脅威報奨プログラムの開発者へのインタビュー:Nattatorn Chuensangarun
SOC Primeのコミュニティに関する最新のニュースキャストをキャッチしましょう!本日は、多数の検出コンテンツを執筆している著者であるNattatorn Chuensangarunをご紹介します。 Threat Bounty Program 2021年8月からNattatornはアクティブなコンテンツ開発者であり、 Sigma ルールに集中しています。Threat Detection MarketplaceリポジトリでNattatornの最も高品質で価値ある検出をSOC Primeプラットフォームで参照できます:
あなたの職業経歴とサイバーセキュリティの経験について少し教えてください.
こんにちは!タイ出身のNattatorn Chuensangarunです。サイバーセキュリティに興味があるため、2019年にコンピュータサイエンスを卒業した後、タイの最大手銀行の一つで、セキュリティインテリジェンスおよびオペレーションセンターチームの一員として最初の仕事を始めることにしました。データ分析の経験しかなかったので、非常に新しい経験でしたが、チームメンバーからの素晴らしいサポートで、SOCアナリストとしてのトレーニングを始めました。私に聴取された課題は、脅威インテリジェンスセクションを監視することでした。脆弱性、データ漏洩、進行中の攻撃トレンドに関連する広範なニュースフィードにアクセスするためにさまざまな脅威を監視する必要がありました。私は調査し、SOC Primeに出会うまで、Threat Intelligence Platformで複数の脅威を検出するためのルールを作成しました。
サイバーセキュリティの興味のあるトピックは何ですか?
実際、サイバーセキュリティの多くのトピックにはオープンです。しかし、おそらくSecurity Orchestration, Automation and Response (SOAR)と組み合わせて実装するプレイブックを書くことに非常に興味があります。これはThreat Hunting、Automated Incident Response (IR)に拡張され、大量の基本的な攻撃に対処するのに役立ちます。この方法で、監視チームは労力を軽減し、防御や新たな攻撃の研究により多くの時間を割くことができます。また、私はクラウドセキュリティ、脅威アクターグループ、新たなランサムウェアの課題、大規模なデータを使用して攻撃や異常な行動を分析することにも興味があります。
Threat Bounty Programについてどのように知りましたか?参加を決めた理由は?
昨年、SIEMシステムに脆弱性をハントするために適用した脅威検出ルールを検索するために SOC Primeプラットフォーム を知りました。それがSOC Primeに初めて出会ったときでした。私のチームのメンバーの一人が、開発者としてThreat Bounty Programに参加すべきだと提案しました。面白いアイデアだと思い、参加することに決めました。このプログラムは私のスキルを向上させるのに役立つと信じています。実際、Threat Bountyのおかげで、さまざまな種類の脅威に対するルールを書く際の経験を深め、新しい知識を見つけ、SOC Prime Threat Bountyコミュニティの他のメンバーとセキュリティ情報を共有できます。私が公開したルールは、私の組織の防御を強化するために適用されるか、他の企業と共有してサイバー脅威を緩和することができます。
Threat Bounty Programでの道のりを教えてください。SOC Primeプラットフォームで公開されるSigmaルールを書くのに平均してどのくらいの時間がかかりますか?
以前にセキュリティツール用のルールを書いたことがありますが、さまざまなツールが異なる書式を要求するためかなり制約されていて複雑でした。SOC Primeプラットフォームを知り、Sigmaルールを書く方法を学んだ後、それは私にとって境界のない世界を開きました。SOC Prime Threat Bountyの報酬 は、私のSigmaルール記述スキルを次のレベルに引き上げるための動機にもなりました。新しい技術を学び、新しい脅威に対応するためのルールを書くことをエネルギッシュに楽しんでいます。
私の意見では、Sigmaルールを書くための平均時間は、ルールの種類、脅威アクターの行動、攻撃技術を理解することに依存するかもしれません。さまざまなIOCも記述時間に影響を与えます。なぜなら、セキュリティの専門家はメタデータを調べて通常の行動と異常行動を識別する必要があるからです。私は主に脅威を分析し、Sigmaルールを書くのに約30分を費やしています。
Sigmaルールの書き方を習得するのにどのくらいの時間がかかりましたか?技術的な背景はどの程度必要ですか?
私はSigmaルールの種類の多様性を見るために、主にGitHubとSOC PrimeのThreat Detection Marketplaceの例を調べることで、Sigmaルールの書き方を約1週間かけて学びました。これらのリソースは、さまざまなSigmaルールの種類を見るのに役立ちました。現在、私は通常、自分自身のテンプレートを作って、各サービスを異なるソースから分離しています。これにより、ルールを実装するのがより簡単になります。さらに、ルールを効率的に書くことが重要です。最初はしばしば不適切な書き方をしたため、私のルールは脅威を見逃したり、誤検知を招く結果になりました。しかし、SOC Primeプラットフォームは、公開前に私のルールを確認する専門的なサポートを提供してくれます。エラーが発生した場合にルールを調整し、ミスを避けながら改善方法を学ぶことができます。
グローバル規模の重大なリスクであるlog4jを軽減するために協力的なサイバー防衛アプローチがどのように役立つか?
ギャップを埋めたりリスクを軽減することは技術だけではありません。人、プロセス、技術を基本に立ち返るべきです。これらはリスクを管理するための主要な構成要素であり、一緒に考慮されるべきです。技術だけでも大部分の脅威を軽減する力があるかもしれません。しかし、時間と質において最大の保護を達成するためには人とプロセスなしではできません。SOC Primeのプラットフォームを使用することは、リスクを削減するのに役立つ手段の一つです。これは、開発者がハンティング技術を交換したり、IOCsをタイムリーに見つけたりすることができ、リスクを減らすのに有利です。
SOC Prime Threat Bounty Programの最も重要な利点は何だと思いますか?
SOC Prime Threat Bounty Programは、SOC Primeチームの監督と助言のもとで脅威検出ルールを書く豊富な経験を私に提供します。このプログラムは、私のスキルを向上させ、世界中の組織をサポートするサイバーセキュリティコミュニティを支援します。誰かが私の検出ルールが彼らの組織を助けることができたという直接のメッセージを送ってくれたとき、それは大変光栄です。そのようなケースは新しい脅威に対応するための新しいルールを書く動機となり、新しい技術を学び、私の試みがコミュニティが脅威に耐えるのに役立つことを望んでいます。
Threat Bounty初心者におすすめすることは?
Threat Bounty Programを開始したり勉強している人にとって、脅威ニュースフィードを読むことや、世界中のサイバー攻撃を監視したり、信頼できる攻撃ログを使用して最初にSigmaルールを書くことで道を切り開けるかもしれません。あるいは、GitHubやThreat Detection Marketplaceの例をプレビューしてみてください。一度、自分に挑戦し、サイバーセキュリティコミュニティと共に力を合わせましょう!
