Interview with Developer: Florian Roth
우리는 Developer 프로그램 참가자와의 인터뷰 시리즈를 계속 작성하고 있습니다 (https://my.socprime.com/en/tdm-developers). 이전 인터뷰는 여기에서 보실 수 있습니다: https://socprime.com/blog/interview-with-developer-lee-archinal/
플로리안 로스를 만나보세요.
플로리안 로스는 Nextron Systems GmbH의 CTO입니다. 그는 공격자 활동과 해킹 도구를 탐지하는 APT Scanner THOR의 개발자이며, Nextron의 가장 포괄적인 수작업 Yara 규칙 피드 서비스인 Valhalla를 개발했습니다.
그는 Thomas Patzke와 함께 Sigma 프로젝트를 만들었습니다. 또한, 플로리안은 yarGen, LOKI IOC Scanner, yarAnalyzer, FENRIR (Bash IOC Scanner) 및 APT Group Mapping (Google Docs), YARA Exchange 회원과 같은 여러 오픈 소스 Github 프로젝트의 저자이기도 합니다.
플로리안, 사이버 보안 분야에서 당신의 경력과 경험에 대해 조금 말씀해 주시겠어요?저는 2003년에 프랑크푸르트에 있는 Siemens에서 공격 연구원으로 커리어를 시작했습니다. 그 기간 동안 많은 펜테스팅을 수행하고 IDS/IPS 시스템을 튜닝하며 프랑크푸르트 지역 (은행 및 기타 대기업)의 고객을 위해 보안 모니터링 솔루션을 구축했습니다. 2012년, 저는 대규모 독일 기업에서 인적 행동의 형태로 바이러스 발생이 아닌 지속적인 보안 사건을 처음 경험했습니다. 그 이후로 저는 비슷한 문제로 다른 고객을 위해 일하게 되었고, 이러한 위협을 탐지하기 위한 도구, 지침 및 탐지 메커니즘을 개발하기 시작했습니다.당신은 Sigma 발명자 중 한 명입니다. 어떻게 그 아이디어가 떠올랐나요? Sigma와 같은 것을 어떻게 하게 되었나요?그 아이디어는 고객의 위협 탐지 매뉴얼을 위한 사용 사례 세트를 작업하면서 생겨났습니다. 고객은 다른 공급업체의 여러 PDF 문서를 제공하고, 새로운 SIEM 시스템에서 이러한 위협을 탐지하기 위한 검색 쿼리를 추출하고 작성하도록 요청했습니다. 저는 작업물의 출력물을 서류 정리함에 보관하는 걸 생각하며 “정말 낭비야. 이 탐지 아이디어를 표현할 더 나은, 더 일반적인 형태가 있어야 한다. 이 지구상에 나와 같은 문서와 검색 쿼리를 다른 SIEM 시스템에 대해 작업하는 다른 컨설턴트가 많이 있을 것이다. 우리 중 하나가 그 방법을 다른 사람들과 공유하고 변환할 수 있다면 모두가 이익을 얻을 것이다.”라고 생각했습니다.탐지 규칙을 작성하는 도구로서 Sigma가 얼마나 편리하다고 생각하십니까?우리는 많은 다른 SIEM 또는 로그 관리 플랫폼에서 광범위하게 지원하는 기능을 표준에 통합하기로 결정했습니다. 우리는 한두 플랫폼만 지원하는 SIEM 특정 기능은 제외했습니다. 이렇게 하여 표준을 간결하고 읽기 쉽게 유지할 수 있습니다. 새롭게 추가된 “정규 표현식” 수정자도 아직 모든 백엔드에서 지원되지 않는 것을 상상해 보세요. 따라서 규칙을 작성하는 것은 가능한 한 편리하다고 생각하지만, 일부 복잡한 탐지 아이디어는 표현할 수 없습니다.플로리안, Sigma를 위협 사냥 도구로 추천하시겠어요?네. 우리는 사람들에게 일반적인 악의적 행동을 탐지하기 위해 Sigma 규칙 작성을 권장하므로, Antivirus나 다른 솔루션이 놓친 위협을 탐지하는 데 도움이 될 수 있습니다. 공개 저장소에는 수년 전의 수많은 탐지 아이디어가 있지만 최신 Emotet 캠페인을 탐지하고 허위 양성을 발생시키지 않습니다. 이런 규칙들이 우리가 자랑스러워하는 것이며 새 사용자에게 가장 큰 가치를 제공합니다. 대부분의 Sigma 규칙이 무료이고 공개되어 있다고 상상해 보세요. 이는 공급업체가 엄청나게 비싸게 판매하는 탐지 노하우입니다. Sigma를 사용하면 기존 로그 관리 솔루션을 강화하고 추가 비용 없이 커뮤니티가 제공하는 탐지 방법을 적용할 수 있습니다. 예산이 있다면, SOC Prime의 TDM에서 제공하는 규칙과 같은 상업적 제안을 통해 이러한 규칙을 쉽게 확장할 수 있습니다.Sigma의 인기가 도구로서의 편리함뿐 아니라 커뮤니티가 적극적으로 콘텐츠를 공유하기 때문이라는 것은 비밀이 아닙니다. 공유는 무료지만, 복잡하고 까다로운 콘텐츠를 작성하여 세상을 더 안전하게 만들 수 있을 뿐 아니라 돈을 벌 수 있다는 생각이 좋지 않나요?네. 탐지 아이디어를 공유하는 두 가지 방법이 공존해야 한다고 생각합니다. 이는 시장이 발전하는 자연스러운 방식입니다 – 다양화되고 성장합니다.어떤 규칙을 만들지 결정할 때 어떻게 결정을 내리나요?저는 종종 커뮤니티를 위해 규칙을 만듭니다. 특정 방법이 매우 구체적이며, 규칙 작성에 많은 노력을 기울였거나 방법이 전적으로 기업 고객만을 대상으로 할 때 (예: APT 관련 행동) 규칙을 유료 콘텐츠로 만들기로 결정합니다.커뮤니티에서 사용할 규칙을 어떻게 선정하시나요? 이러한 규칙의 주요 기준은 무엇인가요?저는 트위터에서 핫한 주제인 현재 위협에 대한 규칙을 제공하는 것을 좋아합니다. 예를 들어, 누군가 새로운 위협을 보고하고 샘플 (익스플로이트 코드 또는 악성코드)을 제공하면, Sysmon이 설치된 분석용 VM을 시작하고, 샘플을 실행하고, 로컬 로그를 확인하고, 규칙을 작성하여 공개 저장소에 푸시합니다. 이 과정은 저에게 10분에서 30분 정도 소요됩니다. 공개 저장소를 자동으로 검색하고 적용하는 사용자는 Twitter에서 공공에 공개된 후 한 시간 이내에 SIEM에서 해당 위협을 탐지할 수 있는 방법을 얻을 수 있습니다. 과거에는 공공 채널을 모니터링하고, 위협을 분석하며, 자체 검색 쿼리를 작성하는 데 거의 불가능했거나 훨씬 더 많은 리소스가 필요했습니다.새로운 규칙을 작성하는 데 얼마나 시간이 걸리나요?몇 분이면 됩니다. 제가 작성하고자 하는 규칙과 유사한 기존 규칙을 템플릿으로 사용합니다. 우리는 다양한 로그 소스에 대해 선택할 수 있는 300개 이상의 규칙을 가지고 있습니다.Sigma UI에서 당신이 사용을 시작하기 위해 누락된 것이 무엇인가요?없습니다. 저는 Sigma UI의 도움 없이 유효한 규칙을 작성할 수 있는 YAML 구문 지원을 가진 텍스트 편집기를 선호합니다.플로리안, 콘텐츠 작성자로서 실험실이 있을 겁니다. 어떻게 규칙을 테스트하고 어떤 로그 소스를 선호하는지 궁금합니다.저는 다른 VM을 가지고 있습니다. Windows 머신은 Sysmon이 설치되어 있고, Linux 머신은 auditd가 구성되어 있습니다. 솔직히 말하자면, 저는 종종 로그를 내부 로그 관리 시스템으로 전달하지 않고, Sigma 규칙을 엔드포인트에 적용할 수 있는 저희 스캐너로 로컬에서 규칙을 검증합니다.그리고 당신은 Developer 프로그램이 전 세계 조직들이 사이버 보안을 개선하는 데 도움을 줄 수 있다고 생각하나요?네, 왜냐하면 이것이 보안 연구자들을 위한 필요한 인센티브를 창출하기 때문입니다. 우리는 모두 더 많은 콘텐츠를 얻습니다, 무료, 공개 및 상업적으로.
특히, 공격 섹터의 연구자들은 참가와 참가 사이에 훌륭한 규칙을 만들어 안정적인 수입을 얻을 수 있도록 시간을 할애할 수 있습니다. 시장에 이전에 있지 않았던 이러한 새로운 규칙 저자들은 TDM과 같은 시장에 콘텐츠를 추가하고 더 많은 콘텐츠를 제공합니다. 비록 비용이 드는 경우에도 모든 콘텐츠가 더 낫습니다. 종종 사람들은 그들이 만든 규칙의 품질을 증명해야 하며, 사람들은 일부 콘텐츠를 구매하기 시작합니다. 연구 기사와 공개 게시물에 무료 규칙을 추가합니다. 모두가 승리합니다.
회사는 여러 다른 저장소에서 큐레이션 된 규칙 피드에 접근하거나 오픈 소스 규칙 세트를 사용할 수 있습니다. 그들은 다른 사람에게 일정 기간 동안 비용을 지불하거나 자체 직원들에게 새로운 위협 탐지 규칙을 수집하고 유지하도록 지시할 수 있습니다. 수많은 다양한 무료 또는 상업적 소스가 모든 조직에 적합한 솔루션을 제공하고 사이버 보안을 개선할 수 있습니다.
