위협 버운티 개발자와의 인터뷰 – 메멧 카디르 시리크
우리는 SOC Prime의 열정적인 멤버들에 대해 계속 이야기하면서, Threat Bounty 커뮤니티 그들의 직업적 성장과 전 세계 사이버 방어에 기여하는 규칙을 개발하는 데 전문성을 확장하는 이야기를 공유합니다. 오늘은 소개합니다. Mehmet Kadir CIRIK씨는 2023년 1월에 프로그램에 참여하여 그 이후로 꾸준히 그의 탐지를 기여하고 있습니다.
자신과 사이버 보안 경험에 대해 조금 이야기해 주세요.
안녕하세요! 저는 Mehmet Kadir CIRIK이고, 22세입니다. 저는 2001년에 터키의 메르신에서 태어나 그곳에서 자랐습니다. 현재 저는 피라트 대학교의 포렌식 정보 공학과 및 컴퓨터 공학과의 마지막 학년 학생입니다. 대학 2학년 때 저는 Erasmus 프로그램의 일환으로 8개월 간 북마케도니아의 컴퓨터 과학과에서 공부했습니다. 대학 2학년 이후 사이버 보안 분야에서 정식으로 일하고 있습니다. 이스탄불에 기반을 둔 회사에서 블루팀 엔지니어 및 위협 연구원으로 일하고 있습니다. 제 주요 책임은 사이버 위협 뉴스 피드 내 악성 활동의 능동적 조사, 신흥 사이버 위협 및 공격 기술을 해결하기 위한 행동 기반 탐지를 개발하는 심층 연구, 그리고 중요한 보안 사건의 효과적인 관리를 포함합니다. 저는 처음에 사이버 위협 인텔리전스에서 경력을 시작했습니다. 이후에는 MDR 분석가로 일하면서 제 포렌식 기술을 개발했습니다.
SOC Prime에 대해 어떻게 알게 되셨나요? Threat Bounty 프로그램에 참여하기로 결정한 이유는 무엇인가요?
처음에는 LinkedIn의 게시물에서 SOC Prime을 발견했습니다. LinkedIn. 그때까지 Sigma 규칙을 작성해보고 싶었지만 실제로 Sigma 규칙을 작성해본 적이 없었습니다. 현재 일하고 있는 회사에서 Sigma 규칙을 작성하고 SOC Prime 플랫폼에 게시하기 위한 방법에 대한 지원과 지도를 선배들로부터 받았습니다. Sigma 규칙을 작성함으로써 짧은 시간 내 많은 취약점과 공격 기술에 대해 지식을 얻고 기술을 향상할 수 있습니다. 특히 APT 집단의 활동에 관심이 많아 APT 집단 구성원의 마음속에는 무엇이 있을지 궁금합니다. 그렇기 때문에 SOC Prime의 Threat Bounty의 멤버로 가입하게 되었으며 규칙을 정기적으로 작성하려고 신경 쓰고 있습니다.
SOC Prime 플랫폼에 게시될 가능성이 높은 Sigma 규칙을 개발하기 위해 어떤 기술이 필요하다고 생각하십니까?
SOC Prime 플랫폼에 게시될 가능성을 높이기 위해 탐지에 대한 거짓이거나 오해의 소지가 있는 인식을 만들지 않도록 규칙의 내용에 대해 특별히 신경 써서 규칙을 작성합니다. 또한 제 규칙이 오랜 시간 동안 악성 활동을 탐지할 수 있도록 규칙을 구성합니다. APT 그룹 또는 악성코드의 TTP 행동을 직접 겨냥하여 이러한 TTP에 따라 규칙을 작성합니다. 따라서 공격자가 행동 (파일 이름, 파일 해시, 도메인 이름)을 변경하더라도, 작성한 규칙은 계속해서 공격을 포착할 수 있도록 합니다.
오늘날 조직들은 글로벌 사이버 전쟁의 공격을 견디는 도전에 직면해 있습니다. 인프라를 보호하기 위해 가장 효율적일 수 있는 조치는 무엇이라고 생각하십니까?
조직들은 SOC Prime 플랫폼 내 탐지 알고리즘, 특히 Threat Bounty 멤버들이 개발하고 공유한 Sigma 규칙을 사용하여 인프라를 보호할 수 있습니다. 새로운 취약점, APT 그룹 활동, 악성코드에 대한 유효한 탐지 메커니즘으로서 이러한 규칙은 유용한 탐지 기능을 제공하여 최신 악성코드 위협, 최신 CVE, 특정 APT 활동에 대한 강력한 탐지를 가능하게 합니다.
탐지하기 가장 복잡한 위협 유형은 무엇인가요? 실제 사례를 하나 드실 수 있을까요?
고급 사이버 공격 또는 특정 공격은 일반적으로 탐지하기 가장 복잡한 위협 유형으로 간주됩니다. 이러한 공격은 세련된 기술, 보안 조치 및 고급 스킬이 필요한 공격입니다. 이러한 공격은 주로 국가 지원 단체, 고급 지속 위협(APT) 또는 경험이 풍부한 공격자에 의해 수행됩니다.
예를 들어, “Stuxnet”로 알려진 사이버 공격은 매우 복잡한 웜 바이러스였으며 배포 및 확산이 어려웠습니다. 이 공격은 2010년에 이란의 핵 프로그램을 타겟으로 하여 그 목표를 침투하여 원자로의 제어 시스템을 방해했습니다. 가해자의 신원은 알려지지 않았으나, 이 공격은 매우 정교하고 아마도 국가 지원 작전일 것으로 추정됩니다.
저는 SOC Prime 플랫폼에 최근 게시된 규칙에 주목할 것을 제안합니다. 왜냐하면 사이버 공격이 점점 더 정교해지고 있으며, 점점 더 많은 회사, 기관 및 개인이 이러한 공격의 영향을 받고 있기 때문입니다.
강력한 사이버 방어를 구축하고자 하는 조직에게 첫 번째 우선 순위는 무엇이어야 한다고 생각하십니까?
경험이 풍부한 위협 사냥꾼으로서, 조직의 첫 번째 우선 순위는 지속적인 모니터링과 위협 인텔리전스 수집이어야 한다고 말할 수 있습니다. 좋은 위협 인텔리전스는 공격을 탐지하고 방어를 강화하는 데 필수적입니다. 위협이 지속적으로 변화 및 진화하는 환경에서, 최신 위협 정보를 기반으로 한 방어 전략을 수립하는 것이 중요합니다. 특히, 다음과 같은 주제는 위협 사냥꾼이 귀중한 통찰력을 제공할 수 있는 분야입니다.
- 새로운 공격 방법 및 기술: 지속적으로 등장하는 새로운 공격 기술과 방법을 탐지하는 것은 방어 조치를 최신 상태로 유지하는 데 중요합니다.
- 취약점 발견: 시스템의 취약점을 탐지하고 보고하는 것은 공격에 대한 방어에 큰 기여를 합니다. 특히 침투 테스트 및 취약점 스캔과 같은 기술을 사용하여 수행된 발견은 사이버 방어에 중요한 역할을 합니다.
- 악성코드 및 악성 활동: 악성코드를 탐지하고 분석하며 예방하는 것은 조직의 보안을 유지하는 데 필수적입니다. 이 분야에서 이루어진 탐지는 공유된 위협 인텔리전스에 기여합니다.
SOC Prime의 Threat Bounty 프로그램의 가장 큰 이점은 무엇이라고 생각하십니까?
제 생각에 SOC Prime의 Threat Bounty 프로그램의 가장 큰 이점은 다음과 같습니다:
- 커뮤니티 참여: Threat Bounty 프로그램은 글로벌 위협 사냥꾼 커뮤니티를 육성하여 사이버 보안 전문가가 네트워크를 구축하고 지식을 공유하도록 장려합니다. 이로 인해 다양한 경험과 관점을 활용하여 효과적인 위협 탐지 및 방어를 보장합니다.
- 보상 및 동기 부여: 프로그램은 참가자에게 금전적 보상 을 제공합니다. 이는 위협 사냥꾼을 동기부여하고 더 큰 참여를 장려합니다. 또한 참가자는 자신의 재능을 보여주고 업계에서 인정받을 기회를 얻습니다.
- 위협 인텔리전스 개발: 프로그램은 참가자들이 위협 인텔리전스에 전문성을 갖출 수 있도록 합니다. 발표된 탐지는 공유된 위협 인텔리전스에 기여하며 강력한 사이버 방어를 제공하는 데 사용할 수 있습니다.
제 경험에 따르면, Threat Bounty 프로그램에 참여하여 탐지를 통해 돈을 벌고자 하는 사람들은 다음과 같은 최소한의 사이버 보안 역량을 갖추어야 합니다.
- 네트워크 보안: 기본 네트워크 보안 문제에 대한 지식과 경험이 중요합니다. 네트워크 트래픽 분석, 방화벽 규칙, 네트워크 취약점 탐지와 같은 기술 세트를 잘 갖추어야 합니다.
- 악성코드 분석: 악성 파일을 탐지하고 분석하며 악성 활동을 이해하기 위한 악성코드 분석 능력이 필수적입니다. 잘 이해하고 기술적으로 숙달하는 것이 중요합니다.
- 침투 테스트: 침투 테스트 능력은 시스템의 취약점과 악용을 탐지하는 데 필수적입니다. 공격자 관점에서 시스템을 보고 취약점을 탐지할 수 있는 능력이 중요합니다.
참여하고 싶다면 Threat Bounty 프로그램에 대한 참여를 주저하지 말고, 탐지를 통해 수익을 창출하면서 전문적으로 성장할 수 있게 장려하는 크라우드소싱 이니셔티브에 참여하십시오.
