開発者とのインタビュー：ネイト・グアジェンティ

ネイト・グアジェンティについて10年以上にわたり、ネイトは複数のTB/日のインジェストにスケールしたネットワークとエンドポイントのSIEMを展開し、それと同時に展開されたソリューションの使用とトレーニングを行ってきました。ネイトがITのあらゆる側面で働いてきた経験が、エンドポイントとネットワークのセキュリティ監視の両方を行った唯一無二の経験を提供しています。彼の脅威ハンティングとインサイダー脅威検出に関する作業は、様々な会議で紹介されました。ネイトはオープンソースのHELKプロジェクト（https://github.com/Cyb3rWard0g/HELK）に貢献しており、Elastic Stackを使用したエンドポイントデータを通じた脅威ハンティングや、署名と検出方法を標準化するオープンソースプロジェクトであるSIGMAフレームワークに焦点を当てています。ネイトさん、ご自身のサイバーセキュリティの経験について、そしてElasticのようなオープンソースソリューションに注力することに決めた理由について教えてください。2012年にサイバーセキュリティのキャリアをスタートし、政府の顧客として働いていました。そこからSOCアナリストからマルウェア分析に移行しました。徐々にこれは脅威ハンティングや10Gbps以上のNSM Zeek（Bro）センサーの展開とElasticクラスターを含む技術的な役割に拡大しました。

防御者として、私たちは多くのコントロールできない課題に直面します。しかし、制御して修正できるものもあり、ベンダーからの修正や機能を次の四半期まで待つわけにはいきません。Elasticのようなオープンソースソフトウェアを展開することで、翌日には重要な防御のギャップを修正することができました。さらに、製品を使用して学ぶための財政的障壁が取り除かれたことで、自宅で理解を加速することができました。業界の中で、最も重要な脅威ハンティングのトレンドは何だとお考えですか？業界はすでに収集（テレメトリ）とビッグデータの問題が解決できることを示しました。これにより、多くのトレンドやプロセスが進化し、成熟し、存在するようになりました。これらのトレンドの一つが、データ文書化（OSSEMで示されるように）、 @Cyb3rWard0g）、データの正規化、標準化クエリ言語（SIGMA）です。さらに、組み込まれたテレメトリが企業ソリューションを置き換えたり補完するために調査されています。そしてオープンに共有されています。その結果、人々はコストの高い企業ソリューションや大規模なラボ環境なしに、この共有データを検証、探索、使用して検出やモデルを構築することができるようになりました。また、コミュニティは戦術と技術について広範な検出を構築しています。Mitre ATT&CKフレームワークのようなものはその完璧な例です。環境発見やMicrosoft Officeのプロセス生成プロセスを示す既存のSIGMAルールはこれを実践で示しています。
最後に、狩りのためのデータのグラフ化、ピボット、結合に引き続き焦点を当てます。両方とも、HELKプラットフォームがJupyter Notebookを通じて素晴らしい仕事をしていることを示しています。ソリューションアーキテクトとして、SIGMAが組織のサイバー防御の構築方法を変えることができると思いますか？20年以上にわたり、SnortルールやYaraルールはありましたが、SIGMAのようなユニバーサルな進化はありませんでした。それ以上に、ログとテレメトリのユニバーサルフォーマットは今まで存在しませんでした。そしてこれはサイバーセキュリティの基本的な構築根拠です！さらに、エンタープライズとしては、一つの技術に縛られたくありません。アナリストやオペレーターは、ログソリューションを学ぶのではなく、検出の実装に焦点を当てるべきです。たとえ今日Elastic, Splunk, QRadarを使用していても、明日新しいソリューションが登場した場合、SIGMAではサポートされるという安心感があります。

とはいえ、私の意見に関係なく、コミュニティはすでにSIGMAが脅威の検出方法を変え続けると示してきました。最良のオープンソースのハンティングソリューションであるHELKとSecurityOnionはSIGMAを実装しており、企業ベンダーからのSIGMAに関するチュートリアルやブログもあります。最初にどのルールや他の種類の脅威検出コンテンツを展開すべきかの決定をどう行いますか？業界の基本的な真実で最も説明されていると思います。a) すべての資産を保護することはできず、b) ビジネスにとって重要なものを見つけることです。最も可能性のある影響のある脅威を守ることです。例えば、私の管理ネットワークの防御経験がこの真実を直面させました。ドメイン管理者は最も心配な脅威ではなく、従来のマルウェアでもありませんでした。私が直面したのはすでに特権を持つユーザーでした。その設定変更や異常なプロセスのプロセス確認はトラブルシューティングなのか、それとも悪意のある意図の始まりなのか？このようなユーザーが数百いる中で、何を守るべきかを絞らなければなりませんでした。破壊性やネットワークの劣化、環境発見、知っておく必要のある文書の読み込み、悪意のある設定変更などです。実用的な例として、Exchange/メールサーバーがある場合、そのサーバーでのプロセス生成やファイル変更をカバーするSIGMAルールを展開すべきかもしれません。次の年に組織にとって最大のリスクをもたらすサイバー脅威の種類はどれだと考えますか？そのような脅威に対抗するために検出能力を改善するための提案はありますか？ウェブサーバー攻撃、APIの悪用、クラウドソリューションの資格情報の窃取/悪用です。ウェブやAPI攻撃に関しては、SIGMAで成熟することが継続します。WAFのようなルール、プロセス/エンドポイントルール、より高度なルール（例えば、単一IPが10の400/404ウェブサーバーエラーを引き起こした後にウェブサーバーからの500エラーが続く）を共有する機能があります。これは攻撃者が探索からそのサーバーへの実際の攻撃に成功したことを示すものかもしれません。

また、ICS（産業制御システム）は引き続きリスクとなります。ICSは私の専門分野ではありませんが、SIGMAにおけるZeekログのサポートでこの業界の検出の可能性がすでに見えています。Zeekには、多くのICSプロトコルのアナライザーがあります。企業がZeekログを展開し、コミュニティがICSのためにSIGMAルールを書くと、その結果は自明だと思います。組織が受動的から積極的なサイバー防御に移行しようとするとき、通常どのような問題に直面しますか？何を優先すべきか、どこから始めるべきかがすべての課題となると思います。質問4で述べた多くのことがこの質問にも非常に当てはまります。あなたの重要な資産を特定した後、ログ/テレメトリの収集および対応する分析/検出を検証するための大きな障害を乗り越える必要があるかもしれません。ただし、アトミックレッドチームテストフレームワーク、オープンソースデータセット（Mordor）、およびコミュニティルールの組み合わせがこの障害を大幅に削減します。サイバーセキュリティの道を選び始めたばかりの若い専門家に対して、どのようにアドバイスしますか？まず、あなたのいくつかの目標とそれを達成したときの進捗を記録してください。できる限り多くのノート（オンライン）を取ってください。非常に多くのことを非常に早く学び、その道のりで困難なことに直面することになります。したがって、どれだけ進んだかを自分自身にリマインドすることが重要です。そのノートはあなたのキャリア全体を通して参照します。

学習の観点からは、Twitterに参加してできる限り多くの研究者やテクノロジー企業をフォローしてください。そこから彼らのブログやチュートリアルをRSSリーダーでフォローし、読みましょう。この業界には多くの巨人がいます、彼らの肩の上に立つだけで簡単に彼らと肩を並べることができます。ただし、常にクレジットを与え、基本を忘れないでください。SOC PrimeのThreat Bounty Programは組織が脅威をより効率的に検出するのに役立つと思いますか？Threat Bounty Programは、IDSルールセットがすでに何千もの組織で使用されているのと同様の利点を提供します（例：Emerging Threat や Sourcefireルールセット）。しかし、世界中のさまざまな業界で働く研究者からの検出を使用できるというユニークな利点があります。さらに、コンテンツを書く研究者は、SOC Primeのプログラム内で実質的に自分自身の存在として存在します。これは、消費者がモチベーションを持ったショップから得る利益であり、この場合では研究者です。

トーマス・パツケとの前回のインタビューはこちらです：https://socprime.com/en/blog/interview-with-developer-thomas-patzke/