脅威バウンティ開発者インタビュー：ミシェル・デ・クレボワジェ

SOC Prime Developersコミュニティに関する最新のニュースキャストをキャッチ！ 今日、私たちはミシェル・ド・クレヴォワジエを紹介したいと思います。彼は2020年11月から脅威賞金プログラムに貢献している多作な開発者です。ミシェルはシグマルールに集中し、積極的にコンテンツを制作しています。ミシェルの検出を脅威検出マーケットプレイスで最高品質と価値を判断できるものとして参照してください。

検出コンテンツを表示

1. あなた自身とサイバーセキュリティでの経験について少し教えてください

私は、システム管理、ネットワーク、仮想化でのさまざまな経験を経て、2017年にSOCアナリストとしてセキュリティキャリアを開始しました。私の心の中では、キャリアはセキュリティを軸に築かれるべきだと常に明確でした。実際、私が関与したプロジェクトの多くはセキュリティが優先されず、組織を不必要なリスクにさらしていました。これを個人的な課題として受け入れ、ブログを開始し、さまざまなセキュリティイベントにもスピーカーとして参加しました。最近では、おかげで、脅威検出に関するSANSセキュリティコースを受講し、GIAC認定資格を取得し、知識やスキルを他のことと一緒に拡張しています。

2. なぜ脅威ハンタリングの主なツールとしてシグマルールに焦点を当てることにしたのですか？

脅威ハンティングの観点から見ると、SIGMAは単純または複雑なIOCロジックをどんなアナリストでも理解し使用できる共通フォーマットで共有する高度な能力を提供します。このオープンフォーマットのリリースと「情報セキュリティのGitHub化」の台頭（出典）により、SIGMAは間違いなく私が必要としていたツールでした。

3. シグマルールの習得にどれくらい時間がかかりましたか？習得に必要な技術的な背景は何ですか？新しいIOCシグマルールや脅威ハンティングルールを書くのに平均してどれくらい時間が必要ですか？

SIGMAルールの習得にはわずか数週間しかかかりませんでしたし、ルールを書くのに通常は約1時間かかります。私は常に自分のラボで脅威を評価してルールの品質を確保しようとしています。アナリストが文脈を簡単に理解できるように、実際のログサンプルを添付しようとしています。

しかし、言語の基本を理解するだけでは十分ではないと思います。良いルールを書くためには、脅威、その行動、そしてそれが引き起こす可能性のあるさまざまなIOCを正しく理解することも必要です。MetasploitやCobalt Strikeのようなセキュリティフレームワークに関する知識も、攻撃的なスキルと同様に非常に役に立ちます。

4. サイバーセキュリティにおける関心のあるトピックは何ですか？検出と対策が最も難しいタイプの脅威は何ですか？

サプライチェーン攻撃は、 CCleaner, SolarWinds、 or Codecov など、検出するのが非常に難しいものです。それらの脅威は、信頼されていると知られている正当なソフトウェアに組み込まれており、多くの企業で使用されています。侵入は数ヶ月にわたり、非常にステルスです。さらに、クラウドの侵入とそれに続くオンプレミス環境への横断移動（またはその逆も）も、両者での検出範囲の成熟度が常に同じではないか、異なるマインドセットで異なる当事者が管理しているため、対策が難しい場合があります。もちろん、一般的な侵入ベクトルは依然として有効であり、フィッシング、ウェブサーバーのエクスプロイト、 PowerShell、DCOM、 or Windows管理インスツルメンテーション (WMI)の悪用も忘れてはなりません。

5. 現在、多くの脅威アクターグループが存在し、その数は増加しています。あなたの意見では、どの脅威アクターが最大の脅威をもたらしていると思いますか？脅威アクターグループがどれほど危険であるかをどのように測りますか？

ソーラーウィンズの サプライチェーン攻撃の背後にいるようなアクターは、彼らがいかに強力であるかを証明しました。彼らが最終ターゲットを攻撃する前に、サードパーティプロバイダーへの準備や浸透の能力を分析すると、本当に恐ろしいです。彼らは多面的であり、クラウドとオンプレミスのインフラストラクチャをターゲットにし、ビルドおよびコード署名インフラストラクチャを妥協することができ…そのすべてがレーダーカバレッジの下でほぼ見えないままである間に行われています。 supply chain attack have demonstrated how powerful they can be. Analyzing their capacities of preparation and infiltration into 3rd party providers before attacking their final target is really frightening. They are multifaceted, targeting cloud and on-premise infrastructure, capable of compromising build and code signing infrastructure… And all this while remaining nearly invisible under the radar coverage.

6. SOC Prime Threat Bounty Programについてどのように知りましたか？参加することにした理由は？ Threat Bounty Programへの参加から得られる最大の価値は何ですか？

Threat Bounty Programへの参加は、なによりもまず、自分の快適ゾーンの外に出ることで新しい脅威とTTPを探求し、知識を広げる機会でした。そのうちに、私はSOC組織をより広範に強化し、才能のある開発者コミュニティに参加していることに気づきました。

あなたの脅威ハンティングスキルをマネタイズし、サイバー防御経験を向上させたいですか？ SOC Primeは、最新の サイバーセキュリティのトレンドを注視する ブルーチームメンバーを求めています！私たちのThreat Bountyプログラムは、 SOCコンテンツに対して再発報酬を支払い ます。SIGMA、Yara、Snort、ログパーサー、ネイティブSIEMコンテンツなど、脅威検出、脅威ハンティング、インシデント対応を目的としています。Wanted Listの要求に応じて検出を提出し、新たなサイバー脅威に対抗するためにThreat Detection Marketplaceコミュニティを支援しながら利益を倍増させてください。

サイバーセキュリティの知識を豊かにする方法を探していますか？ SIEMのハードスキルをマスターするためにSOC Primeのサイバーライブラリを探索し、ディープダイブの教育ビデオを視聴し、脅威ハンティングに関するハウツーガイドをキャッチアップしてください。

サイバーライブラリを探索 Threat Bountyに参加