開発者インタビュー：フローリアン・ロス

開発者プログラムの参加者へのインタビューを続けています（https://my.socprime.com/en/tdm-developers）。前回のインタビューはこちらです：https://socprime.com/blog/interview-with-developer-lee-archinal/

フローリアン・ロスをご紹介します。

フローリアン・ロスはNextron Systems GmbHのCTOです。彼はAPTスキャナーTHOR – アタッカー活動とハックツールのスキャナーの開発者であり、Nextronの最も包括的な手作りのYaraルールフィードサービスであるValhallaの開発者でもあります。
彼はトーマス・パツケと一緒にSigmaプロジェクトを作成しました。また、彼はyarGen、LOKI IOCスキャナー、yarAnalyzer、FENRIR（Bash IOCスキャナー）およびAPT Group Mapping（Google Docs）、YARA ExchangeメンバーなどのいくつかのオープンソースGithubプロジェクトの著者でもあります。

フローリアン、あなた自身についてと、サイバーセキュリティ分野での経験について少し教えていただけますか？私は2003年にフランクフルトのシーメンスでオフェンシブ研究者としてキャリアを始めました。その時、私は多くのペネトレーションテストを行い、IDS/IPSシステムを調整し、フランクフルト地域の顧客（銀行や他の大企業）向けにセキュリティモニタリングソリューションを構築していました。2012年にはウイルスの発生ではなく、大手ドイツ企業の持続的なセキュリティインシデントの形で初めてのインシデントを経験しました。それ以来、同様の問題を抱える他の顧客のために働き始め、脅威を検出するためのツール、ガイドライン、および検出メカニズムを開発し始めました。あなたはSigmaの発明者の一人ですが、それはどのようなものでしたか？どのようにしてSigmaのようなものを作ろうと思ったのですか？そのアイデアは、顧客向けの脅威検出マニュアルのユースケース一式を作成していた時に生まれました。顧客は私にさまざまなベンダーのPDFをいくつか渡し、それらの脅威を彼の新しいSIEMシステムで検出するための検索クエリを抽出し書くように頼みました。それは「活用しきれていない」という感じでした。SIEM固有の検索クエリを抽出して書き、一人の顧客が使えるだけではもったいないと思いました。私の研究がファイリングキャビネットに印刷されるところを想像しながら、こう考えました。「なんて無駄なんだ。これらの検出アイデアを表現するためのより良い、より一般的な形式があるに違いない。ここには私のように他のSIEMシステム用に同じドキュメントと同じ検索クエリを作成しているコンサルタントがたくさんいるはずだ。われわれのうち一人が一般的な形式を表現し、それを他の人々がターゲットシステムのために特定の形式に変換できる方法を共有できたら、全員が利益を得るだろう。」Sigmaは検出ルールを書くツールとしてどれほど便利だと思いますか？多くの異なるSIEMまたはログ管理プラットフォームで広くサポートされている標準に機能を統合することを決定しました。1つまたは2つのプラットフォームでのみサポートされているSIEM固有の機能を除外しました。このようにして、標準をクリーンで書きやすく読みやすいものに保っています。新たに統合された「regex」モディファイアすら、すべてのバックエンドでまだサポートされていないことを想像してください。したがって、ルールを書くのにできる限り便利ですが、複雑な検出アイデアを表現することはできません。フローリアン、Sigmaを脅威ハンティングツールとしてお勧めしますか？はい。一般的な悪意のある行動を検出するためにSigmaのルールを書くことを人々に奨励しているため、あなたのアンチウイルスや他のソリューションが見逃している脅威を検出するのに役立ちます。公開リポジトリには数年前の検出アイデアが数多く含まれていますが、新しいEmotetキャンペーンを検出し、誤検知を一切発生させません。これらのルールは私たちが誇りに思い、新しいユーザーにとって最も価値があります。Sigmaのルールのほとんどが無料でオープンであることを想像してください。それはベンダーが非常に高価格で販売する検出ノウハウです。Sigmaを使用することで、既存のログ管理ソリューションを強化し、コミュニティによって提供される検出メソッドを追加費用なしで適用できます。さらに良いことに、予算がある場合は、SOC PrimeのTDMで提供されるルールのような商用オファーでこれらのルールを簡単に拡張できます。Sigmaの人気が高い理由は、その便宜性だけでなく、コミュニティがコンテンツを積極的に共有しているという事実にもあります。共有は無料ですが、複雑で要求の高いコンテンツを書くことが世界をより安全にするだけでなく、お金を稼ぐというアイデアは気に入っていますか。はい、検出アイデアを共有する2つの方法が共存するべきだと考えています。それは市場の進化の自然な方法です。市場は多様化し成長します。どのルールを作成するかについて、どのように決定しますか？私はしばしばコミュニティのためにルールを作成します。方法が非常に具体的で、ルールの作成に多大な労力を費やした場合や、方法が企業顧客（例：APT関連の行動）のみを対象とする場合に限り、有料コンテンツとしてルールを作成することを決定します。どのルールがコミュニティで使用されるのかをどのように選択しますか？これらのルールの主な基準は何ですか？私はTwitterでホットなトピックである現在の脅威に対してルールを提供するのが好きです。例えば、誰かが新しい脅威を報告し、サンプル（エクスプロイトコーダーまたはマルウェア）を提供すると、Sysmonがインストールされた分析用VMを起動し、サンプルを実行し、ローカルログを確認し、ルールを書いてそれを公開リポジトリにプッシュします。これにかかる時間は10分から30分です。公開リポジトリを自動的に取得して適用するユーザーが、Twitterでの公開出現から1時間以内にその脅威を検出する方法をSIEMに得ることを想像してください。過去には、これはほとんど不可能でしたが、公共のチャンネルをモニターし、脅威を分析し、独自の検索クエリを書くにはかなり多くのリソースが必要でした。新しいルールを作成するのにどれくらいの時間がかかりますか？数分です。私は通常、書きたいものに類似した古いものを取り、それをテンプレートとして使用します。多くの異なるログソースに対して300以上のルールがあり、選択することができます。Sigma UIを使用し始めるために何が足りないのでしょうか？何も足りません。私はテキストエディタでYAMLシンタックスサポートを持つことを好むため、Sigma UIの支援がなくても有効なルールを書くことができます。フローリアン、コンテンツライターとして、多分ラボを持っていることでしょう。質問ですが、ルールをどのようにテストし、どのログソースを使うことを好みますか？私は異なるVMを持っています。WindowsマシンにはSysmonがインストールされており、Linuxマシンには監視設定されたauditdがあります。正直なところ、ログを内部のログ管理システムに転送することはあまりなく、エンドポイントでSigmaルールを適用できるスキャナーを使ってルールをローカルで確認します。開発者プログラムが世界中の組織のサイバーセキュリティ改善に役立つと思いますか？はい。それはセキュリティ研究者に必要なインセンティブを生み出し、私たちは皆、より多くのコンテンツを、無料、オープン、商用のいずれであれ得ることができるからです。
特に攻撃的なセクターの研究者は、エンゲージメントの合間に素晴らしいルールを作成し、安定した収入を得ることができます。市場にいなかった新しいルール作成者が現れTDMのような市場にコンテンツを追加し、コンテンツが多いほど、たとえ有料でも良いものです。人々が彼らのコンテンツを購入し始める前に、彼らはしばしば彼らのルールの品質の証明を提供しなければなりません。彼らは研究記事や公開投稿に無料ルールを追加します。皆が勝者です。
企業はキュレーションされたルールフィードにアクセスするか、さまざまなリポジトリでオープンソースのルールセットを使用できます。彼らは他の人にその期間のルール収集とメンテナンスを依頼することも、自社の従業員に継続的に新しい脅威検出ルールを収集し維持するよう指示することもできます。増え続ける多様なソース、無料および商用は、各組織にちょうど良いソリューションを提供し、サイバーセキュリティを改善することを可能にします。