開発者へのインタビュー: Emir Erdogan

脅威バウンティプログラムのメンバーへのインタビューを続けています (https://my.socprime.com/en/tdm-developers)、今日はエミール・エルドアンをご紹介しましょう。エミールは2019年9月からプログラムに参加しており、110以上のSigmaルールが彼の名のもとに発表されていますが、エミールは実際の脅威を検知するためのYARAルールも公開しています。彼のルールは私たちのブログ記事によく登場します。 ルールダイジェスト, 脅威ハンティングコンテンツ、および 週間ルール.

エミール、自分自身とサイバーセキュリティの経験について少し教えてください。

2015年に大学を卒業した後、政府によって支援されているOSプロジェクト（Pardus）でビジネスアナリストとして働き始めました。

その後、サイバーセキュリティの専門家として成長したいと思い、転職しました。トルコの民間航空会社でSIEMエンジニア、SOC運用スペシャリスト、情報セキュリティとマネジメントシステムの構築のプロジェクトメンバーとして、サイバーセキュリティのさまざまな分野で働きました。

現在も、トルコの最も重要な企業の一つでSOCアナリストおよびSOCチームリードとして働いています。

Sigmaルールの作成を習得するのにどれくらい時間がかかりましたか？ 習得するのに必要な技術的背景は何ですか？ そして、新しいIOC Sigmaルールや脅威ハント用のSigmaルールを作成するのに平均してどれくらいの時間が必要ですか？

私は6ヶ月間Sigmaルールを書いています。実際には、さまざまなログソースで多くのSigmaルールを書くことがマスターになるために必要です。私の意見では、時間に関連しているわけではありません。Sigmaのマスターになりたい人は、異なるOSやセキュリティ製品のログタイプを知っている必要があります。

Sigmaルールを書くのに必要な時間は、ルールの複雑さに依存します。一般に、Sigmaルールがより複雑で異なるログタイプを含む場合、約30分かかります。

最も検出が難しい脅威の種類は何ですか？ エミール、実生活の例を挙げてもらえますか？

誰もが知っているように、ルートキットのようなマルウェアの一部は検出が非常に難しいです。しかし、最近では回避技術や難読化方法の使用が増加しており、それらの一部は検出が困難です。したがって、私はこれらの技術について言及したいと思います。

従来の検出ツールは難読化されたマルウェアやファイルに簡単に打ち負かされることがあります。私はすべてのサイバーセキュリティ専門家が難読化されたPowerShellスクリプトやマルウェアに遭遇したことがあると確信しています。これらのファイルを分析するのは簡単ではありません。

セキュリティ制御を回避するための技術はたくさんあります。たとえば、多くの人々がビットコイン恐喝ブラックメールに遭遇しています。 メールでは、あなたのコンピュータをハックして成人向けウェブサイトを訪問しているのを録画したと主張しています。彼らはビデオを数時間以内に友人や家族に配布すると脅迫し、そのBitcoinアカウントに支払うよう要求します。効果的な解決策は、安全なメールゲートウェイでコンテンツフィルタリングルールを書き、これらの種類のメールから守ることです。たとえ ルールがビットコインやハッキングといったキーワードによって書かれていても、攻撃者は脅迫テキストを添付ファイル、パスワード保護されたpdf、本文のイメージファイルとして送ることができます。この方法でコンテンツフィルタリングルールを回避します。

パンデミックはサイバーセキュリティの実務者にとってもう一つの課題です。それが毎日の仕事にどのように影響したか教えてください。ホームライフハックを教えてもらえますか？ 

今ではサイバー攻撃が日ごとに増加しているため、より精力的に働いていると言えます。たとえば、貨物会社の配達に関するフィッシング攻撃の数やCOVID-19をテーマにしたキャンペーンは増加しています。

世界中と同様に、自宅で仕事を続けています。サイバーセキュリティの専門家にとっては問題ないと思います。なぜなら、私たちは自宅でコンピュータの前にいることが大好きだからです。

社会学的な影響を除いて、今のところ悪影響を観察していないことを願っています。この質問のおかげで、皆さんに健康的な生活を送ることを祈ります。

異なる脅威アクターによって最も一般的に使用されているツールは何ですか？ それに対する防御を改善するためのあなたの推奨は何ですか？ 例を挙げていただけると助かります！

実際、異なる脅威アクターによって使用される一般的なツールは多くあります。

PowerShellは素晴らしい例になると思います。それは合法的で本当に強力です。攻撃者だけでなく、ほとんどのシステム管理者も日常業務にPSスクリプトを必要としており、通常使用しています。このため、悪意のある目的で使用されているかどうかを理解するのは困難です。しかし、悪意のある活動を検出するための手がかりはいくつかあります。仕事をするのにPowerShellが必要でない場合は、それを無効にしてください。必要な場合は、PowerShellのロギングを有効にし、SOCで監視する必要があります。PowerShell SIEMルールは書かれ、常に強化されるべきです。

PowerShellとは別に、Webシェルは異なる脅威アクターによって一般的に使用されます。Webシェルはターゲットにアップロードされ、侵害されたサーバーにリモートアクセスする悪意のあるスクリプトです。Webシェルは最も一般的で効果的なバックドアの1つであることが知られています。攻撃者はまずWebサーバーの脆弱性を利用してWebシェルをアップロードするか、事前に侵害された別のサーバー/ホストからアップロードすることができます。したがって、すべてのサーバー/ホストがセキュリティパッチで最新であることを確認することが最も重要です。すべてのWebサーバーが監視されているSysmonログを使用して、Webシェルを検出する関連ルールを開発することができます。Webシェルを検出するためのTDM上のSigmaルールが多数あります。簡単な例を挙げたいと思います。IISプロセス(w3wp.exe)がcmd.exeを呼び出すと、これは疑わしいものとしてタグ付けされ、SOCアナリストによって分析されるべきです。

Threat Detection Marketplaceに寄稿された多くの脅威検出コンテンツが無料で利用可能であり、世界中のサイバーセキュリティ専門家が脅威を検出するのに役立っています。コミュニティとあなたのコンテンツを共有する動機は何ですか？

攻撃者は常に一歩先を行っています。したがって、彼らの手法、戦術、技術を学び、その攻撃を防ぐことが必要です。

私の意見では、研究者や機関間で情報と知識を共有することは、サイバー攻撃を防ぎ、物質的および道徳的な損失を防ぐために非常に重要です。

実際、パンデミック中に病院を攻撃する団体が見られ、人々のパニック状態を利用している攻撃者がいるのを目にすると、私は自分のコンテンツをコミュニティと共有することによりいっそう動機付けられます。

エミール、SOC Prime 脅威バウンティプログラムの最大の利点は何だと思いますか？

企業や開発者にとって、脅威バウンティプログラムには多くの利点があります。新たな脅威を追跡しながら新しいSIEMルールを開発することは、すべての企業にとって大きな課題です。脅威バウンティプログラムを利用することで、企業は特定の脅威や現在の脅威に対する多くの検知を獲得できます。このコンテンツはSIEMソリューションに簡単に実装可能です。さらに、開発者は新しい脅威を追跡して新しいコンテンツを開発しています。このプログラムは、開発者がコンテンツを公開し、自身を向上させ、SOC Primeによって賞賛され、栄誉を受けるための大きな機会を提供します。

脅威バウンティプログラムの参加者とのインタビューをブログでさらに読む: https://socprime.com/en/tag/interview/