脅威バウンティ開発者へのインタビュー – ムスタファ・グルカン・カラカヤ

今日は、SOC Primeのコミュニティに、最も活動的なメンバーの一人を紹介したいと思います。この方は Threat Bounty Program に参加し、SOC Primeプラットフォームで利用可能な検証済みの検出ルールの作成者です。お会いするのは Mustafa Gürkan Karakayaさんです。彼は2022年12月にこのプログラムに参加して以来、専門的なサイバーセキュリティ知識と更なる開発の可能性を証明しています。

Mustafa Gurkan KARAKAYAによるルール

少し自己紹介とサイバーセキュリティの経験について教えてください。

私の名前はMustafa Gürkan KARAKAYAです。25歳で、トルコのアンカラに住んでいます。2020年にアンカラYıldırım Beyazıt大学のコンピュータ工学部を卒業しました。サイバーセキュリティ分野での私の旅は、ペンテストに焦点を当てることから始まりました。その後、SIEM（セキュリティ情報およびイベント管理）、SOAR（セキュリティオーケストレーション、自動化、応答）、マルウェア分析、DFIR（デジタル・フォレンジックスとインシデント対応）分析、フォレンジック調査などの紫チーム関連のさまざまな活動への興味を広げました。最初の仕事では、主に軍事機関向けにさまざまな技術的側面での支援とコンサルティング活動に従事しました。2社目では、実装とSIEMのメンテナンスに特に注力しながら、技術サポートとコンサルティングサービスを提供し続けました。現在はサイバーセキュリティエンジニアとして働いています。

SOC Primeについてどのように知りましたか？Threat Bounty Programに参加しようと思った理由は何ですか？

最初に見つけたのは LinkedInでのSOC Primeでしたが、現在働いている会社のチームリーダーからプラットフォームでルールを書く機会について聞きました。このプログラムに参加したのは、新しい攻撃方法を毎日研究することを楽しんでいるからです。

あなた自身の経験に基づいて、公開される可能性が高いルールを作成するために必要なスキルは何ですか？Threat BountyでSigmaルールを書き始めたばかりの人に何をおすすめしますか？

私の意見では、コンテンツの公開基準の中で最も重要なのは、ルールが特定であり、正確な判断が可能で、誤検出率を低く抑えることであると考えます。Sigmaルールの 作成を始めたばかりのコンテンツ作成者への 私のアドバイスは、MITRE ATT&CKフレームワークに従って攻撃シナリオの敵対行為を分析し、攻撃者の意図を理解することです。加えて、既存のルールを調べ、攻撃がどのログソースにどのような痕跡を残すかを理解することが、適切なルールを開発する際に非常に役立ちます。

あなたが研究して作成する検出ルールに基づいて、現代の組織にとって最も重要な脅威は何ですか？インフラを保護するための最も効率的な対策は何だと思いますか？

私は、人間の要因が最も重要な脅威であると考えています。どんなに高度で洗練されたセキュリティ対策や技術があっても、人間の行動や行為がセキュリティを脅かす可能性があります。人間のエラー、無頓着、認識の欠如、および悪意のある意図は、機密情報の機密性、完全性、可用性に重大なリスクをもたらす可能性があります。これらの人為的なリスクを軽減するために、ユーザー教育、認識トレーニング、強固なセキュリティ文化の確立を優先することが重要です。したがって、私はエンドポイントでの脅威検出方法が最も重要であると考えています。組織は脅威検出のためにエンドポイントのログを収集し、詳細な分析を行わなければなりません。ルールは隠れた脅威を照らす光のようなもので、光の量を増やせば増やすほど、脅威の可視性が高まります。

検出が最も難しい脅威のタイプは何ですか？実生活の例を挙げることはできますか？

一見正当なアプリケーションの経路内で発生する攻撃の検出が、組織にとって最も困難だと考えています。私自身のルールの例を挙げるならば、 Suspicious QakBot Malware Behavior With Associated Commandline by Spreading Malicious OneNote Document (via process_creation)があります。このルールでは、攻撃者はOneNoteドキュメントを使用して被害者のマシンにQakbotマルウェアを拡散します。この攻撃は、すべてのプロセスがマイクロソフト署名されており、正当であるように見えるため、AVおよびEDRを含むセキュリティ製品では検出されません。しかし、これらの正当なプロセスが共同で使用されると、悪意のある動作がトリガーされます。C2サーバーに接続し、他の悪意のあるペイロードをダウンロードし、被害者のマシンにQakbotマルウェアを広げます。 this rule, attackers spread the Qakbot malware on the victim’s machine using a OneNote document. No security product, including AV and EDR, can detect this attack because all the processes involved are Microsoft-signed and appear to be legitimate. However, when these legitimate processes are used together, the malicious behavior is triggered. It connects to a C2 server, downloads other malicious payloads, and spreads the Qakbot malware on the victim’s machine.

経験豊富なセキュリティスペシャリストとして、強固なサイバー防御を構築したい企業にとっての最優先事項は何だと思いますか？

強力な防御を構築しようとする組織にとって最も重要な優先事項は、従業員にサイバーセキュリティに関する意識を高めさせ、安全でないメールを開かないようにすることです。また、サイバーセキュリティチームには、異常なユーザー活動を監視し、通常でないネットワーク活動をフィルタリングし、組織全体のクライアントログを収集（多くの組織がこれを怠ります）し、セキュリティ製品に関連するルールを定義することをお勧めします。

SOC PrimeのThreat Bounty Programメンバーになることの主な利点は何ですか？

私が考えるに、最も重要な利点は、毎日新たに出現する脆弱性やマルウェアについて情報を得ることができ、攻撃者が使用する最新の手法を自分自身で更新することができることです。好奇心旺盛で勤勉で新しいことを学ぶ意欲のある人々には、参加することをお勧めします。 Threat Bounty Program.