개발자 인터뷰: 아리엘 밀라후엘

우리는 또 한 번 인터뷰를 가졌습니다. SOC Prime의 개발자 프로그램 참여자 중 한 명과 함께 (https://my.socprime.com/en/tdm-developers). 우리는 당신에게 Ariel Millahuel을 소개하고 싶습니다.Ariel, 자기 소개 부탁드리며, 당신의 위협 헌팅 경험에 대해 이야기해 주세요.저는 아르헨티나 부에노스 아이레스에서 온 30세의 Ariel Millahuel입니다.
저는 2년 전 SOC에서 블루 팀 직무로 옮기면서 위협 헌팅 세계에 발을 들였습니다. 이것이 제 출발점이었고 지금은 저의 열정 중 하나가 되었습니다.위협 헌팅 산업에 대해 이야기해 봅시다. 현재 가장 중요한 트렌드와 약점은 무엇이라고 생각하시나요?제 생각에는, 가장 중요한 트렌드는 악성코드 헌팅, Sysmon 로그, 클라우드 기술입니다. 가장 약한 점은 기계 학습의 산업 통합에 있다고 생각합니다.Sigma를 사용한 경험을 말씀해 주세요. 언제 시작하셨고 그 이유는 무엇인가요?제가 처음 Sigma를 본 것은 TDM에서 규칙을 탐색하면서였습니다. 그 순간부터 약 5개월 전, Sysmon 및 프로세스 모니터링에 대해 배우기 시작했습니다. 몇 가지 간단한 Sigma 규칙을 작성하는 데 적어도 3개월이 걸렸습니다.당신의 의견으로는 Sigma가 위협 헌팅 도구로서 가지는 주요 이점은 무엇인가요? Sigma가 어떻게 조직이 사이버 방어를 구축하는 방식을 바꿀 수 있을까요?Sigma의 주요 이점은 산업 내에서 가장 중요한 SIEM들과의 통합과 새로운 위협이 주요 위치에 나오면서 지속적으로 콘텐츠를 생성할 수 있는 기회에 있습니다.
Sigma는 조직의 사이버 방어 구축 방식을 바꾸기보다는 전체 블루 팀과 레드 팀 시나리오를 바꿀 수 있습니다.새로운 Sigma 규칙을 작성하는 데 가장 복잡하고 시간이 많이 드는 부분은 무엇이라고 생각하시나요?가장 복잡하고 시간이 많이 드는 부분은 특정 규칙에 넣는 내용을 검증하는 것입니다. 저는 이것을 가상 실험실에서 수행합니다.새로운 Sigma 규칙을 작성하는 데 얼마나 시간이 걸리나요? 어떤 규칙을 만들지 결정하는 방법은?전체 프로세스는 규칙당 적어도 2시간이 걸립니다. 이는 제가 샌드박스에서 분석하는 악성코드의 새로운 행동을 볼 때 발생합니다.Sigma에서 개선될 수 있는 점은 무엇이라고 생각하시나요?Sigma는 제가 사용하기 시작했을 때부터 성장해 왔으며, 여러분이 하고 있는 일들을 보는 것은 굉장했습니다. 구문 분석 오류나 ‘알 수 없는’ 오류에 대한 피드백을 제공하는 Uncoder가 있다면 좋을 것입니다. 그런 것들을 본 적이 있고, 가끔 당신이 무엇을 잘못하고 있는지 보는 것이 어려울 때가 있습니다.Sigma 규칙 작성을 배우고 있는 사이버 보안 전문가들에게 조언할 점은 무엇인가요? Sigma 작성을 마스터하는 팁이 있다면?이런 분들에게는 Sysmon을 깊이 연구하고 공격자가 어떻게 생각하고 움직이는지 항상 배우라고 권합니다.Sigma UI를 사용해 본 적이 있습니까? 개선될 수 있는 점이 무엇이라고 생각하시나요?Sigma UI는 강력한 도구이며, 단순히 완벽합니다. 저는 ArcSight에서 원시 시그마 코드가 어떻게 보이는지 보기 위해 그들을 사용했습니다.실험실이 있습니까? 규칙을 어떻게 테스트하며, 어떤 로그 소스를 사용하는 것을 선호합니까?저는 작지만 효과적인 실험실이 있으며, 그곳에서 규칙이 테스트됩니다. 저는 항상 Sysmon 로그를 선호합니다.당신은 SOC Prime의 개발자 프로그램 참여자인데, 개발자 프로그램이 전 세계의 조직이 사이버 보안을 개선하는 데 도움이 된다고 생각하십니까?TDM과 SOC Prime의 개발자 프로그램은 많은 도움을 줄 것이며, 개발자들에게 지불하는 훌륭한 아이디어로 큰 변화를 가져올 것입니다.SOC Prime에서 우리는 사이버 보안 전문가 간의 콘텐츠 공유를 장려하는 Threat Bounty Program을 시작했습니다. Ariel, 시그마 규칙 및 기타 위협 탐지 콘텐츠를 공유하는 개발자를 보상하는 아이디어에 대해 어떻게 생각하시나요?네, 100%입니다. 이것이 제가 이 프로그램에 참여하기로 결정한 이유 중 하나였습니다.어느 경로를 선택할지 결정하는 초기 사이버 보안 전문가에게 추천할 점은?아무 경로를 선택하기 전에, 젊은 보안 열정가들에게 항상 정보를 얻고 배우라고 권장합니다. 이 세계에서는 결코 충분하지 않습니다.Ariel, 당신은 자신의 규칙을 Twitter에 게시한 첫 번째 개발자로서, 멋집니다. 새로운 규칙에 대한 정보를 출판할 ‘피드’가 Twitter나 Telegram에 있으면 사이버 보안 커뮤니티에 흥미로울까요?시그마 규칙 미리보기가 있는 ‘공유’ 버튼은 TDM에 매우 흥미로울 것입니다. 피드 역시 훌륭할 것입니다. 이는 아마도 규칙을 추진하고, 개발자와 SOC Prime에게도 이익이 될 것입니다.Twitter… 피드를 누가 읽고 있는지 어떻게 제어할 수 있을까요? 어떤 것을 감지해야 하는지에 대한 아이디어를 제공하면, 나쁜 사람들이 이를 읽고 다른 사람에게 악용할 수 있습니다. 때로는 좋은 접근 방식이 올바르게 사용되지 않을 수 있습니다… 이 점에 대해 어떻게 생각하십니까?저는 이것에 100% 동의합니다. 새로운 아이디어는 Sigma 규칙을 만들거나 제 작업을 위한 콘텐츠를 생성하기 전에는 트위터에 게시하지 않습니다. 이는 아이디어의 악용을 방지하는 좋은 방법입니다.당신에게 또 하나의 구체적인 질문이 있습니다. 악성코드 분석은 보통 반응적인 작업이며, 일부 조직은 이미 그 악성코드로 인해 해킹되었을 수 있습니다. Ariel, 예측 탐지에 대해 어떻게 생각합니까? 가능하다면, 감지해야 할 새로운 아이디어는 어떻게 찾나요?예측 탐지는 어렵지만 불가능하지 않습니다. 저는 다양한 악성코드의 ‘야생’ 행동 때문에 그렇게 말합니다. 조직이 보안을 진지하게 생각하고 샌드박스와 같은 악성코드를 분석하는 앱을 사용할 수 있다면, 좋은 예측 매트릭스를 달성할 수 있습니다.