Entrevista com o Desenvolvedor: Den Iuzvyk

A SOC Prime apresenta outra entrevista com um participante do Programa de Desenvolvedores de Recompensa por Ameaças da SOC Prime (https://my.socprime.com/en/tdm-developers). Queremos apresentar a você Den Iuzvyk que publicou 60+ regras comunitárias de alta qualidade e valor de detecção durante seis meses de sua participação no Programa de Recompensa por Ameaças.Leia mais entrevistas com desenvolvedores de conteúdo no nosso blog: https://socprime.com/en/tag/interview/

Conte-nos um pouco sobre você e sua experiência em caça às ameaças.

Meu nome é Den Iuzvyk, sou de Kyiv, Ucrânia, e tenho 34 anos. Sou CTO na empresa chamada Simplerity.

Comecei minha carreira em 2003 como desenvolvedor de software. Me interessei por cibersegurança em 2015. Mais tarde, me tornei cofundador de uma empresa onde criamos uma plataforma para análise de logs e caça às ameaças. Criei várias ferramentas de detecção de malware, simuladores de ataques automatizados, verifiquei as fragilidades dos sistemas de detecção modernos.

Den, qual é a diferença entre caça às ameaças e detecção de ameaças?

A caça às ameaças é parte do processo de detecção de ameaças que se concentra na detecção proativa de ameaças que passaram pelos sistemas de segurança e alarme existentes.A detecção de ameaças é um conjunto de ações que visa detectar ameaças em cada fase de seu ciclo de vida.

Na sua opinião, o que torna o Sigma um instrumento tão eficiente para caça às ameaças?

O Sigma é a escolha ideal para um caçador de ameaças porque seu formato de alto nível permite o uso, armazenamento e compartilhamento de análises sem estar vinculado a nenhum backend específico.O Sigma ajuda a deixar de lado os nomes dos campos nos logs e a focar nos resultados. Minha parte favorita do Sigma são as ‘referências’ – a fonte que inspirou o autor a criar a detecção.

Quais habilidades são necessárias para desenvolver regras Sigma para caça às ameaças?

Em primeiro lugar, é a abordagem analítica no processamento de dados. Porque você deve identificar padrões que pode usar para criar detecções eficazes.

A segunda habilidade é conhecer as TTP dos atacantes.

O terceiro ponto é um bom domínio da disposição interna dos sistemas operacionais.

O quarto é a compreensão da segurança da rede e da segurança dos dados.

Quais tipos de ameaças são as mais complicadas de detectar? Den, talvez você possa dar um exemplo da vida real?

A coisa mais difícil de detectar são rootkits.A próxima são drivers assinados que foram lançados com bugs que permitem exploração e trabalho diretamente no modo kernel e, como resultado, um fraudador pode contornar os sistemas de segurança.Depois vêm as ameaças com .NET Framework (AppDomainManagere carregamento de assembly).Mas o que pode nos deixar felizes é o crescimento da compreensão dos vetores de ameaça prováveis, e, como resultado, surgem novas visibilidades, como a integração do AMSI com a versão 4.8 do .NET e ETW (EventoTracing for Windows)

Qual você acha que é o maior benefício do Programa de Recompensa por Ameaças da SOC Prime?

Do ponto de vista do criador da regra de detecção, o Programa de Recompensa por Ameaçasapresenta as necessidades dos clientes e permite um mergulho profundo na pesquisa onde vocêadquire conhecimento e experiência, e é recompensado pela SOC Prime.

O vazamento de dados é um problema muito comum para muitas organizações agora, quais medidas você acha que poderiam ser as mais eficientes para evitar a violação de dados (se não for causada por funcionários irresponsáveis)

Depende da estratégia escolhida, que pode diferir dependendo do tipo de empresa. Mas os seguintes passos são essenciais:

Avaliação do sistema de segurança atual, resolução das áreas de vulnerabilidade.

Classificação de dados. É altamente importante saber onde e quais informações estão armazenadas. Nem todas as informações precisam ser protegidas.

Classificação de acesso. É essencial saber quem tem acesso às informações, tanto físico quanto em rede.

Monitoramento contínuo. Coleta e análise de logs recebidos de armazenamento de dados e estações de trabalho.

Educar e informar oportunamente o pessoal.

Criptografia. Todos os dados armazenados e transferidos devem ser criptografados.

Gerenciamento de patches.

Como um caçador de ameaças experiente, o que você acha que deve ser a prioridade número 1 para organizações que desejam construir uma defesa cibernética robusta? (e por quê)

Habilitar MFA 🙂Na minha opinião, antes de tudo, você deve entender a importância de cada etapa. Não há bala de prata mágica, é um processo contínuo.A abordagem proativa seria a melhor escolha aqui, embora seja bastante cara no início, mas é mais econômica no futuro.A prioridade no desenvolvimento de uma abordagem de cibersegurança para uma empresa é definir os ativos críticos para o negócio dos quais depende toda a operação do negócio.