Entrevista com o Desenvolvedor: Ariel Millahuel

Nós fizemos outra entrevista com um dos participantes do Programa de Desenvolvedores da SOC Prime (https://my.socprime.com/pt/tdm-developers). Queremos apresentar a você Ariel Millahuel.Ariel, você poderia se apresentar e nos contar sobre sua experiência em Caça a Ameaças?Eu sou Ariel Millahuel de Buenos Aires, Argentina, e tenho 30 anos.
Comecei no mundo do Caça a Ameaças há 2 anos, quando mudei de um SOC para um trabalho no Blue Team. Este foi meu ponto de partida e agora, é uma das minhas paixões.Vamos falar sobre a indústria de caça a ameaças. Como você acha, quais são as tendências mais importantes agora e os pontos fracos?Na minha opinião, as tendências mais importantes são a caça de Malware, logs Sysmon e tecnologias em nuvem. Acho que o ponto mais fraco está na integração de aprendizado de máquina na indústria.Conte-nos sobre sua experiência com o Sigma. Quando você começou a usá-lo e por quê?A primeira vez que vi o Sigma foi no TDM, explorando as regras e assim por diante. Neste momento, comecei a aprender sobre Sysmon e monitoramento de processos, há cerca de 5 meses. Demorou pelo menos 3 meses para eu começar a escrever algumas regras Sigma simples.Na sua opinião, quais são os principais benefícios do Sigma como ferramenta de caça a ameaças? O Sigma pode mudar a maneira como as organizações constroem sua defesa cibernética?Os principais benefícios do Sigma estão na integração com os SIEMs mais importantes da indústria, e a oportunidade de criar conteúdo constantemente à medida que novas ameaças surgem no palco principal.
O Sigma pode não mudar a forma como as organizações constroem sua defesa cibernética, mas sim o cenário inteiro para equipes azul e vermelha.O que você acha que é a parte mais complicada e demorada de se escrever uma nova regra Sigma?A parte mais complicada e demorada é validar o que você está colocando em uma regra específica. Eu faço isso no meu laboratório virtual.Quanto tempo você precisa para escrever uma nova regra Sigma? Como você decide qual regra criar?Todo o processo leva pelo menos 2 horas por regra. Isso acontece quando vejo um novo comportamento no malware que analiso em um sandbox.Na sua opinião, o que pode ser melhorado no Sigma?O Sigma cresceu desde que comecei a usá-lo, e foi incrível ver o tipo de coisas que vocês estão fazendo. Seria ótimo se o Uncoder tivesse algum feedback sobre erros de análise ou erros “desconhecidos”. Eu os vi e às vezes é difícil ver o que você está fazendo de errado.O que você recomendaria a especialistas em cibersegurança que estão apenas aprendendo a escrever regras Sigma, alguma dica para dominar a escrita Sigma?Recomendo a essas pessoas o estudo aprofundado do Sysmon e sempre aprender como os atacantes pensam e como eles se movem.Você já tentou usar a Sigma UI? O que você acha, como ela poderia ser melhorada?Sigma UI é uma ferramenta poderosa e é simplesmente perfeita. Eu os usei para ver como o código sigma bruto se parece no ArcSight.Você tem um laboratório? Como você testa suas regras e quais fontes de log você prefere trabalhar?Eu tenho um pequeno, mas eficaz laboratório onde as regras são testadas. Sempre prefiro logs Sysmon.Você é um participante do Programa de Desenvolvedores da SOC Prime, o que você acha, o Programa de Desenvolvedores pode ajudar organizações em todo o mundo a melhorar sua cibersegurança?O TDM e o programa de desenvolvedores da SOC Prime irão ajudar muito, e provavelmente fazer uma grande mudança com a excelente ideia de pagar aos desenvolvedores.Na SOC Prime lançamos o Programa de Recompensas por Ameaças que incentiva o compartilhamento de conteúdo entre profissionais de cibersegurança. Ariel, você gosta da ideia de recompensar desenvolvedores por compartilhar regras Sigma e outros conteúdos de detecção de ameaças?Sim, 100%. Este é um dos pontos que me convenceu a participar deste programa.Qual seria sua recomendação para jovens especialistas em cibersegurança que estão apenas decidindo qual caminho escolher?Antes de escolher qualquer caminho, recomendo aos jovens entusiastas da segurança que fiquem sempre informados e aprendendo. Nunca é o suficiente neste mundo.Ariel, você é o primeiro desenvolvedor que publica suas regras no Twitter, e isso é ótimo. Seria interessante para a comunidade de cibersegurança ter um ‘feed’ no Twitter/Telegram, onde informações sobre as novas regras sejam publicadas?Um botão de “compartilhar” com uma prévia da regra sigma seria muito interessante para o TDM. Um feed também seria incrível. Isso provavelmente impulsiona as regras e os benefícios para os desenvolvedores e a SOC Prime também.Twitter… como você pode controlar quem está lendo seu feed? Se você fornecer alguma ideia, o que precisa ser detectado, as pessoas más podem ler e usar essa informação contra alguém. Às vezes, uma boa abordagem pode ser usada de maneira incorreta… O que você acha disso?Concordo 100% com isso. Eu não posto no twitter algumas novas ideias até que eu crie algumas regras sigma ou conteúdo para o meu trabalho. Esta é uma boa maneira de prevenir uma má utilização das suas ideias.Temos mais uma pergunta específica para você. A análise de malware geralmente são ações reativas e algumas organizações já podem ter sido hackeadas com esse malware. Ariel, o que você acha sobre detecção preditiva? É possível? Se sim, como você procura novas ideias que precisam ser detectadas?A detecção preditiva é complicada, mas não impossível. Eu digo isso por causa da variedade de comportamentos de malware “na natureza”. Você pode alcançar uma boa matriz preditiva se sua organização levar a segurança a sério e se você puder usar aplicativos para análise de malware como Sandboxes.