脅威バウンティ開発者へのインタビュー: Wirapong Petshagun

SOC Prime Threat Bounty Program 情熱的で鋭敏な検出コンテンツ開発者を結集し続け、コミュニティに参加した人々が 集団的なサイバー防御に貢献し、独自の検出をSOC Primeプラットフォーム上で収益化しています。 SOC Primeプラットフォーム。Wirapong Petshagunをご紹介します。彼は2022年6月にThreat Bountyコミュニティに参加し、SOC Primeユーザーが既存および新興の脅威をタイムリーに検出するための高品質なルールを定期的に公開しています。 2022年9月、Wirapongは最も評価の高いThreat Bountyコンテンツ開発者の5人のうちの1人に選ばれました。

Wirapong Petshagunによる検出

1. 自分自身について、プロフェッショナルな教育とサイバーセキュリティの経験について少し教えてください。

ご挨拶、私の名前はWirapong Petshagunで、タイ出身です。サイバーセキュリティ管理の理学修士プログラムを卒業しました。大学時代からサイバーセキュリティに興味を持っていました。初めての仕事は、タイ最大の通信会社の一つでサイバーセキュリティインシデント対応をしていました。この分野には新しく、困難でした。うちはIPS、WAF、EDR、SIEMなどのセキュリティソリューションの検出ルールを作成する任務を担当していました。それに加えて、多くのサイバーインシデントを対応し、自動化プレイブックを設計してSOARで実装することもしました。

現在、私はセキュリティコンサルティング会社のサイバーインシデントレスポンダーとして働いています。顧客にセキュリティニュースと検出方法を提供する任務を与えられました。ある日、ウェブサイトをたくさん調査して、 SOC Primeを見つけました。その他に、多くのCTFチャレンジを作成しており、攻撃と検出方法を深く理解するのに役立ちました。

2. サイバーセキュリティでの興味のあるトピックとその理由は何ですか？サイバーセキュリティ専門家としてどのように成長したいですか？

サイバーインシデントに興味があります。なぜなら、新しい手法がさまざまなAPTグループによって使用されているのを目にするのは興味深いからです。インシデントレスポンダーとして、挑戦的な課題に自分を投じることを恐れません。これが私のスキルを向上させる最も効率的な方法だと考えています。

3. Threat Bounty Programについてどのように知り、どうして参加を決めたのですか？

私は、SIEMで使用するための検出ルールを探しているときにSOC Primeプラットフォームを発見しました。 新しいCVE と技術について。その後、SOC PrimeでThreat Bounty Programを見つけ、即座に参加を決めました。これは、ブルーチームが検出ルールを公開し、多くの組織がサイバー攻撃を検出するのを助ける唯一のプラットフォームだからです。さらに、Threat Bounty Programは私の知識とスキルを向上させるのに役立つと信じています。

4. Threat Bounty Programでのあなたの旅と経験について教えてください。最も驚いたことは何ですか？

参加する前の月にちょうど Sigmaルール とSnortルールを書くことを学び始めました。SOC Primeに検出ルールを作成して提出したときに驚きました。すべてのルールが詳細にレビューされ、レビュアーからフィードバックが提供されます。それが、質の高いルールを書くスキルを向上させるのに役立ちました。

もう一つ驚いたのは、いくつかの悪意のあるペイロードを含むSigmaルールを開発し、それがSOC PrimeプラットフォームのWAFによってブロックされたことです。禁止されるのではないかと心配していましたが、SlackでSOC Primeに連絡すると、バグであることがわかり、バグリストチャネルに報告するようにアドバイスされました。

5. SOC Primeプラットフォームに公開されるSigmaルールを書くのに平均してどれくらいの時間がかかりますか？

平均時間はルールの複雑さ、ルールの種類、および脅威アクターが使用する手法によって異なります。一部の手法は動作を確認し、誤検知を減らすように調整する必要があり、それも書くのに必要な時間に影響します。通常、各Sigmaルールに15分から30分かけています。

6. サイバーセキュリティと個人的にSOC Prime Threat Bounty Programの最大の利益は何だと思いますか？

SOC Prime Threat Bounty Programは、ブルーチーマーのような私がSOC Primeチームの監督の下で価値ある経験を積む唯一の方法です。また、プログラムは世界中の脅威アクターによって使用される新しい攻撃手法を探求する新たな情熱でもあります。

7. 自身の経験からThreat Bounty初心者に何か推奨することはありますか？

新しい場合は、 Threat Bounty ProgramSigmaHQのSigmaルールまたはSOC Primeの 無料アクセスルールを見て始め、そのルールの参照リンクから攻撃の詳細を確認し、攻撃を検出するための条件に変換しようとすることです。これは、Sigma ルールを書く方法を学ぶための最も速い方法です。 ルール。