개발자 인터뷰: 토마스 파츠케
우리는 위협 바운티 프로그램의 개발자들을 계속 인터뷰하고 있습니다 (https://my.socprime.com/en/tdm-developers) 더 많은 시그마 규칙을 개발하고, 위협 탐지 콘텐츠를 공유하며 더 강한 커뮤니티를 구축하도록 사이버 보안 전문가들을 격려하기 위해서입니다. 이전 인터뷰는 여기에서 보실 수 있습니다 https://socprime.com/blog/interview-with-developer-florian-roth/
토마스 파츠케를 만나보세요
토마스는 13년 이상의 정보 보안 분야 경험을 지닌 사이버 보안 커뮤니티에서 가장 영감을 주는 전문가 중 한 명입니다. 그는 ThyssenKrupp CERT에서 블루 팀 및 위협 헌터로 활동하며 플로리안 로스와 함께 시그마 제작자입니다. 토마스 파츠케는 시그마 프로젝트에 기여할 뿐만 아니라 Sigmac의 코드를 작성하고 커뮤니티와 사이버 보안 관련 도구를 공유하는 경험 많은 개발자입니다 (https://gist.github.com/thomaspatzke).
자기소개와 위협 헌팅 경험에 대해 조금 말씀해 주세요.
저는 2006년 컨설턴트로서 다양한 프로젝트와 함께 정보 보안 분야에서 일을 시작했습니다. 곧 공격적 보안, 구체적으로는 애플리케이션 보안으로 전환하였고, 가끔씩 사고 대응 프로젝트에서 로그 및 포렌식 분석을 수행했습니다. 이러한 IR 작업이 작았지만, 업무는 매우 흥미로웠고, 방어 주제에 대한 관심은 시간이 지나며 계속 커졌습니다. 2015년에 CERT에서 일하기 시작하면서 흥미로운 사건과 위협 행위자들과 계속해서 접촉하게 되었고, 방대한 데이터를 분석하여 공격자를 찾는 것이 처음부터 저를 매료시켰습니다. 최종적으로 저는 공격적 보안에서 위협 헌팅 및 사고 대응으로 완전히 전환했습니다.
당신은 시그마 발명자 중 한 사람입니다. 시그마의 아이디어를 완성된 개념으로 발전시키는 데 얼마나 시간이 걸렸나요? 토마스, “시그마”라는 이름은 어떻게 선택되었나요? 당시 시그마가 전 세계 수천 명의 사이버 보안 전문가들에 의해 사용될 것이라 예상했나요?
시그마를 구축하는 과정은 유연하고 매우 민첩했습니다. 플로리안이 처음 로그 이벤트의 시그니처 형식 아이디어를 가지고 저에게 연락했을 때 이미 그의 아이디어는 매우 구체적이었습니다. 우리는 음성 메시지를 주고받으며 이 아이디어를 함께 다듬었고, 플로리안은 이미 첫 번째 시그마 규칙을 작성했습니다 (https://github.com/Neo23x0/sigma/commit/87deb349adb22331aae1b923420d382fea278d2c) 이 규칙들은 오늘날 작성되는 시그마 규칙들과 크게 다르지 않습니다. “시그마”라는 이름은 플로리안의 아이디어이며, 제가 아는 플로리안은 그 뒤에 이야기가 있겠지만, 그에게 직접 물어보셔야 할 것입니다 😉 저는 그 이름이 마음에 들었고 그래서 그것으로 결정했습니다.
앞으로도 우리는 시그마를 더욱 정교하게 다듬었고, 로그 시그니처 공유에서 발견된 다양한 필드 명명 규칙과 같은 많은 도전과제를 해결했습니다. 두세 달 후에 우리는 출판할 준비가 된 것으로 간주했지만, 초기 릴리스 이후에도 새로운 개념이 추가되었고 앞으로도 추가될 것입니다.
저는 시그마가 몇몇 사람들에게 유용할 것이라 예상했습니다. 왜냐하면 플로리안과 제가 사건 처리에서 겪은 고통을 바탕으로 개발되었기 때문이며, 이 분야의 다른 사람들도 같은 고통을 겪고 있다는 것을 알고 있었습니다. 많은 사람들로부터의 긍정적인 피드백과 다양한 조직의 사건 대응팀에 의한 채택은 제 기대를 훨씬 초과한 것이었습니다.
토마스, 위협 탐지 도구로서 시그마의 주요 이점은 무엇인가요?
시그마의 주요 이점은 특정 이벤트에 대한 로그 시그니처라는 위협 탐지의 결과를 하나로 배포할 수 있는 점에 있습니다. 만약 그것을 시그마 규칙으로 표현할 수 있다면, 이질적인 탐지 인프라를 가진 조직에서도 쉽게 배포할 수 있습니다. 역사적으로 발전한 IT 인프라 때문에, 혹은 다른 목적으로 다양한 해결책들이 사용되기 때문에 대규모 조직에서는 서로 다른 SIEM 시스템을 갖는 것이 일반적입니다. 시그마를 사용하면 한 번만 규칙을 작성하고, SIEM을 위한 Splunk 및 ArcSight 쿼리로 변환할 수 있으며, 데이터 레이크를 위한 Elasticsearch 쿼리, 의심스러운 시스템 트라이어링을 위한 Grep 또는 PowerShell 원라이너로 변환할 수 있으며, 커뮤니티와 공유할 수 있습니다.
새로운 시그마 규칙을 작성하는 데 가장 복잡하고 시간이 많이 드는 부분은 무엇이라고 생각하시나요? 새로운 시그마 규칙을 작성하는 데 평균적으로 얼마나 많은 시간이 걸리나요?
저에게는 시그마 규칙을 작성하는 데 몇 분밖에 걸리지 않습니다. 이는 보통 로그 시그니처로 이어지는 연구에 소비되는 시간의 극히 일부에 불과합니다. 플로리안과 저는 시그마를 사람이 편리하게 작성할 수 있도록 설계하는 데 노력을 들였습니다. 시그마의 복잡한 부분을 확인하는 데는 약간의 편견이 있을지도 모르겠습니다. 이는 개선할 점이 있는 경우 GitHub 이슈를 통해 또는 직접 저희에게 연락하는 것을 주저하지 말아야 한다는 사용자 피드백에 의지하는 부분입니다.
시그마는 전 세계적으로 점점 인기를 얻고 있습니다. 시그마 규칙이 산업에 어떻게 영향을 미친다고 생각하시나요? 시그마의 미래에 대해 어떤 구체적인 발전 전망을 가지고 계시나요?
몇몇 시그마 사용자들은 시그마를 보안 제품 제안 요청서(RFP)에 요구 사항으로 넣고 있다고 들었습니다. 이는 시그마를 신뢰하기 때문이며, 우리는 이미 시그마 지원을 자사 제품에 통합하고자 원하는 다양한 보안 공급업체들과 접촉한 바 있습니다. YARA와 Snort가 이미 많은 제품에 통합되어 있듯이 보안 제품에서 시그마가 네이티브로 지원되는 장면을 볼 수 있으면 좋겠습니다. 저는 시그마 변환기의 많은 부분을 개발했지만, 네이티브 시그마 지원으로 인해 그것이 쓸모없어지는 것은 전혀 상관없습니다!
SOC Prime에서 우리는 사이버 보안 전문가 간의 콘텐츠 공유를 장려하는 위협 바운티 프로그램을 시작했습니다. 토마스, 시그마 규칙 및 기타 위협 탐지 콘텐츠를 공유하는 개발자들에게 보상을 제공하는 아이디어를 좋아하시나요?
네! 공격적 보안 연구원으로서, 연구에 대해 보상을 받을 것인지 연구를 공개하여 명성을 높일 것인지를 선택할 수 있습니다. 위협 바운티는 이를 방어적 연구로 확장하며 두 분야 간의 보상 불균형을 해결하는 데 좋은 단계입니다. 저는 연구 결과를 자유롭게 공개하는 것을 선호하며, 사람들이 미래에도 그렇게 할 것이라 믿습니다. 위협 바운티는 심지어 더 많은 사람들이 방어적 보안 연구에 시간을 투자하고 전체 상황을 개선하는 것을 자극할 수도 있습니다.
시그마 규칙을 작성하는 방법을 배우는 사이버 보안 전문가에게 추천할 만한 조언이 있습니까?
콘텐츠가 중요합니다! 저는 시그마 규칙을 작성하는 것이 비교적 쉽고 학습 곡선이 상당히 가파르다고 생각합니다. YAML 지원이 있는 에디터면 충분하며, SOC Prime Sigma UI와 같은 웹 기반 도구가 시그마 규칙 작성 중 분석가를 지원합니다. 따라서 시그마를 배우기 위한 제 조언은 매우 간단합니다: 나가서, 멋진 연구를 수행하거나 기존 연구를 참조하고(크레딧을 잊지 말고!) 시그마 규칙을 만들어 보세요. 시간이 지나면 자연스럽게 시그마에 능숙해질 것입니다.
