위협 현상금 개발자와의 인터뷰 – 무스타파 구르칸 카라카야
오늘, 우리는 SOC Prime 커뮤니티에 프로그램의 가장 활발한 회원 중 한 명을 소개하고자 합니다. 위협 현상금 프로그램 과 SOC Prime 플랫폼에서 사용 가능한 검증된 탐지의 작성자를 만나보세요. 그는 바로 무스타파 귀르칸 카라카야입니다. 그는 2022년 12월 프로그램에 참여한 이후 자신의 전문 사이버 보안 지식을 입증하고 추가 발전 가능성을 보여주고 있습니다.
당신과 사이버 보안 분야에서의 경험에 대해 조금 말씀해 주세요.
제 이름은 무스타파 귀르칸 카라카야입니다. 저는 25세이며 터키 앙카라에 거주하고 있습니다. 2020년에 앙카라 Yıldırım Beyazıt 대학교의 컴퓨터 공학과를 졸업했습니다. 나는 펜테스팅에 중점을 두고 사이버 보안 분야 여정을 시작했습니다. 그 후 관심 분야를 보라색 팀 관련 활동으로 확장하여 특히 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션, 자동화 및 응답), 악성코드 분석, DFIR(디지털 포렌식 및 사고 대응) 분석 및 포렌식 조사 분야에 집중했습니다. 첫 번째 직장에서 나는 주로 군사 기관을 위한 다양한 기술적 측면에서 지원과 조언을 제공하는 기술 지원 및 컨설팅 활동에 참여했습니다. 두 번째 회사에서는 구현 및 SIEM 유지보수에 특히 중점을 두고 기술 지원 및 컨설팅 서비스를 계속 제공했습니다. 현재 사이버 보안 엔지니어로 일하고 있습니다.
SOC Prime에 대해 어떻게 알게 되었나요? 위협 현상금 프로그램에 참여하게 된 이유는 무엇인가요?
처음에 SOC Prime을 LinkedIn에서 발견했지만현재 근무 중인 회사의 팀 리더로부터 플랫폼에서 규칙을 작성할 기회에 대해 들었습니다. 나는 매일 새로운 공격 방법에 대해 연구하는 것을 즐기기 때문에 이 프로그램에 참여했습니다.
본인의 경험에 비추어 보았을 때, 게시될 가능성이 높은 규칙을 만들기 위해 필요한 기술은 무엇인가요? 위협 현상금과 함께 Sigma 규칙 작성을 방금 시작한 분들께 어떤 조언을 해주실 수 있나요?
내 생각에 콘텐츠 게시를 위한 가장 중요한 기준은 규칙이 구체적이고 정확한 판단을 내릴 수 있어야 하며, 이는 오탐 비율을 줄일 것입니다. Sigma 규칙 작성을 이제 막 시작한 콘텐츠 작성자를 위한 나의 조언은 MITRE ATT&CK 프레임워크에 따라 공격 시나리오에서 상대방의 활동을 분석하고 공격자의 의도를 이해하려고 노력하는 것입니다. 또한, 기존의 규칙을 검토하고 공격이 어떤 로그 소스에서 어떤 흔적을 남길지를 이해하는 것은 적절한 규칙을 개발하는 데 매우 유익할 것입니다.
당신이 연구하고 작성한 탐지에 기초하여 현대 조직에 가장 중요한 위협은 무엇인가요? 인프라 보호를 위해 가장 효율적이라고 생각하는 조치는 무엇인가요?
가장 중요한 위협은 인간 요소라고 생각합니다. 보안 조치와 기술이 아무리 첨단적이고 정교하더라도 인간의 행동과 행동은 보안을 훼손할 수 있습니다. 인간의 실수, 부주의, 인식 부족, 악의적인 의도는 민감한 정보의 기밀성, 무결성 및 가용성에 중대한 위험을 초래할 수 있습니다. 사용자 교육을 최우선으로 하고, 인식 교육을 실시하고, 인간 관련 위험을 완화하기 위해 강력한 보안 문화를 구축하는 것이 필수적입니다. 따라서 가장 중요한 위협 감지 방법은 엔드포인트에 위치한다고 생각합니다. 조직은 위협 감지 방법과 상세 분석을 위한 엔드포인트 로그를 수집해야 합니다. 규칙은 숨겨진 위협을 밝혀주는 빛과 같습니다. 그리고 빛의 양을 증가시킬수록 위협의 가시성은 증가할 것입니다.
탐지하기에 가장 복잡한 위협 유형은 무엇인가요? 혹시 실생활에서의 예시를 제공할 수 있나요?
정당한 애플리케이션 경로 내부에서 발생하는 공격을 탐지하는 것이 조직에 가장 어려운 과제라고 믿습니다. 내 규칙에서 예를 제공해야 한다면, 악성 OneNote 문서 확산과 관련된 명령줄을 포함한 수상한 QakBot 악성코드 행동(프로세스 생성 경로)를 들 수 있습니다. 이 규칙에서 공격자는 피해자의 기계에 OneNote 문서를 사용하여 QakBot 악성코드를 확산시킵니다. 모든 프로세스가 마이크로소프트 서명이 되어 있고 정당하게 보이기 때문에 AV 및 EDR을 포함한 어떤 보안 제품도 이 공격을 탐지할 수 없습니다. 그러나 이러한 정당한 프로세스가 함께 사용되면 악의적인 행동이 촉발됩니다. C2 서버와 연결하고 다른 악성 페이로드를 다운로드하며 피해자의 컴퓨터에 Qakbot 악성코드를 확산시킵니다.
경험이 풍부한 보안 전문가로서 강력한 사이버 방어를 구축하려는 조직에게 #1 우선 순위가 무엇이라고 생각하십니까?
강력한 방어체제를 구축하려고 노력하는 조직에게 가장 중요한 우선순위는 직원들이 안전하지 않은 이메일을 열지 않도록 사이버 보안에 대한 인식을 높이는 것입니다. 또한 사이버 보안 팀에게는 비정상적인 사용자 활동을 모니터링하고, 이상한 네트워크 활동을 필터링하며, 조직 내 클라이언트 로그를 수집(많은 조직에서 이 부분을 간과함)하고 보안 제품에 해당 규칙을 정의할 것을 권장합니다.
SOC Prime의 위협 현상금 프로그램 회원이 됨으로써 얻을 수 있는 주요 이점은 무엇인가요?
저는 매일 새롭게 등장하는 취약점과 악성코드에 대해 정보가 제공되고, 공격자가 사용하는 최신 기법에 대해 자신을 업데이트할 수 있게 해주는 점이 가장 큰 이점이라고 생각합니다. 호기심이 있고 열심히 일하며 새로운 것을 배우고자 하는 사람들은 이 프로그램에 참여해야 한다고 권장합니다. 위협 현상금 프로그램.
