위협 현상금 개발자 인터뷰 – 아웅 쿄 민 나잉

SOC Prime에서 이미 좋은 전통이 되었을 때 Threat Bounty 회원들이 이야기를 공유합니다 자신의 전문 경로와 위협 보상과의 경험 및 성취에 대해 이야기합니다. 오늘 우리는 2022년 6월에 이 프로그램에 참여하여 이미 집단 사이버 방어에 활발한 기여자로 입증된 아웅 크야우 민 나잉과 함께합니다.

아웅 크야우 민 나잉의 규칙

자신과 사이버 보안에서의 경험에 대해 조금 이야기해 주세요.

안녕하세요! 저는 아웅 크야우 민 나잉입니다, 미얀마 만달레이 출신입니다. 2017년 전자 공학을 전공하고 졸업한 이후로 사이버 보안에 대한 관심이 제 경력을 이 분야로 추구하게 만들었습니다. 현재, 저는 태국에 본사를 둔 매니지드 보안 서비스 제공 회사에서 Cyber Security Analyst(위협 사냥)로 일하고 있습니다. 제 주요 책임은 사이버 위협 뉴스에서 악의적인 활동을 적극적으로 검색하고, 새로운 사이버 위협과 공격 기법을 해결할 행동 기반 탐지를 강화하기 위한 심층 연구를 수행하며, 중대한 보안 사건을 효과적으로 관리하는 것입니다. 경력 초기에, 인터넷 서비스 제공 회사에서 네트워크 엔지니어로 실무 경험을 쌓으며 동시에 사이버 보안 영역에 탐닉했습니다. 열정을 더하기 위해, 나는 현지 IT 솔루션 및 보안 회사에서 DDoS 방지에 전문적 경험을 쌓으며 보안 운영 센터 엔지니어로서 사이버 보안 전문 경력을 시작했습니다. 또한, 미얀마에서 가장 큰 민간 은행 및 음료 공기업에서 사이버 보안 전문가로 일할 기회를 가졌으며, 기술적 관점에서 PCS-DSS 프로젝트와 CIS 보안 통제를 구현하는 역할을 수행했습니다. 이는 VA 스캔을 수행하고, 사이버 공격을 탐지하고 경감하기 위한 일일 보안 모니터링 작업에 참여하며, 내부 팀 및 외부 제3자 조직의 시스템 엔지니어 및 개발자와 협력하는 작업을 포함합니다. 또한, 이 직책을 맡고 있을 때, eLearnsecurity 침투 테스터, CompTIA Cybersecurity Analyst (CySA+), Microsoft Security Operation Analyst 등 다양한 플랫폼에서 많은 국제 사이버 보안 인증을 검토했습니다.

SOC Prime에 대해 어떻게 알게 되었나요? Threat Bounty Program에 참여하기로 한 이유는 무엇인가요?

LinkedIn에서 SOC Prime을 발견한 후저의 이전 팀원이 개발자로서 Threat Bounty Program에 참여하여 규칙을 작성하고 사이버 공격을 탐지하는 데 기여하라고 추천했습니다. 이는 매일 새로운 공격 방법을 연구하고 조직이 사이버 보안 역량을 강화하는 것을 돕는 제 열정과 잘 맞았습니다. Threat Bounty Program에 참여하면 제 지식과 기술을 향상시킬 뿐만 아니라 사이버 보안 커뮤니티에 의미 있는 영향을 미칠 수 있다고 확신합니다. 또한, APT 집단의 활동에 특히 관심이 많으며 APT 그룹 구성원의 마음 속에 무엇이 있을 수 있는지 알고 싶습니다. 따라서 Sigma 규칙을 작성하는 기술을 습득하고 이를 사용하여 적대자 활동을 탐지하기로 결정했습니다.

오늘날 조직은 글로벌 사이버 전쟁의 공격을 견뎌야 하는 과제에 직면해 있습니다. 인프라를 보호하기 위해 어떤 조치가 가장 효율적일 수 있다고 생각하십니까?

Sigma 언어와 커뮤니티 기반 접근 방식을 활용하여 SOC Prime의 Threat Bounty Program은 사이버 보안 전문가 간의 협력을 촉진하고 emerging 위협을 적극적으로 탐지함으로써 조직이 인프라 보호를 강화하는 데 도움을 줍니다. 제 관점에서는 사이버 보안 분야에서 ‘예방이 이상적이지만 탐지는 반드시 필요하다’는 현행 개념이 지배적입니다. 따라서 Sigma는 현대의 멀웨어 위협, 최신 CVE, 목표로 하는 APT 활동에 대한 강력한 탐지 기능을 가능하게 하는 귀중한 자원으로 부각됩니다.

귀하의 경험을 바탕으로, 탐지하기 어려운 위협은 무엇이라고 생각하십니까?

제 의견으로는, 특정 탐지 지점을 위해 필요한 로그 소스 및 데이터 소스 유형을 식별하는 것이 첫 번째 단계입니다. 합법적인 응용 프로그램의 악용과 메모리 삽입 공격은 탐지가 어렵습니다. Sigma의 장점은 조작성과 유연함을 지닌 독특하고 일반적인 규칙 작성 언어로, 복잡하고 정교한 신종 사이버 위협에 대한 탐지 규칙을 지원하여 교차 플랫폼 보안 작업을 가능하게 한다는 점입니다. 제한점은 모든 공급업체를 지원하지 않으며 일부 규칙이 기존 보안 사용 사례에 대해 제대로 작동하지 않는다는 것입니다.

SOC Prime 플랫폼에 게시될 가능성이 더 높은 위협 사냥 Sigma 규칙을 개발하기 위해 어떤 기술이 필요하다고 생각하십니까?

Sigma 규칙 개발에 관한한, 저는 다양한 리소스에서 파생된 템플릿을 만드는 것이 일반적인 접근 방식입니다. SOC Prime에 대한 제 Sigma 기여의 대부분은 이러한 템플릿에 기반을 두고 약간의 조정이 포함되어 있습니다. Sigma 규칙을 만드는 저의 방법은 다음 목록에 단계별로 설명되어 있습니다:

• 위협 뉴스와 보고서를 업데이트하고 연구합니다.
• 위협 행위자 그룹을 추적하고 새로운 공격 패턴을 배웁니다.
• 그 본질을 깊이 이해합니다 Sigma 언어 와 문법.
• 사이버 보안 공격 개념, 로깅 서비스 및 데이터 소스에 대한 견고한 이해를 가집니다.
• 규칙을 작성하기 전에 SOC Prime 플랫폼 에서 기존 탐지 스택을 Lucene 검색을 사용하여 탐색합니다.
• Use Uncoder AI 를 사용하여 규칙을 검증하고 필요한 언어 형식으로 변환합니다.

SOC Prime의 Threat Bounty Program에 참여함으로써 어떤 이점을 보시나요? 다른 사람에게 이 프로그램에 참여하도록 추천하시겠습니까? 왜 그렇습니까?

SOC Prime Threat Bounty Program 은 기업과 개인 개발자에게 동등한 혜택을 제공합니다. 이 프로그램에 참여하면 조직이 신종 위협에 앞서 나아가는 동시에 개발자는 기여하고, 기술을 개선하며, 가치 있는 작업에 대해 보상을 받을 기회를 제공받습니다.