脅威バウンティ開発者とのインタビュー – Aung Kyaw Min Naing

SOC Primeではすでに良い伝統となっており Threat Bounty メンバーが 彼らのプロフェッショナルな道のりや彼らの経験とThreat Bountyでの達成を 共有しています。今日は、2022年6月にプログラムに参加し、集団的なサイバー防衛において積極的な貢献者としてすでにその実力を証明しているAung Kyaw Min Naingさんをご紹介します。

Aung Kyaw Min Naingによるルール

ご自身とサイバーセキュリティの経験について少し教えてください。

こんにちは！私は Aung Kyaw Min Naingです。ミャンマーのマンダレー市から来ました。2017年に電子工学を卒業して以来、サイバーセキュリティへの興味が私をこの分野でのキャリアを追求することに駆り立てました。現在、タイを拠点とするマネージドセキュリティサービスプロバイダの会社でサイバーセキュリティアナリスト（脅威ハンティング）として働いています。私の主な責任は、サイバー脅威ニュースでの悪意のある活動を積極的に検索し、行動ベースの検出を強化するための詳細な研究を行い、新たなサイバー脅威や攻撃技術に対応することです。そして、初期の段階で重要なセキュリティインシデントを効果的に管理することです。キャリア初期には、インターネットサービスプロバイダ会社のネットワークエンジニアとして実務経験を積みながら、同時にサイバーセキュリティの世界を探求していました。情熱をさらに追求するため、ローカルのITソリューション＆セキュリティ会社でDDoS防止に特化したセキュリティ・オペレーション・センター・エンジニアとしてサイバーセキュリティのプロフェッショナルとしての道を歩み始めました。また、ミャンマーの最大手ローカル民間銀行および飲料公社で、PCS-DSSプロジェクトやCISセキュリティコントロールを技術的観点から実施する役割を果たすサイバーセキュリティプロフェッショナルとして働く機会がありました。これには、VAスキャンの実施、サイバー攻撃の検出と対応のための日常的なセキュリティ監視オペレーションの従事、および内部チームや外部のサードパーティ組織のシステムエンジニアや開発者との連携が含まれます。また、この職位に就きながら、eLearnsecurityペネトレーションテスター、CompTIAサイバーセキュリティアナリスト（CySA+）、Microsoft Security Operation Analystなど、さまざまなプラットフォームからの国際的なサイバーセキュリティ認証を多数取得しました。

SOC Primeをどのようにして知りましたか？Threat Bounty Programに参加することに決めたのはなぜですか？

LinkedInで SOC Primeを発見した後、元チームメンバーが、デベロッパーとしてルールを書き、サイバー攻撃の検出に貢献するためにThreat Bounty Programに参加することを勧めてくれました。これは、毎日新たな攻撃手法を研究し、組織のサイバーセキュリティ能力の向上を支援するという私の情熱に完全に合致しています。Threat Bounty Programに参加することで、知識やスキルを向上させるだけでなく、サイバーセキュリティコミュニティに意味のある影響を与えることができると強く信じています。そして、APT（Advanced Persistent Threat）集合体の活動に特に興味があり、APTグループメンバーの心の中に何があるのか知りたいという好奇心があります。そのため、Sigmaルールの作成スキルを習得し、それを悪意ある活動を検出するために適用することを決断しました。

今日では、組織は世界的なサイバー戦争の攻撃に耐えるという挑戦に直面しています。インフラを保護するために最も効果的な対策は何だと思いますか？

Sigma言語とコミュニティ駆動のアプローチを活用し、SOC PrimeのThreat Bounty Programは、サイバーセキュリティ専門家の間でのコラボレーションを促進し、新たな脅威を積極的に検出することで組織のインフラ保護を強化します。私の視点では、サイバーセキュリティ分野で広く認識されている考えは、「予防が理想的であるが、検出は必須である」というものです。したがって、Sigmaは、現代のマルウェア脅威、最新のCVE、ターゲットAPT活動に対する強力な検出能力を可能にする貴重なリソースとして浮上します。

あなたの経験に基づいて、どの脅威が検出しにくいと思いますか？

私の意見では、最初のステップは、特定の検出ポイントの証拠をキャプチャするために必要なログソースとデータソースのタイプを特定することです。正規のアプリケーションの乱用およびメモリ注入攻撃を検出するのは困難です。Sigmaの利点は、洗練され複雑化する新たなサイバー脅威に対する検出ルールの中で、ユニークで柔軟、書きやすく、一般的な言語であることです。これにより、クロスプラットフォームのセキュリティオペレーションが可能になります。制限点は、すべてのベンダーに対応していないことと、既存のセキュリティユースケースでは一部のルールが正しく機能しないことです。

SOC Primeプラットフォームで公開される可能性が高い脅威ハンティングSigmaルールを開発するために必要なスキルは何だと思いますか？

Sigmaルールの開発に関して、私の通常のアプローチは、さまざまなリソースから派生したテンプレートを作成することです。SOC Primeへの私のSigmaの貢献の大部分はこれらのテンプレートに基づいており、そこに少し調整を加えています。Sigmaルールを作成するための私の方法は、次のリストにステップバイステップで示されています：

• 脅威ニュースやレポートを常に更新し、研究する。
• 脅威アクターグループを追跡し、新しい攻撃パターンを学ぶ。
• 深く理解する Sigmaの言語 と文法。
• サイバー攻撃の概念、ログサービスおよびデータソースをしっかり理解する。
• ルールを書く前に、 SOC Prime Platform で既存の検出スタックをLucene検索を使用して閲覧する。
• Use Uncoder AI でルールを検証し、必要な言語形式に変換する。

SOC PrimeのThreat Bounty Programに参加することでどのような利点を見出しますか？他の人にこのプログラムへの参加をお勧めしますか？理由は？

SOC Prime Threat Bounty Program は、企業と個々の開発者の両方に等しい利点を提供します。このプログラムに参加することで、企業は新たな脅威に対抗する先を行くことができ、開発者にとってはスキルを向上させたり、貴重な作業に対して報酬を受け取る機会を提供します。