개발자 인터뷰: 리 아르키날

개발자 프로그램에 참여한 참가자들과의 일련의 인터뷰를 시작하고 있습니다 (https://my.socprime.com/en/tdm-developers) 관련 위협을 찾고 그것을 탐지하기 위한 독창적인 콘텐츠를 만드는 이 멋진 사람들을 소개합니다. Lee Archinal을 만나보세요!

안녕하세요, Lee. 오늘 자신과 개발자 프로그램에서의 경험에 대해 조금 써 주실 수 있다면 좋겠습니다.
커피 한 잔을 챙기고 귀하의 사이버 보안 경험에 대해 조금 알려 주시기 바랍니다.

제 사이버 보안 경력은 2015년에 Jr. 네트워크 관리자에서 물러난 후 시작되었습니다. 제 커리어의 다음 단계를 찾고 있다는 소식을 들은 가까운 친구가 보안 운영 센터에서 보안 분석가로서의 삶을 소개해 주었습니다. 그 이후로 후회를 한 번도 한 적이 없습니다! 초기에는 단순히 사용 사례 이벤트에 대응하는 수준 I 분석가를 시작했지만 Sysmon을 우연히 발견했고, 그것이 제 경력의 방향과 길을 확고히 했습니다. 저는 개인 노트북에서 Sysmon을 연구하고 테스트하기 시작한 다음 조직의 테스트 그룹으로 옮겼고 결국에는 Sysmon을 전사적으로 배포하게 되었으며, 그 결과 엔드포인트 S.M.E라는 칭호(책임)을 받았습니다(아직도 그 칭호에 걸맞게 살기 위해 노력하고 있습니다). 그 이후로 SOC Prime에 이르게 된 엔드포인트 탐지 콘텐츠를 시작하게 되었습니다. 이후 업무에서 악성코드 실험실을 구축하고 다양한 악성코드와 공격 기법(Red Tests)를 감지하고 분석하기 시작하면서 또 다른 길을 걸었습니다. 오늘날 제가 서 있는 이 위치까지 와 있으며, 제 목표는 좀 더 균형 잡힌 분석가가 되어 단순히 엔드포인트 이상의 전문성을 얻는 것입니다.

Sigma에 대해 첫 경험은 언제였고, 사용을 시작한 시기는 언제인가요? – what was your first experience with Sigma, when you started to use it.

저는 2017년에 Sigma를 연구하기 시작했습니다. 동료 분석가가 보안 회의에서 돌아와 SOC Prime과 Sigma 언어를 조사해야 한다고 말했습니다. SOC Prime이 제공하는 것, 주로 Threat Detection Marketplace에 대해 알게 된 후, 매료되었습니다. Jorda Camba가 저에게 연락했을 때 Sigma를 계속 연구했습니다. 우리는 SOC Prime의 기능과 Sigma가 콘텐츠를 설계할 때 얼마나 강력한 도구가 될 수 있는지를 논의했습니다. 주요 개념과 약간의 경험을 쌓고 나서, 저는 SOC에서 큰 Sigma로 콘텐츠를 설계하기 시작했습니다. 이것은 우리가 사용하는 SIEM에 대한 유연성을 제공하고 Sigma 언어를 개발하는 과정에서 많은 경험을 쌓을 수 있었습니다.

(Sigma 사용자 인터페이스)와 관련된 경험은 어떻습니까? 개발자에게 더 유용하거나 편리하게 만들 수 있는 아이디어가 있나요? (Sigma 사용자 인터페이스)와 관련된 경험은 어떻습니까? 개발자에게 더 유용하거나 편리하게 만들 수 있는 아이디어가 있나요?. Do you have any ideas on how to make it more useful/convenient for developers?

2018년 초에 Sigma를 작성하기 시작한 이후로, 많은 콘텐츠를 만들었습니다. 지금 제 SOC에는 내가 만든 규칙의 멋진 저장소가 있는데, 나중에 SIEM이 변경되더라도 기존 콘텐츠를 유지할 수 있습니다. 개발자 편의를 증가시키기 위한 유일한 방법은 Sigma에서 다른 SIEM으로 필드 매핑에 대한 가능성 있는 참조용 치트 시트 제공(주로 저처럼 두 가지 SIEM 밖에는 경험이 없는 주니어 분석가나 연구원용)이나 Uncoder.io 사이트에서 드롭다운이나 탭을 통해 개발자들이 사용할 수 있는 필드에 대한 아이디어를 제공하는 것입니다. 개인적으로는 알고 있는 필드에 잘 붙어 있었습니다만, 앞으로는 더 많은 것을 배우고 싶습니다.

규칙 하나를 작성하는 데 얼마나 시간이 걸리나요?

출처에 따라, 규칙을 만드는 데 10분도 걸리지 않을 수 있습니다(매우 분석적인 보고서에서부터 진행)에서 4시간 이상 걸릴 수 있습니다. 몇 시간이나 걸려 만드는 규칙은 다운로드한 악성코드 조각이 출처인 경우입니다, Any.Run 사이트와 같은 곳에서 가져옵니다. 같은 유형의 조각을 여러 개 가져와 샌드박스와 악성코드 실험실에서 폭파합니다. 이렇게 하면 샌드박스 결과를 수집하여 수동 결과와 비교하여 공통 프로세스와 액션을 찾을 수 있습니다. 결과에 만족할 때 (수 시간 후) Sigma로 규칙을 작성한 다음, 선택한 SIEM으로 번역합니다. 그 후 모든 데이터를 지우고 스냅샷에서 악성코드를 다시 실행하여 Sigma 번역이 기대한 결과를 찾을 수 있는지 확인합니다. 찾을 수 있다면 게시하고 그렇지 않으면 처음부터 다시 시작합니다.

어떤 규칙을 만들지 어떻게 결정하시나요?

정말로 제가 결정하지 않고, 인터넷에 따라 정합니다. 보안 웹사이트와 보고서를 지속해서 확인하고 새로운 악성코드에 대해 읽는다면 샘플이나 분석 보고서를 찾아 만들어봅니다. 이런 보고서에서 모든 정보를 다 사용하게 된다면(거의 일어나지 않지만) SOC Prime 위협 탐지 마켓플레이스로 돌아갑니다. 조던이 레드카나리 테스트를 소개해주고 난 뒤, 저는 레드 테스트의 블루 팀 측면을 반영하는 콘텐츠를 만드는 것을 목표로 하고 있습니다. 제 주요 로그는 현재 Sysmon이며, 많은 콘텐츠가 엔드포인트 탐지 콘텐츠가 될 것입니다.

개발자 프로그램이 전 세계의 조직이 사이버 보안을 개선하는 데 도움이 될 수 있다고 생각하십니까?

이것은 분명히 ‘예’입니다. 개발자 프로그램은 전 세계에서 다양한 수준의 경험을 가진 개발자에게 자리을 제공하여 악의적인 행위자에 대처하도록 돕습니다. 개발자 프로그램의 자리는 명예로운 일일 뿐만 아니라, 전 세계의 보안 팀과 조직에 대한 책임감입니다. 가볍게 생각되어서는 안 됩니다.

Lee Archinal이 개발한 탐지 콘텐츠는 여기.
위협 현상금 프로그램의 다른 참가자들과의 인터뷰: https://socprime.com/tag/interview/