개발자 인터뷰: 스리만 샨커

SOC Prime의 가장 활발한 참가자 중 한 명인 스리만을 만나보세요 Threat Bounty Program. 스리만은 2019년 12월부터 Threat Bounty Program에 참여해 왔습니다.

Threat Detection Marketplace에 자신이 개발한 콘텐츠를 게시하기 시작하기 전에, 스리만은 Azure Sentinel 및 Microsoft Defender ATP의 기존 TDM 콘텐츠 번역에 많은 변경과 개선을 기여했습니다.

스리만이 개발한 규칙을 보려면 링크를 확인하세요: https://tdm.socprime.com/?searchValue=tags.author:sreeman

스리만, 자신에 대해 그리고 사이버 보안에 대한 경험을 조금 말해 주세요.

저의 보안에 대한 첫 소개는 컬트 인기작 “Wargames”를 봤을 때였습니다. 저는 즉시 정보 보안이 대학교에 입학했을 때 제가 전공할 것이란 것을 알게 되었습니다. 저는 보안 분야에서 약 6년 동안 일하고 있으며, 처음에는 보안 분석가로 시작해 현재는 더 많은 위협 사냥과 사건 대응을 하고 있습니다. 새로운 공격 방법의 논리를 이해하고 연구하는데 주중 상당한 시간을 보내고 있습니다. 또한 Hack In The Box 보안 컨퍼런스의 활발한 팀 멤버이기도 합니다.

기존 보안 시스템에 대한 규칙 작성을 경험한 상태에서 Sigma 언어를 숙달하기란 얼마나 어렵습니까?

솔직히 말해, 자전거 타는 것을 배우는 것만큼 쉽습니다. 기본을 이해하고 보조 바퀴를 제거하면 포맷과 문법이 빨리 익숙해지면서 앞으로 나아가는 것은 거의 같습니다. 이전에 왜 이런 것이 만들지 않았는지 놀라운 일이지만, Florian Roth는 상자 밖에서 생각하여 파란팀/SOC 환경에서 일하는 모든 사람에게 진정으로 도움이 되는 아이디어를 생각해 냈습니다. 서로 다른 SIEM은 서로 다른 규칙 작성 방식을 가지고 있지만, 핵심 논리는 본질적으로 동일합니다. 이는 정확히 SIGMA가 수행하는 것입니다. 우리는 단순 생활 용어로 탐지 전략이 무엇인지 적어두고, 사람들이 이를 자신의 SIEM 질문 언어로 변환하는 것입니다.

솔직히 아직도 문법 오류를 꽤 많이 저지르고 있으며, TDM의 사람들이 제 성급함에 아마도 짜증이 나겠지만 잘못된 점을 저에게 알릴 시간을 내어 준 것에 감사합니다.

커뮤니티 개발에 적극적으로 참여하고 있습니다: 탐지 콘텐츠를 게시할 뿐만 아니라 게시된 커뮤니티 규칙을 검토하고 Uncoder를 통해 자동 번역할 수 없는 규칙의 경우 플랫폼에 자신의 번역을 제공합니다. 시간이 얼마나 걸리나요?

앞서 언급한 바와 같이, SIGMA 규칙이 전달하는 논리는 매우 이해하기 쉽습니다. 규칙이 무엇에 관한 것인지 알고 있다면 다른 플랫폼에 복제하는 것이 정말 간단합니다. 해당 플랫폼에서 효율적인 질문을 작성하는 방법을 아는 것이 시간을 좌우합니다. 일부 질문에는 몇 분 정도 소요되며, 일부는 약간 더 오래 걸릴 수 있습니다.

Threat Detection Marketplace에 기여한 모든 위협 탐지 콘텐츠는 무료로 제공되며 전 세계 사이버 보안 전문가들이 위협을 탐지하는 데 도움을 줍니다. 커뮤니티 규칙만을 게시하는 동기는 무엇입니까?

보안 커뮤니티의 훌륭한 점은 모든 사람들이 자신의 지식과 발견을 공유한다는 것입니다. Samir Bousseaden, Florian Roth, @hexacorn, Oddvar Moe 같은 사람들, 그리고 많은 사람들이 시간을 내어 공격을 설명하고 시연하고 사냥을 위한 규칙을 작성합니다. 저는 이 모든 사람들에게 많은 것을 배웠으며, 한 푼도 지불하지 않았습니다. 이 모든 지식을 흡수한 후 커뮤니티에 아무것도 요구하지 않고 기여하는 것이 공평하다고 생각합니다.

SOC Prime Threat Bounty Program의 가장 큰 이점은 무엇이라고 생각하십니까?

전 세계의 블루팀/위협 사냥꾼들이 단일 화면으로 모여 필요로 하는 위협 탐지 규칙을 식별하고 사용할 수 있도록 도와주는 정말 좋은 플랫폼입니다(아마도 유일한 플랫폼일 수도 있습니다). 뿐만 아니라, 여기가 모든 SIEM/로그 수집기에 맞는 세계 최대의 탐지 규칙 저장소일 것입니다. 이제 막 시작하는 SOC는 이러한 규칙을 활용하여 규칙 성숙도에 즉각적인 시작을 얻을 수 있습니다. MITRE ATT&CK 매핑은 또한 팀이 산업에 적합한 탐지 규칙을 도입하고 부족했던 전술에 대한 탐지 규칙을 증가시키는 것을 허용합니다. SOC Prime과 프리랜서 개발자들은 새로운 보안 발견에 따라 매일 규칙을 추가하고 있습니다.

더 나아가, TDM 시장은 조직이 조직적 필요에 더 맞춰진 탐지 규칙(특정 APT 규칙 등)을 요청할 수 있게 합니다. 이것은 조직에 이점을 제공할 뿐만 아니라 규칙을 만드는 개발자들에게도 인센티브가 됩니다. 많은 다른 플랫폼이 제공하지 않을 것으로 생각되는 탐지 규칙에 대한 “버그 바운티” 프로그램으로 생각해 보세요!

최신 규칙 다이제스트를 확인하고 스리만이 개발한 콘텐츠의 예를 살펴보세요: https://socprime.com/en/blog/rule-digest-trojans-cyberspies-and-raticate-group/

다른 개발자들과의 인터뷰를 읽어보세요: https://socprime.com/en/tag/interview/