脅威バウンティプログラムの新時代
目次:
クラウドソーシングが未来のサイバー防御戦略を形作る方法
クラウドソーシングは、現代の脅威環境の新たな課題に対応できる先進的なサイバー防御を構築するための重要な柱の1つです。2023年だけで3万以上の新しい脆弱性が発見され、毎分サイバー攻撃が発生している中で、単独のチームでは既存の脅威の雪崩対応に苦戦するでしょう。知識共有は敵をアウトスピードし、アウトスマートするために必要不可欠です。
複数のソースからデータと洞察を集約することにより、クラウドソースされた脅威検出の取り組みは攻撃面をより深く理解し、より迅速かつ協力的な対応を可能にします。この協力的なアプローチはリソースを最適化し、リアルタイムの情報共有を確保し、反復的なフィードバックループを通じて継続的な改善を促進します。グローバルなリーチと革新の可能性を持つクラウドソーシングは、レジリエントでスケーラブルな防御ネットワークを構築し、洗練された進化するサイバー脅威に対抗するための効果的なコミュニティ駆動型のサイバーセキュリティプラクティスを推進します。
集団的なサイバー防御アプローチの伝道者として、 2019年5月に第3回EU ATT&CKコミュニティワークショップで、SOC Primeはサイバーディフェンダーのための業界初のバウンティプログラムを立ち上げました。Threat Bounty Programの5周年を記念して、貢献のための強化されたツールセットと拡張された機能を紹介し、現代のサイバーセキュリティの基本原則を反映し、クラウドソースされたコミュニティのメンバーに対しSOC Primeの最も先進的な検出エンジニアリング技術を提供しています。
原点に戻る
個人的な卓越性の承認と著作者権の認識は、世界中の専門家を結集し、グローバルなサイバー防御に貢献する機会を提供するSOC Primeの取り組みの基本です。
Threat Bountyの取り組みは、発表後、プログラムに応募し、事前登録するために急いだサイバーセキュリティコミュニティのメンバーからの支持を受けました。コミュニティの準備性と需要に対応する迅速な反応として、2019年6月初旬にDeveloper Portalを立ち上げ、5年間SOC Primeへの検出ルールの貢献の主要ハブとして機能しました。
設立以来、SOC PrimeのThreat Bounty Programは、検出エンジニアリングスキルを試したい人々にとって信頼できる支援的な環境として知られ、彼らの検出ルールが世界中の企業の新興または既知のサイバー脅威に対抗するのを観察しながら現金を稼ぐことができます。
プログラムの開発と変革は常に業界と技術の進化と一致しており、検出エンジニアリングプラクティスを拡大し、世界中の組織に検出を提供するクラウドソーシングBlue Teamの一部になりたいという人々に対し、高い専門性と動機を維持させています。これらの日々、私たちはThreat Bountyメンバーのユーザーエクスペリエンスを次のレベルに引き上げ、検出エンジニアリングのための最先端のSOC Prime技術とツールを装備しています。
コミュニティを導く
無限の知識共有のアイデアを抱いて、2018年にSOC Primeは Uncoder.IOを立ち上げ、Sigma Rulesの高速でプライベートで使いやすいオンライン翻訳ツールとして機能し、ユーザーのプライバシーを100%守っています。Uncoderがコミュニティツールとして成功したのを見て、2023年11月にSOC PrimeチームはUncoder.IOを 完全なオープンソースツール Apache 2.0ライセンスの下で。しかし、Uncoderはプライバシーを考慮して開発されているため、SaaS版のツールが利用できる https://uncoder.io では、クッキートラッキングやデータやコードのログ記録、第三者と共有を行いません。コミュニティにとって、これは経験豊富なセキュリティプロフェッショナルやサイバー防御の初心者が基本的なIOC変換、コンテンツ翻訳、およびSigmaやRootaルールの作成機能から利益を得ることを意味します。
2019年4月にThreat Bounty Programの事前登録を開始して以来、SOC Primeはプログラムに参加するための申請を約2,000件受け取り、SOC Primeを通じてグローバルなサイバー防御に貢献する準備ができているという姿勢を示した600人以上の個人を歓迎しました。クラウドソースされた検出エンジニアリングに貢献するには、脅威検出ルールの作成者が職場や組織、さらには業界で確立された専門的な興味やスキルを超えて冒険し、グローバルなサイバー脅威の状況の分析と専門技術の拡大が求められます。
クラウドソースされた脅威検出エンジニアの努力を市場の実際のニーズに合わせることはThreat Bounty Programの重要な、または不可欠な部分ですが、コンテンツ作成者が複雑な検出と常に変化する脅威環境に関して、現代の要求にスキルを合わせ続けることは常に挑戦です。
初期からコミュニティに参加しているプログラムメンバーは、SOC Primeプラットフォームにコンテンツを公開するのがいかに簡単で労力がかからなかったかを覚えています。著者は、検出アルゴリズムをプレミアムまたはコミュニティ出版用に提出することができ、このアプローチは検出ロジックが複雑でない場合に著者に柔軟性を提供しました。しかし、世界的なコミュニティへの最小限の労力貢献の促進は、プログラムの原則に反しています。
The Threat Bounty Program is a demanding environment that promotes the development of personal talent in the cybersecurity workforce of any organization and cybersecurity vendor. The program enables experts specializing in various technologies to further develop and utilize their applied skills in an ethical and competitive setting with strict requirements for following laws and regulations regarding IP rights and personal data, as well as an understanding of generic Sigma format and deep knowledge of vendor-specific formats.
さらに、 Uncoder IO の開発と、カスタムハンティングクエリへのIOC変換の導入は、Threat Bounty Programの変革とコンテンツ受け入れ要件におけるもう一つの突破口を示しました。プログラムの進化に対応して、自分の検出で現金を稼ぎたいコンテンツ作成者は、より要求の厳しい環境に順応し、より複雑なルールを開発するための時間を投資する必要がありました。
報酬
SOC PrimeのThreat Bounty Programを使用して検出ルールを収益化する可能性は、プロフェッショナルな知識から追加の収入を得る機会を求める人にとって重要な点です。
評点に基づく報酬システムは、技術、特定のログソース、行動、特定のAPTグループのツールの検出カバレッジの需要の傾向を反映し、検出コンテンツに関するグローバルなフィードバックを提供する手段です。
受け入れられるルールに対する一般的な推奨事項を、通常のプラットフォームユーザーの実際の需要に合わせる上で、コンテンツ作成者へのこの報酬アプローチは非常に有用でした。たとえば、最小限の実行可能な検出または低レベルのIOCは、SOC Primeがグローバルコミュニティに提供する上で効率的な脅威検出に貢献できないことが明らかになりました。
評点に基づく報酬システムと、提出物の品質に関する確立された基準により、SOC Primeは実際のビジネスや政府環境で悪意のあるツールや行動を検出できる実用的なコンテンツを提供する著者に報酬を与えます。
情報が鍵
継続的なフィードバックの共有は、群衆源化されたコンテンツの開発における高い基準を維持し、実行可能な検出を開発し続けるサイバーコミュニティへの関与を確保し、コンテンツの質を向上させ、エンドユーザー間での信頼性を高めるために不可欠です。提出されたルールに対するフィードバックをメールで提供する一方で、公開のために提案された検出を確認するSOC Primeのエンジニアは、個人のプロフェッショナルな相談や指導へのフィードバックを拡張しません。代わりにThreat Bounty Programのメンバーにコミュニティ駆動型の議論に参加するよう奨励しています。これは、個々の相談よりもThreat Bountyコミュニティにとって価値があると考えており、透明性を高め、情報交換を促進し、Threat Bounty作成者のスキル開発を奨励します。
Threat Bounty Programのメンバーにオープンな学習と知識交換のコミュニティを提供するため、経験豊富な実践者が熱心な新人に知識と洞察を惜しみなく共有し、ピア駆動型のコラボレーションを促進し、活発な議論に参加し、最新のサイバーセキュリティトレンドに追いつき、技術スキルを向上させるためのハブとなるDiscordチャンネルを導入しました。
新着情報
群衆源化された脅威検出は、すべてのセキュリティプロフェッショナルが集合的なサイバー防御の恩恵を受けられるように、常に統一言語と共に登場します。Threat Bounty Programは Sigma ルールを中心に開始され、コミュニティの貢献を多くのSIEMやEDR言語に持ち運び可能にしました。しかし業界が複雑な動作ベースの検出を記述し、移植する際のSigmaルールの制約を克服するために、SOC Primeチームは2023年に Roota を導入しました。
をラッパーとして使用し、サイバーディフェンダーは生のルールやクエリをメタデータで拡張し、Uncoder AIを使用してコードを他のSIEM、EDR、データレイク言語に翻訳できます。YaraやSigmaルールの成功に触発されたRootaは、より広いコミュニティのディフェンダーによる広範囲の適用に焦点を当てています。つまり、既知の言語でRootaを書くことができ、Uncoderが他の一般的な言語に翻訳するのを手伝い、特定のクエリ言語を新たに学ぶ必要性を排除します。目標は、ルール作成の経験がある誰もが仕事でより良いツールを装備することです。この方法により、熟練のThreat Hunters、DFIRやSigmaルールのエキスパートだけでなく、Threat Bounty Programを通じて集合的な利益に貢献したいSOCアナリストも、Uncoderを中心にSOC Primeの先進的な検出エンジニアリングスイートを使用します。SOC Primeは現在、Threat BountyメンバーにプライベートなAIを提供し、コードを漏らさず、Detection Rule Licaginformance遵守をサポートし、IPの著者権が翻訳で失われないことを保証し、生成的AIによってスクラップされないプライベート開発環境上で、クラウドのSOC 2 Type II環境に検出を保存するための個人リポジトリや、コード補完、MITRE ATT&CKタグ付け、QA、修正、コードレビューや使用のための埋め込みワークフローといった複数のIDEに似た機能を提供しています。 Roota acting as a wrapper, cyber defenders can take a native rule or query and augment it with metadata, with the help of Uncoder AI, translate the code into other SIEM, EDR, and Data Lake languages. Inspired by the success of Yara and Sigma rules, Roota is focused on broader applicability by a larger community of defenders. This means that you can write in Roota with any language you already know and Uncoder will help to translate to other common languages, eliminating a need to learn any new specific or generic query language. The goal is to equip anyone with rule writing experience with better tools at work. This way, not only seasoned Threat Hunters, DFIR and Sigma rules experts, but also SOC Analysts eager to contribute to collective good through Threat Bounty Program now use SOC Prime’s advanced detection engineering suite with Uncoder at its heart. SOC Prime is now providing our Threat Bounty members a private AI that does not leak their code, supports Detection Rule Licensing adherence, and makes sure that author rights for IP are not lost in translation, all on top of a private developer environment which is not scrapped by generative AI, a personal repo to store their detections in a cloud SOC 2 Type II environment, and multiple IDE-like features, including code autocompletion, MITRE ATT&CK tagging, QA, fixes, and an embedded workflow for code review and usage.
SOC Primeのクラウドソースされた検出エンジニアリングプログラムの新しい時代は、すべてのコミュニティイニシアチブを統一し、個人の才能を引き出し、検出エンジニアリングと脅威ハンティングスキルを向上させ、技術的専門性を拡大するために設計された使いやすいオールインワンのワークフローを創造します。Threat Bounty Programは参加者にとって、サイバー防御に貢献しながら努力に対する認識と具体的な利益を得るための安全で倫理的かつ競争的な環境を提供します。
