開発者インタビュー：シティコン・サングラッタナピタク

本日、読者の皆様にThreat Detection Marketplaceで新しい検出コンテンツの著者を紹介したいと思います。紹介するのは、SOC Prime Threat Bounty Programの積極的なメンバー、シッティコーン・サングラッタナピタックです。

Threat Bounty Programについてもっと読む – https://my.socprime.com/tdm-developers
Threat Bounty Program開発者への他のインタビュー – https://socprime.com/tag/interview/

あなた自身とサイバーセキュリティの専門家としての歩みについて少し教えてください。

私の名前はシッティコーンで、タイから来ました。大学時代からサイバーセキュリティに興味がありました。この分野での仕事をインフォメーションセキュリティエンジニアとして始めました。お客様にWAF、NGFW、SIEMなどのセキュリティソリューションのサポートを提供していました。特に、SIEMソリューションに興味を持ちました。それは複数のソース、複数のプロダクトからの関連データを集約し、正常な活動からの逸脱を特定するために多くのイベントを相関させるからです。仕事を変えた時、私は地元のMSSPで働いていました。そして2016年に、ArcSightのためのハンティングパッケージを探していた時にSOC Primeのことを初めて聞きました。SIEMエンジニア、SOCアナリストスペシャリスト、脅威インテリジェンスアナリストとして多くの役割を担いました。現在、私は脅威ハンティング、脅威インテリジェンスとセキュリティ研究者として働いています。

シッティコーン、Threat Bounty Programに参加することで、貢献される脅威検出コンテンツのリーダーの一人になりましたね。このコミュニティとコンテンツを共有する動機は何ですか？

レッドチームスキルを必要とするバグバウンティプログラムは既に良く知られています。しかし、企業の中にはブルーチームスキルを挑戦するためのバウンティプログラムも作成しているところがあるのか興味がありました。ペンテスターとしてスキル、ビジョン、新しいアイデアを開発し、金銭を稼ぐ上で良い方法です。

今年新しい仕事を始めた時、新しい検出コンテンツが必要になり、Threat Detection Marketplaceを思い出しました。SOC Primeのウェブサイトを訪れ、このプログラムに参加することに決めました。私は10年以上のセキュリティオペレーションセンターと脅威ハンティングの経験を持っており、Threat Detection Marketplaceコミュニティのメンバーに有益な新しい検出コンテンツを作成できると信じています。今年、クラウドサイバー攻撃を研究し、コミュニティとこの経験を共有して大量のクラウドサイバー攻撃を防ぎたいと思っています。

クラウド関連のコンテンツを多く作成されていますが、それにはどのような理由があるのでしょうか？

今日、ほとんどの組織はクラウドに移行しています。なぜなら、クラウドは簡単に管理でき、コストを削減し、スケーラブルだからです。多くの人々が未だにクラウドのサイバーセキュリティについての知識や理解を欠いていますが、事業主は商品を顧客にできるだけ早く提供したいと考えています。このため、一連の脆弱性や弱点が発生し、ハッカーのターゲットとなり、クラウドシステムに侵入してデータを盗もうとします。管理者がクラウドに関するサイバーセキュリティを無視すると、ハッカーにとって簡単なターゲットになります。過去1年間、多くのクラウドシステムから多くの重要な情報や顧客データが漏えいしました。このような理由から、私は現状に追いつくために新しい検出方法を研究しようとしています。

Sigmaルールの記述を習得するのにどれくらい時間がかかりましたか？この習得に必要な技術的なバックグラウンドは何ですか？シッティコーン、IOC Sigmaルールや脅威ハンティングSigmaルールの新規作成には通常どれくらい時間がかかりますか？

基本的に、Sigmaルールを書くことを先月から始めました。トーマス・パツケのウェブサイトでSigmaルールの書き方についての記事を読み、Threat Detection MarketplaceやGitHubで多くのSigmaルールを見ました。私のArcSight SIEM用のルールをSigmaルールに翻訳し、Threat Detection Marketplaceに提出しようとしました。”承認”状態を得るために何度か修正が必要でしたが、それによってSigmaをより理解する助けとなりました。マスターになるには、非常によく理解している行動やログソースに基づいてSigmaルールを書き始めることが重要だと考えています。それほど時間はかかりません。

新しいSigmaルールを書くのに必要な平均時間は、そのルールの複雑さ、イベントログの例、そして誤検知を減らすための特定の条件に依存します。一般的には、一つのルールに約15分から60分かかります。

シッティコーン、パンデミックはサイバーセキュリティの実践者にとってもう一つの課題です。多くの脅威アクターが活動を増やしています。それが日常業務にどのように影響を与えたか教えてください。

私たちはハッカーの視点から考える必要があります。リモートチャネル、クラウドコンソール管理、クライアント管理のセキュリティ監視を強化し、パンデミックキャンペーンに関する最新の脅威インテリジェンスを監視し、IoCをセキュリティ保護に適用していくべきです。

SOC Prime Threat Bounty Programの最大の利点は何だと思いますか？

Threat Bountyプログラムは、ブルーチームがSOCと脅威のハンティング経験で収益化できる完璧なプログラムです。それはペンテスターのためのバグバウンティプログラムに劣りません。新しい攻撃や新しいマルウェアに対する新しい検出方法を学び、創造的に考える新しい情熱です。