脅威報酬開発者へのインタビュー:Onur Atali
最新ニュースキャストをご覧ください SOC Primeの開発者 コミュニティ!本日は、2021年6月から我々の「Threat Bounty Program」に貢献している熱心な開発者、Onur Ataliをご紹介します。OnurはSigmaルールに注力したアクティブなコンテンツクリエイターです。脅威検出マーケットプレイスでOnurの最高品質かつ価値のある検出方法をご参照ください。
あなた自身とサイバーセキュリティの経験について少し教えてください
私は26歳で、サイバーセキュリティ業界に入って約4年になります。レッドチームとブルーチームで働いていました。特に、高校時代にウェブアプリケーションプログラムをしているとき、サイバーセキュリティ分野に投げ込まれました。自分のウェブアプリケーションのコードをレビューしていると、脆弱性を引き起こす可能性があることに気づいたので、セキュリティコーディングを研究し始め、ウェブアプリケーションセキュリティに興味を持ちました。これがサイバーセキュリティ分野に入ったきっかけです。
高校時代からネットワークとセキュリティに興味があり、実際、そこで基礎を学びました。また、その当時、私の大学では情報セキュリティ技術セクションが導入され、ネットワークセキュリティ、ネットワークプログラミング、ウェブアプリセキュリティなど、サイバーセキュリティについて学んだ基本的なトピックが含まれていました。同時に、CTFのコンセプトを発見し、複数のCTFコンペティションを通じて自己検証を行い、賞を獲得したり、学位を受け取ったりしました。コンペティションは私を非常にやる気にさせ、サイバーセキュリティへの好奇心をさらに高めたので、卒業後にペネトレーションテスターとして働き始めました。
脅威ハンティング活動に従事することをどのように決めましたか?サイバーセキュリティにおける関心のあるトピックは何ですか?
ペネトレーションテスターとして働いていたとき、ターゲットに関する詳細な調査を行い、弱点を探す必要がありました。サービスについてよく知るほど、欠陥を把握し、負の結果を防ぐための情報を得ることができます。ペネトレーションテスターとして約2年間働き、多くのエクスプロイトコード、エクスプロイト手法、ラテラルムーブメント技術を見てきました。その時、脅威検出の実践と攻撃分析に飛び込み、ブルーチームの一員になることを決めました。攻撃技術を研究し、防御方法を作成する際、攻撃の痕跡に基づいて特定の検出ルールを開発するのに多くの時間を費やしました。実際、研究を行うために自分自身の仮想マシンで攻撃を再現しました。過去数年と比べてサイバー攻撃の数は大幅に増加しています。攻撃の種類、マルウェアの種類、脅威アクターのプロファイルは非常に異なり、多様です。したがって、脅威ハンティングの研究は正確に行われ、詳細な調査が必要です。
私のサイバーセキュリティにおける関心分野には、脅威ハンティング、ハンティングルールとプレイブックの作成、セキュリティソフトウェアの開発、安全なネットワークアーキテクチャの構築、モバイル/ウェブアプリケーションセキュリティが含まれます。また、フィッシングシミュレーションソフトウェアやフィッシングテンプレートも準備しています。
様々な脅威アクターによって最も一般的に使用されるツールはどれですか?また、それらのツールに対する防御を改善するためのおすすめは何ですか?例を挙げてください。
攻撃者は痕跡を隠すために合法的なシステムアプリケーションに取り組みます。ハッカーは、この方法でセキュリティアナリストおよびセキュリティ脅威検出ソリューションを回避できると考えています。私の研究では、ラテラルムーブメントのためのImpacket、Bloodhound、Rubeus、Mimikatzのようなツールを見てきました。他にも、Proxychains、Tor、Hdyra、Nmapといったオープンソースソフトウェアによく出会いました。攻撃者が使用する特別な脅威ツールを検出するためには、オペレーティングシステムレベルでコマンドをログに記録することが重要です。多くの攻撃者は、”whoami,ipconfig, ping 8.8.8.8″ などのコマンドを実行し、疑わしいものとして扱う必要があります。例えば、SIEMにおけるラテラルモーション検出のためにActive Directoryサービスを提供するシステムで認可された管理者がクエリされた場合、アラームを生成する必要があります。攻撃者は、占拠したシステムに悪意のあるアプリケーションをハイジャック、変更、またはダウンロードしたいと考えるかもしれませんので、特にTorサービスにリクエストが発生した場合に、システムからのインターネットトラフィックとウェブアドレスをチェックすることが有益です。アラームは、潜在的な脅威を示している可能性があります。 ブルートフォース 攻撃は今日で最も一般的なタイプの攻撃であり、したがってSIEMサービスは少なくとも10の異なるポートを5分以内にスキャンしたり、RDP、SSH、FTPなどの重要なサービスに対して少なくとも10の異なるユーザー名でログインを試みるIPアドレスを検出して自動的にブロックする必要があります。SOC Primeは脅威検出ルールに関して世界で最も豊富なプラットフォームであると思います。
Sigmaルールを書くのに習得するのにどれくらいの時間がかかりましたか?それに必要な技術的な背景は何ですか?
Sigmaルールを書くには、特にオペレーティングシステムレベルでのログ記録サービスをよく知ることが必要だと思います。ルールを書くには、攻撃者の動きをよく監視し、誤検出を最小限に抑える必要があります。そうしないと、過剰なアラームが発生し、実際の脅威を見逃す可能性があります。Sigmaルールは脅威検出に関して非常に効率的であり、我々を正確なポイントショットに導いてくれます。私はマルウェア分析、インシデントレスポンスレビュー、サイバー脅威レポートを研究することでルールを書く能力を向上させています。ルールを書く際には、書かれたルールの検出元と内容が期待されるアラームに適合していることを確認することが必要です。
SOC Primeの脅威バウンティプログラムについてどのように知りましたか?
SOC Primeプラットフォームを使って脅威ハンティングルールを探していましたが、報酬プログラムについては友人から知りました。ここで学ぶことがたくさんあり、自分を向上させているので、プログラムに参加できてとても嬉しいです。
脅威バウンティプログラムでのあなたの旅について教えてください。脅威検出マーケットプレイスに修正なしで掲載されるSigmaルールを書くのに通常どれくらいの時間がかかりますか?
SOC Prime脅威バウンティ報酬プログラムについて聞いたとき、本当に興味を持ち、すぐに応募しました。SOC Primeチームは私の申請を迅速に承認し、連絡をくれたことは私を非常に喜ばせました。ルールを書く前に、既存のルールを研究し、そのプロセスについて学びました。
特にマルウェア分析とインシデントレスポンスについて、プラットフォームで完璧なルールを書くには開発者が少なくとも1年のサイバーセキュリティ経験を持っている必要があります。しかし、最初の試みはプラットフォーム内の既存のルールを調べ、ガイドラインを読むことで1-2週間で行われるかもしれません。
脅威バウンティプログラムに参加することであなたにとって最大の価値は何ですか?
脅威バウンティプログラムに参加する最大の価値は、私が書くルールが興味深く、コミュニティに役立つことです。なぜなら、書いたルールが機能しない場合、それらは明らかに意味を成さないからです。脅威バウンティプログラムとともに、Sigmaルールを書く際に自分自身を向上させる機会を得ましたし、ルールを書く際には、オペレーティングシステムレベルでの詳細なセキュリティ設定についても学べるため、技術的な改善が得られます。脅威バウンティプログラムに参加して、自己改善を図りつつ、コミュニティにも貢献できて嬉しく思います。
