위협 현상금 개발자와의 인터뷰: Nattatorn Chuensangarun
SOC Prime의 커뮤니티에 대한 최신 뉴스를 시청하세요! 오늘은 우리에게 기여하는 다작 탐지 컨텐츠 작가인 Nattatorn Chuensangarun을 소개하고자 합니다. Threat Bounty 프로그램 2021년 8월 이후로. Nattatorn은 Sigma 규칙에 집중하는 활발한 콘텐츠 개발자입니다. SOC Prime 플랫폼의 Threat Detection Marketplace 레파지토리에서 Nattatorn의 최고 품질 및 가치의 탐지를 참조할 수 있습니다:
당신의 직업 경력과 사이버 보안 분야에서의 경험에 대해 조금 말씀해 주세요.
안녕하세요! 저는 태국의 Nattatorn Chuensangarun입니다. 저는 사이버 보안에 관심이 있어서 2019년 컴퓨터 과학을 졸업한 후 태국의 대형 은행 중 한 곳에서 보안 인텔리전스 및 운영 센터 팀의 일원으로 첫 직장을 시작하기로 했습니다. 처음엔 데이터 분석 경험밖에 없었기 때문에 매우 낯설었습니다. 그러나 팀원들의 큰 지원 덕분에 SOC 분석가로 훈련받기 시작했습니다. 저는 위협 인텔리전스 분야를 감독하는 업무를 맡았습니다. 다양한 위협을 모니터링하고, 취약성, 데이터 유출 또는 진행 중인 공격 경향과 관련된 다양한 뉴스 피드를 접하는 것이 어려웠습니다. 저는 SOC Prime을 만나기 전까지 Threat Intelligence Platform에서 여러 위협을 탐지하기 위한 규칙을 연구하고 작성했습니다.
사이버 보안에서 관심 있는 주제는 무엇인가요?
사이버 보안에서 많은 주제에 대해 열려있지만, 아마도 Security Orchestration, Automation and Response (SOAR)와 함께 구현할 수 있도록 플레이북을 작성하는 데 높은 관심이 있습니다. 이는 위협 사냥, 자동화된 사고 대응(IR)까지 확장될 수 있으며, 많은 기본 공격을 처리하는 데 도움이 될 것입니다. 이런 방식으로 모니터링 팀은 방어 및 새로운 공격에 대한 연구에 더 많은 시간을 할애할 수 있습니다. 또한 클라우드 보안, 위협 행위자 그룹, 새로운 랜섬웨어 도전 과제, 빅 데이터를 활용한 공격 및 이상 행동 분석에 관심이 있습니다.
Threat Bounty 프로그램에 대해 어떻게 알게 되었나요? 가입하게 된 계기는 무엇인가요?
작년에 저는 SOC Prime 플랫폼을 알게 되어 SIEM 시스템에 적용하기 위해 위협 탐지 규칙을 검색했습니다. 그것이 SOC Prime을 처음 만난 순간이었습니다. 제 팀원 중 한 명이 제가 개발자로서 Threat Bounty 프로그램에 참여해 보라고 제안했습니다. 흥미로운 아이디어라고 생각했고 이 프로그램이 제 기술을 향상시키는 데 도움이 될 수 있다고 믿어 참여했습니다. 실제로 Threat Bounty를 통해 다양한 유형의 위협에 대한 규칙 작성 경험을 심화시킬 수 있으며, 새로운 지식을 얻고 SOC Prime Threat Bounty 커뮤니티의 다른 회원과 보안 정보를 공유할 수 있습니다. 제가 발표한 규칙은 제 조직의 방어력을 강화하거나 다른 회사와 공유하여 사이버 위협을 완화할 수 있습니다.
Threat Bounty 프로그램과 함께한 여정에 대해 말씀해 주세요. SOC Prime 플랫폼에 게시되는 Sigma 규칙을 작성하는 데 평균적으로 얼마나 걸리나요?
저는 이전에 보안 도구를 위한 규칙을 작성했지만, 다양한 도구가 각기 다른 방식의 작성을 요구했기 때문에 상당히 제한적이고 복잡했습니다. SOC Prime 플랫폼을 알게 되고 Sigma 규칙을 작성하는 방법을 배운 후로 경계 없는 세상이 열렸습니다. SOC Prime Threat Bounty 보상은 또한 Sigma 규칙 작성 기술을 한 단계 더 발전시키고자 하는 영감을 주었습니다. 새로운 기술을 배우고 에너제틱하게 새로운 위협에 대응할 규칙을 작성하는 것을 즐깁니다.
제 의견으로는 Sigma 규칙을 작성하는 데 드는 평균 시간은 규칙 유형, 위협 행위자의 행동 및 공격 기술에 대한 이해에 따라 달라질 수 있습니다. IOC의 다양성 또한 보안 전문가가 메타데이터를 검사하여 정상 및 비정상 행동을 식별해야 하기 때문에 작성 시간을 좌우합니다. 저는 주로 위협을 분석하고 Sigma 규칙 작성에 약 30분을 씁니다.
Sigma 규칙 작성 기술을 마스터하는 데 얼마나 걸렸나요? 어떤 기술적 배경이 필요합니까?
Sigma 규칙을 작성하는 방법을 배우는 데 약 일주일을 보냈습니다. 주로 GitHub와 SOC Prime의 Threat Detection Marketplace에서 예제를 검사하며 도움이 되었습니다. 이러한 자원은 Sigma 규칙의 다양한 유형을 볼 수 있도록 도와주었습니다. 이제는 각 출처에서 서로 다른 서비스를 분리하여 규칙 작성을 위한 개인 템플릿을 주로 만듭니다. 이렇게 하면 규칙을 구현하기가 더 쉬워집니다. 게다가 규칙 작성의 효율성도 중요합니다. 처음에는 부적절하게 작성하는 경우가 많아 누락된 위협이나 오탐지로 끝나는 경우가 많았습니다. 하지만 SOC Prime 플랫폼은 규칙을 게시하기 전에 전문가 도움을 제공합니다. 오류가 있을 경우 규칙을 조정하고 실수를 피하면서 향상하는 방법을 배울 수 있습니다.
협력적인 사이버 방어 접근 방식이 log4j와 같은 글로벌 규모의 중요한 위험을 완화하는 데 어떻게 도움이 될 수 있습니까?
위험 완화 또는 격차 차단은 기술만의 문제가 아닙니다. 사람, 프로세스 및 기술을 포함한 기본으로 돌아가야 합니다. 이것들은 위험 관리를 위한 핵심 구성 요소이므로 함께 고려해야 합니다. 실제로 기술만으로는 대부분의 위협을 완화할 수 있는 능력을 가질 수 있지만, 사람과 프로세스 없이는 시간과 품질 측면에서 최대 보호에 이를 수 없습니다. SOC Prime 플랫폼을 사용하는 것은 위험을 줄일 수 있는 단계 중 하나입니다. 이는 개발자가 사냥 기술을 교환하거나 IOCs를 시기 적절하게 찾을 수 있는 넓은 네트워킹 기회를 제공합니다. 이는 리스크 감소에 유리합니다.
SOC Prime Threat Bounty 프로그램의 가장 큰 이점은 무엇이라고 생각하나요?
SOC Prime Threat Bounty 프로그램은 SOC Prime 팀의 감독 및 조언하에 위협 탐지 규칙을 작성하는 많은 경험을 제공해 줍니다. 이 프로그램은 저의 기술 향상을 도울 뿐만 아니라 전 세계의 조직이 사이버 보안 커뮤니티를 지원함으로써 도움을 줍니다. 탐지 규칙이 조직에 도움을 줄 수 있다고 직접 메시지를 보내는 사람이 있을 때 매우 영광입니다. 그러한 경우는 새로운 위협에 대응할 새로운 규칙을 신속히 시작하고 새로운 기술을 연구하도록 동기 부여합니다. 저의 노력이 커뮤니티가 위협을 견뎌내도록 도울 수 있기를 바랍니다.
Threat Bounty 초보자에게 추천할 점이 있다면?
Threat Bounty 프로그램을 시작하거나 공부하는 사람들은 위협 뉴스 피드를 읽거나 전 세계의 사이버 공격을 모니터링하거나 신뢰할 수 있는 공격 로그를 사용하여 Sigma 규칙을 처음 작성하는 방법을 시작할 수 있습니다. 그렇지 않으면 GitHub와 Threat Detection Marketplace에 있는 예제를 미리 볼 수 있습니다. 한 번 도전하고 함께 사이버 보안 커뮤니티를 돕도록 합시다!
