脅威バウンティ開発者 – Mehmet Kadir CIRIK へのインタビュー
SOC Prime の熱心なメンバーについて語り続ける中、 Threat Bounty コミュニティ としての物語を共有し、 彼らのプロとしての成長を伸ばし、グローバルなサイバー防御に貢献するルールを開発する専門知識を発展させる中、本日紹介するのは Mehmet Kadir CIRIKです。彼は2023年1月にプログラムに参加し、それ以来積極的に検出を寄与しています。
サイバーセキュリティにおけるあなた自身と経験について少し教えてください。
こんにちは!私は Mehmet Kadir CIRIK、22歳です。2001年にトルコのメルスィンで生まれ育ちました。現在、Firat大学の法医学情報工学およびコンピュータ工学の学部四年生です。在学中2年目にエラスムスの一環で北マケドニアのコンピュータ科学学部で約8か月間学びました。大学の2年生のときからサイバーセキュリティの分野でフルタイムで働いています。現在、イスタンブールを拠点とする会社でブルーチームエンジニア兼脅威研究者として働いており、主な職務としては、サイバー脅威のニュースフィード内の悪意のある活動の積極的な調査、新たなサイバー脅威や攻撃技術に対応する行動ベースの検出を開発するための詳細な研究、そして重要なセキュリティインシデントの効果的な管理です。キャリアのスタートはサイバー脅威インテリジェンスから始まり、その後はMDRアナリストとして働き、法医学のスキルを開発しました。
SOC Primeを知ったきっかけは何ですか?なぜThreat Bountyプログラムに参加しようと思ったのですか?
SOC Primeを初めて知ったのは、 LinkedInでの投稿を通じてでした。それ以前からSigmaルールの作成に興味はありましたが、自分でSigmaルールを一度も書いたことはありませんでした。現在働いている会社で、先輩からのサポートとガイダンスを得て、SOC PrimeプラットフォームでSigmaルールの書き方や投稿方法を学びました。Sigmaルールを書くことで、自分のスキルを向上させ、多くの脆弱性や攻撃技術に関する知識を短期間で得ることができます。特にAPT集団の活動に興味があり、APTグループメンバーの考えを知りたいと思っています。そうした理由から、SOC PrimeのThreat Bountyのメンバーになり、ルールを書くことを大切にしています。
SOC Primeプラットフォームでより公開されやすいSigmaルールを開発するために必要なスキルは何ですか?
SOC Primeプラットフォームで公開される可能性を高めるために、検出に関して誤解を与えないようルールの内容に特に注意を払いながらルールを書いています。加えて、悪意のある活動を長期間検出可能にするようなルールを構築することに気を付けています。APTグループやマルウェアのTTP(戦術・技術・手順)を直接ターゲットにした上で、それに応じたルールを作成します。したがって、攻撃者が行動(ファイル名やファイルハッシュ、ドメイン名など)を変えたとしても、書いたルールが常に攻撃をキャッチできるようにしています。
近年、組織はグローバルサイバー戦争の攻撃に耐えるという課題に直面しています。インフラ保護のために最も効率的な対策は何だと思いますか?
組織は、特にThreat Bountyメンバーが開発・共有したSigmaルールを通じて、SOC Primeプラットフォーム内で検出アルゴリズムを使用することでインフラを保護できます。これらのルールは、新たにリリースされた脆弱性やAPTグループの活動、マルウェアに対する有効な検出メカニズムとして機能します。そのため、Sigmaは最新のマルウェア脅威、最新のCVE、ターゲットを絞ったAPT活動に対する強力な検出能力を提供する貴重なリソースとして浮上しています。
検出するのが最も複雑な脅威のタイプはどれですか?実生活の例を挙げてもらえますか?
高度なサイバー攻撃やターゲット型攻撃は一般的に検出するのが最も複雑な脅威のタイプとされています。これらの攻撃は洗練された技術、プライバシー対策、高度なスキルを必要とし、通常、国家支援の集団や高度な持続的脅威(APT)、経験豊富な攻撃者によって行われます。
例えば、「Stuxnet」として知られるサイバー攻撃は非常に複雑なワームウイルスであり、配布と拡散が難しいものでした。この攻撃は2010年にイランの核プログラムをターゲットとし、侵入して核反応炉の制御システムを破壊しました。加害者の身元は不明ですが、この攻撃は非常に高度で国家支援の作戦である可能性があると考えられています。
最近公開されたSOC Primeプラットフォームのルールに注意を払うことをお勧めします。というのも、サイバー攻撃はますます洗練され、より多くの企業、機関、個人がこれらの攻撃の影響を受けるようになっているからです。
強力なサイバー防御を構築したい組織にとって、優先すべき事項は何だと思いますか?
経験豊富な脅威ハンターとして、組織にとっての最優先事項は継続的な監視と脅威インテリジェンスの収集であると言えます。良い脅威インテリジェンスは攻撃を検出し、防御を強化するために極めて重要です。脅威が常に変化・進化している環境では、最新の脅威情報に基づいた防御戦略を確立することが不可欠です。特に下記のトピックは、脅威ハンターが貴重な洞察を提供できる分野です:
- 新しい攻撃方法と技術:新しく出現する攻撃技術や方法を検出することは、防御措置を最新の状態に保つために重要です。
- 脆弱性の発見:システムの脆弱性を検出し、報告することは攻撃に対する防御に大きな貢献をします。特に、ペネトレーションテストや脆弱性スキャンのような技術で行われた発見は、サイバー防御に重要な役割を果たします。
- マルウェアと悪意のある活動:マルウェアの検出、分析、防止は組織のセキュリティを維持するために重要です。この分野で行われた検出は共有された脅威インテリジェンスに貢献します。
SOC PrimeのThreat Bounty Programの最大の利点は何だと思いますか?
私の意見では、SOC PrimeのThreat Bounty Programの最大の利点は次の通りです:
- コミュニティの関与:Threat Bounty Programは脅威ハンターのグローバルコミュニティを育成し、サイバーセキュリティの専門家がネットワークを築き、知識を共有することを促進します。これにより、異なる経験と視点を活用して効果的な脅威検出と防御が保証されます。
- 報酬と動機付け:参加者に 金銭的報酬 を提供します。これにより脅威ハンターは動機づけられ、より積極的な参加が促されます。また、参加者は自身の才能を披露し、業界で認められる機会を得ることもできます。
- 脅威インテリジェンスの発展:プログラムは参加者が脅威インテリジェンスに特化することを可能にします。公開された検出は共有された脅威インテリジェンスに貢献し、より強力なサイバー防御の提供に使用することができます。
私の経験から、Threat Bounty Programに参加し、検出を通じて収益を得たいと考えている人は、以下の最低限のサイバーセキュリティの能力を持っているべきだと思います:
- ネットワークセキュリティ:基本的なネットワークセキュリティの問題についての知識と経験が重要です。ネットワークトラフィック分析、ファイアウォールルール、ネットワークの脆弱性の検出など、優れたスキルセットを持っている必要があります。
- マルウェア分析:悪意のあるファイルを検出し、分析する能力と悪意のある活動を理解するためのマルウェア分析能力が不可欠です。優れた理解と技術的スキルを持つことが重要です。
- ペネトレーションテスト:システム内の脆弱性やエクスプロイトを検出するためのペネトレーションテスト能力が不可欠です。攻撃者の視点でシステムを見て脆弱性を検出する能力が重要です。
への参加に興味がありますか への参加に興味がありますか?あなたの検出を収益化しつつ、プロフェッショナルに成長させることを奨励するクラウドソーシングの取り組みに参加してご参加をお勧めします。
