개발자 인터뷰: 시티콘 상랏따나피탁

오늘, 우리는 위협 탐지 마켓플레이스의 새로운 탐지 콘텐츠 저자를 독자들에게 소개하고자 합니다. SOC Prime Threat Bounty Program의 활동적인 멤버인 Sittikorn Sangrattanapitak을 만나보세요.

Threat Bounty Program에 대한 읽을거리 – https://my.socprime.com/tdm-developers
Threat Bounty Program 개발자와의 더 많은 인터뷰 – https://socprime.com/tag/interview/

자신과 사이버 보안 전문가로서의 경로에 대해 조금 이야기해 주세요.

제 이름은 Sittikorn입니다. 태국 출신입니다. 저는 대학교 때부터 사이버 보안에 관심이 있었습니다. 정보 보안 엔지니어로 이 분야에서의 직업을 시작했습니다. 고객에게 WAF, NGFW, SIEM과 같은 보안 솔루션에 대한 지원을 제공했습니다. 특히 SIEM 솔루션에 관심이 많았는데, 이 솔루션은 여러 소스와 여러 제품에서 관련 데이터를 수집하고, 많은 이벤트를 상관하여 정상 활동에서 벗어난 것을 식별하기 때문입니다. 직장을 바꾼 후, 지역 MSSP에서 일했습니다. 그러다가 2016년에 ArcSight를 위한 헌팅 패키지를 찾던 중 SOC Prime을 처음 알게 되었습니다. SIEM 엔지니어, SOC 분석 전문가, 위협 인텔리전스 분석가 등 여러 역할에서 일했습니다. 현재는 위협 헌팅, 위협 인텔리전스 및 보안 연구원으로 일하고 있습니다.

Sittikorn, Threat Bounty Program에 가입한 후 위협 탐지 콘텐츠 기여의 리더 중 하나가 되었습니다. 커뮤니티와 콘텐츠를 공유하려는 당신의 동기는 무엇입니까?

레드팀 기술이 필요한 버그 바운티 프로그램은 이미 잘 알려져 있습니다. 블루팀 기술을 도전할 수 있는 바운티 프로그램을 만드는 회사가 있는지 궁금했습니다. 이것은 자신의 기술, 비전, 새로운 아이디어를 개발하고, 펜테스터로서 돈을 벌 수 있는 좋은 방법입니다.

올해 새로운 직장을 시작하면서 새로운 탐지 콘텐츠의 필요성을 느꼈고 Threat Detection Marketplace를 기억해냈습니다. SOC Prime 웹사이트를 방문하여 이 프로그램에 가입하기로 결정했습니다. 보안 운영 센터와 위협 헌팅 경력이 10년이 넘었고, Threat Detection Marketplace 커뮤니티 구성원들에게 유용한 새로운 탐지 콘텐츠를 만들 수 있다고 믿습니다. 올해는 클라우드 사이버 공격에 대한 연구를 하며, 커뮤니티와 경험을 공유하여 많은 클라우드 사이버 공격을 예방하고 싶습니다.

클라우드와 관련된 많은 콘텐츠를 작성하고 계신데, 그 이유는 무엇인가요?

오늘날 대부분의 조직이 클라우드로 이동하는 이유는 쉽게 관리할 수 있고, 비용을 절감하며, 확장 가능하기 때문입니다. 많은 사람들이 클라우드의 사이버 보안에 대한 지식과 이해가 부족한 반면, 사업주는 고객에게 최대한 빨리 제품을 제공하고 싶어 합니다. 이러한 이유는 클라우드 시스템에 침투하여 데이터를 탈취하려는 해커들에게 취약성이나 약점이 됩니다. 관리자가 클라우드의 사이버 보안을 무시하면 해커에게 쉬운 목표가 됩니다. 지난 해, 많은 클라우드 시스템에서 중요한 정보와 고객 정보가 유출되었습니다. 이러한 이유로 최신 상황에 맞춰 새로운 탐지 방법을 연구하고 발견하려고 노력합니다.

Sigma 규칙 작성에 능숙해지는 데 얼마나 시간이 걸렸나요? 이를 마스터하기 위해 필요한 기술적 배경은 무엇인가요? 평균적으로 새로운 IOC Sigma 규칙과 위협 헌팅 Sigma 규칙을 작성하는 데 얼마나 시간이 걸리나요?

기본적으로 저는 지난달에 Sigma 규칙 작성을 배우기 시작했습니다. Thomas Patzke의 웹사이트에서 Sigma Rule 작성에 대한 기사를 읽고, Threat Detection Marketplace와 GitHub의 많은 Sigma 규칙을 보았습니다. ArcSight SIEM 규칙을 Sigma 규칙으로 번역해 Threat Detection Marketplace에 제출하려고 했습니다. 여러 번 수정을 거쳐 ‘승인’ 상태를 얻었고, 그 과정에서 Sigma에 대해 더 잘 이해하게 되었습니다. 제 생각에 마스터가 되고 싶다면 여러분이 잘 이해하는 행동이나 로그 소스를 기반으로 Sigma 규칙 작성을 시작하면 됩니다. 오래 걸리지 않을 것입니다.

새로운 Sigma 규칙을 작성하는 데 필요한 평균 시간은 규칙의 복잡성, 이벤트 로그의 예 및 거짓 탐지를 줄이기 위한 특정 조건에 따라 다릅니다. 일반적으로 각 규칙당 약 15 – 60분 정도 소요됩니다.

Sittikorn, Pandemic은 많은 위협 행위자가 그들의 활동을 증가시켜 사이버 보안 실무자에게 또 다른 도전 과제가 되었습니다. Pandemic이 당신의 일상 업무에 어떻게 영향을 미쳤는지 알려주세요.

우리는 해커처럼 생각해야 합니다. 원격 채널, 클라우드 콘솔 관리, 클라이언트 관리를 모니터링하고, Pandemic 캠페인에 대한 최근의 위협 인텔리전스를 업계 최신 상태로 유지한 후, IoC를 보안 보호에 적용해야 한다고 믿습니다.

SOC Prime Threat Bounty Program의 가장 큰 혜택은 무엇이라고 생각하십니까?

Threat Bounty 프로그램은 블루 팀원들이 그들의 SOC와 Threat Hunting 경험을 통해 수익을 창출할 수 있는 완벽한 프로그램입니다. 이는 펜테스터를 위한 버그 바운티 프로그램에 뒤지지 않으며, 새로운 공격과 새로운 악성코드에 대한 탐지 방법을 배우고 창의적으로 사고하는 새로운 열정을 안겨줍니다.