위협 현상금 성공 사례: Kyaw Pyiyt Htet

오늘은 콘텐츠 작성자인 Kyaw Pyiyt Htet의 이야기를 여러분께 전하고자 합니다. 그는 거의 4년 동안 위협 바운티 프로그램 에 참여하고 있습니다. 우리는 블로그에서 Kyaw Pyiyt Htet 에 대해 소개하며 그의 개인적 및 직업적 배경에 관한 정보를 언급했습니다.

현재 Kyaw Pyiyt Htet의 이야기를 듣고 그의 직업 발전, 경력 진행 상황 및 미래 계획에 대해 알게 되어 흥미롭습니다.

자신의 소개와 현재 근무 중인 회사 및 그곳에서의 직책에 대해 말씀해 주세요.

저는 Kyaw Pyiyt Htet입니다. 제 이름은 발음하기 조금 어렵습니다. 현재 저는 호주 XDR 서비스인 LMNTRIX에서 수석 위협 분석가로 일하고 있습니다. 이 회사는 APAC 및 북미 지역에 사이버 방어 서비스를 제공합니다. 제 일상 업무는 주로 EDR/XDR을 활용한 위협 대응에 집중되어 있습니다. 이것이 현재 제 직책에서 하는 일이고, 제 일상 업무입니다.

위협 바운티 프로그램에 참여하기 전, 저는 L1 분석가로 근무했습니다. 탐지 규칙을 미세 조정하고 시그니처와 반응 모니터링에 의존했습니다. 또한 위협 탐지 엔지니어들이 어떻게 운영하는지, 사이버 인시던트를 효과적으로 식별하는 방법을 배웠습니다.

위협 바운티 프로그램의 멤버로 얼마나 활동해 오셨나요? 위협 바운티 콘텐츠 작가로서 당신의 가장 큰 업적과 이정표는 무엇이라고 생각하십니까?

저는 3년과 8개월 동안 위협 바운티 프로그램에서 활동해 오고 있으며, 여전히 기여를 계속하고 있습니다. 가장 큰 업적과 이정표는 제가 2022년 8월, 10월, 11월 월간 보고서에 최고 작가로등재된 것입니다. 최근에는 제가 인정받았습니다. SOC Prime의 상위 20명의 기여자 중 하나로

규칙 기여에 대해 이야기하자면, 프로그램 참가 중 몇 개의 규칙을 제출했는지 말씀해 주실 수 있나요?

현재 189개의 규칙이 성공적으로 위협 탐지 마켓플레이스에 게시되었습니다.전체 제출 규칙 수는 200개 이상일 수 있지만, 자세히 기억할 수는 없습니다. 저의 많은 제출물들이 거절되었습니다. 비록 많은 거절을 받았지만, 저는 고품질의 Sigma 규칙을 만드는 데 사용하는 경험을 쌓았습니다.

규칙 제출에 관한 개인적인 일정이나 이정표가 있습니까? 위협 바운티 커뮤니티의 활동을 관찰하면 적극적으로 출판하는 작가들의 제출 수가 주당 5개에서 50개 이상으로 크게 다릅니다. 어떻게 그렇게 하십니까?

저는 어떠한 고정된 목표가 없습니다. 매달 50개 이상의 제출물 – 저는 그렇게 하지는 않습니다. 하지만 제 접근 방식을 말씀드릴 수 있습니다.

우선, 저는 Unit 42, Cybereason, Cisco Talos 등과 같은 오픈 소스 위협 보고서를 읽습니다. 보통, 보고서를 읽고 몇 가지 탐지 아티팩트를 찾습니다. 예를 들어, 레지스트리 키 생성이나 위협 행위자에 의한 예약된 운영 등이 있는지 살펴보고, 그런 다음 그 탐지 아티팩트를 가져와 Sigma 규칙을 만들고위협 바운티 프로그램에 기여합니다.

동시에, 저는 홈랩 환경에서 맞춤형 C2 프레임워크를 연구하며, 그곳에서 다른 중요한 탐지 아티팩트를 발견할 수 있습니다. 현재 SOC Prime 플랫폼에는 100% 제 내부 연구 결과로 작성된 탐지 규칙이 여러 개 있습니다.

이 두 가지 접근 방식은 제가 기여하는 탐지 규칙을 작성하는 데 사용합니다.

위협 헌팅에서 특별히 열정을 가지고 흥미로워하는 주제나 방향이 있습니까?

위협 정보 보고서를 읽을 때, 저는 먼저 손상된 지표보다는 공격의 지표를 찾습니다. 견고한 탐지 콘텐츠를 만들려면 공격자의 관점에서 변경하기 어려운 공격 지표에 의존해야 합니다. report, I first look for indicators of an attack rather than indicators of compromise. If I have to create robust detection content, it should rely on indicators of attack because it is hard to change from the attacker’s perspective. 

예를 들어, IP 주소나 도메인 이름과 같은 IOC를 기반으로 Sigma 규칙을 작성하면 장기 탐지로서 신뢰할 수 없습니다.

그래서 저는 공격자 작업에서 변경하기 어려운 명령줄 실행이나 다른 주요 레지스트리 아티팩트에 주목합니다.

콘텐츠 제출에서 가장 불쾌한 부분, 즉 콘텐츠 거절에 대해 얘기해 봅시다. 당신의 경험은 어떠신가요?

솔직히 이전에는 IOC에 의존하여 Sigma 규칙을 작성했으며, 이것이 제 규칙이 거절된 주된 이유였습니다. 또 다른 이유는 때로 너무 늦게 규칙을 작성하여 다른 기여자들의 콘텐츠가 저보다 먼저 검증을 통과하게 되는 경우입니다.

매번 거절을 받을 때, SOC Prime 검증 팀은 그 이유를 명시합니다. 그들은 고품질 및 고정확도의 탐지 규칙을 작성할 것을 추천했습니다. 그렇게 많은 거절을 받았음에도 불구하고 이 경험을 통해 많은 것을 배웠습니다.

그리고 IOC 기반 규칙에서 행동 기반 콘텐츠로 어떻게 전환하셨나요?

나중에 저는 고통의 피라미드 모델 을 적용하기 시작했습니다. 이 모델을 사용하면 어려움의 수준에 기반해 공격자의 능력을 평가할 수 있습니다. 제 말은, 고통의 피라미드에서 아티팩트의 수준이 높을수록 탐지 규칙의 정확성이 높아진다는 것입니다.

저는 위협 보고서를 읽거나 제 연구를 할 때 항상 고통의 피라미드 모델을 적용합니다. 좋은 아티팩트를 찾으면 Sigma 규칙을 만들고 제출합니다.

이 경험이 당신의 직업적 성장에 도움이 되었습니까?

네, 정확히 그렇습니다. 예를 들어, 규칙이 약하다는 SOC Prime 팀의 추천이나 탐지 매개 변수를 조정해야 한다는 추천에 매우 주의하게 되었습니다. 이러한 종류의 추천이 제 직업에서도 많은 도움이 됩니다. 더 좋은 미세 조정을 할 수 있고, 오탐 경보를 줄일 수 있습니다. 위협 바운티 프로그램에 참여하면서 많은 경험을 쌓았다고 생각합니다.

위협 바운티 프로그램에 참여하게 된 주요 동기는 무엇인가요? 돈, 자기 개선, 아니면 도전입니까?

위협 바운티 프로그램의 규칙을 만들려면 새로운 위협에 대한 뉴스를 읽어야 합니다. 이것이 제 일상 업무에 많은 도움이 됩니다. 제 업무 책임에는 사이버 위협 인텔리전스 작업이 포함되어 있습니다. 이는 새로운 위협에 대한 정보를 지속적으로 받고, 매일 탐지 규칙을 작성해야 한다는 것을 의미합니다. 실제로, 위협 바운티 프로그램에 참여하는 것과 제 일상 업무는 밀접하게 연결되어 있어서 큰 차이가 없습니다. 그래서 모든 분들이 위협 바운티 프로그램에 참여하시길 권장합니다. 이는 우리의 스킬을 향상시키고 우리가 일하고 있는 회사에 유익할 것입니다.

위협 바운티에 규칙을 지속적으로 기여하는 개인 동기는 무엇입니까?

먼저, 국제 사회에 기여하고 싶고, 유명해지고 싶습니다. 이것이 저의 개인적인 동기이자 제 자부심입니다. 물론, 추가 수입을 얻고 원하는 모든 것을 살 수 있기를 원합니다. 또 다른 중요한 동기는 위협 바운티 프로그램에 참가함으로써 저의 커리어와 스킬을 보여줄 수 있다는 것입니다. 국제 사이버 보안 시장에서 새로운 직장을 구할 때 이를 이력서에 추가할 수 있습니다.

당신의 커뮤니티에 관해 얘기해 봅시다. 경험을 공유하고 친구 및 동료들에게 Threta 바운티 프로그램에 참가할 것을 추천하시나요?

네, 물론이죠. 제 친구들 중 일부는 이미 위협 바운티 프로그램에 적극적으로 기여하고 있습니다. 아직 이 프로그램의 멤버가 아닌 사람들에게는 항상 참여를 권장합니다. 처음에는 많은 거절을 받겠지만, 동시에 제가 이미 언급했듯이, 성숙한 탐지 규칙을 만드는 방법을 배우는 훌륭한 기회입니다. 포기하지 마십시오!

다른 장점은 우리가 Sigma 규칙을 작성하면서 이상 활동이 무엇인지 알고 기존 규칙을 더 잘 미세 조정할 수 있다는 것입니다. 이는 위협 바운티 프로그램에 참여하여 얻을 수 있는 기술 향상의 한 유형입니다.

어떻게 전문적으로 더 발전할 계획입니까? 여기에서 SOC Prime에 의존하십니까?

SOC Prime의 지원과 제 경력 발전의 주요 부분 중 하나로서, 저는 앞으로 5년 내에 사이버 위협 인텔리전스 전문가가 되고 싶습니다. SOC Prime의 지원 덕분에 Discord 서버에서 국제 커뮤니티와 교류하고, 검증 팀으로부터 피드백을 받을 수 있는 가능성을 얻었습니다. 이는 자기 개선의 중요한 부분이기도 합니다.

또한, Uncoder AI를 사용하여, Sigma 규칙을 우리 회사에서 사용하는 EDR 언어로 쉽게 변환할 수 있어 큰 도움이 됩니다.

당신의 경험은 매우 흥미롭고 영감을 줍니다. 저는 막 경력을 시작하는 더 많은 열성가들이 당신의 예와 조언을 따라 위협 바운티 프로그램에 참여해야 한다고 믿습니다..