必要があります。
パッチ管理。
経験豊富な脅威ハンターとして、組織が強力なサイバー防御を構築したい場合の最優先事項は何だと思いますか?(その理由も)
MFAの有効化 🙂私の意見では、まず第一に、各ステップの重要性を理解する必要があります。魔法の弾丸はなく、それは継続的なプロセスです。ここでは積極的なアプローチが最良の選択ですが、初期にはかなりの費用がかかりますが、将来的には最もコストパフォーマンスが高いです。企業のサイバーセキュリティアプローチの開発における優先事項は、全体のビジネス運営が依存する事業上重要な資産を定義することです。