開発者へのインタビュー：オスマン・デミル

私たちは、SOC Primeの開発者プログラムの参加者である新しい インタビュー をご紹介します (https://my.socprime.com/en/tdm-developers)。オスマン・デミルに会いましょう。ご自身と脅威ハンティングの経験について少し教えてください。こんにちは、私はオスマン・デミルです。トルコのイスタンブールに住んでおり、25歳です。2017年にコンピューター工学の教育を修了し、民間の機関でセキュリティエンジニアとして働いています。
私は2年間脅威ハンティングを行っており、SOCチームで現在の脅威の検出と統合に取り組んでいます。
脅威ハンティングに関する世界の最新ニュースを追い、攻撃グループの手法を研究し、検出ルールを開発しています。攻撃グループに追従するために最善を尽くしています。脅威ハンティングと脅威検出の違いは何ですか？脅威ハンティングは、攻撃が完全に成功する前に、機関にとって脅威と見なされる攻撃をできるだけ早く検出するプロセスです。脅威ハンティングでは人間の要素がより重要です。
脅威検出は、攻撃の全体的な検出プロセスを含みます。脅威検出製品をよく理解し、システム内のログをしっかり確認する必要があります。あなたの意見では、Sigmaが脅威ハンティングにおいて非常に効率的なツールである理由は何ですか？Sigmaは人々に共通の言語を提供します。この方法により、Sigmaルールは製品に関係なく、SIEMシステムに簡単に統合することができます。
機関は自分たちが特定した攻撃の検出ルールを、製品に関係なく他の機関と簡単に共有できます。
Sigmaのシンプルで柔軟な構造のおかげで、包括的なルールを作成することができます。脅威ハンティング用のSigmaルールを開発するのに必要なスキルは何ですか？何よりもまず、好奇心旺盛で研究者であることが必要です。トレンドの脅威ルールを調査し、検出方法を抽出する必要があります。SysmonとAuditdのログをよく知っておくべきです。Web側に現れる攻撃ベクトルを検出するためにウェブアクセスログをマスターする必要があります。一般にログソースは熟知しておかなければなりません。検出が最も複雑な脅威のタイプは何ですか？実生活からの例を挙げてもいいですか？最も検出が難しいのは0day脅威です。0day攻撃の情報が公開されていないため、イベント記録についての考えを進めることができず、予測的な検出方法のみを作成することができます。
日常生活の例を挙げると、smbv3 RCE (CVE-2020-0796) 攻撃のために検出方法を作成することはできませんでしたが、予測的な検出ルールを作成することは可能です。SOC PrimeのThreat Bounty Programの最大の利点は何だとお考えですか？自分の例を挙げると、Soc PrimeのThreat Bounty Programは私の研究者としてのアイデンティティを保つのに役立っています。
自分のルールが企業のサイバーセキュリティプロセスを助けていることを知ることは名誉です。
最も重要な部分は、このプログラムからお金を稼ぐことができるということです。現在多くの組織でデータ漏洩は非常に一般的な問題です。データブリーチを防ぐためには（無責任な従業員によるものでない場合）、どのような対策が最も効果的だと思いますか？このための最も効果的な検出方法は、DLP製品を使用し、ユーザーの出口トラフィックをフルパケットデータとして記録することです。この方法で、出てくるパケットを分析し、検出ルールを向上させることができます。
クリティカルなデータ（個人情報、顧客データ）は十分に監視され、許可されていないアクセスや異常な時間帯は常に疑問視されるべきです。経験豊富な脅威ハンターとして、強固なサイバー防御を構築したいと考える組織のための最優先事項は何だと思いますか？ （理由）強力なサイバーセキュリティは、アクティブなコミュニティによって構成されるべきです。これは研究者と開発者を集めることによって可能になります。
人材の教育に投資しない限り、製品への投資は意味を成しません。

よろしくお願いします。
オスマン・デミル