Entrevista com o Desenvolvedor: Emir Erdogan
Continuamos entrevistando os membros do Threat Bounty Program (https://my.socprime.com/en/tdm-developers), e hoje queremos apresentar-lhe Emir Erdogan. Emir participa do programa desde setembro de 2019, ele tem mais de 110 regras Sigma publicadas em seu nome, mas Emir também publica regras YARA para detectar ameaças reais. Suas regras são frequentemente encontradas em nossos posts do blog: Resumos de Regras, Conteúdo de Caça a Ameaças, e Regra da Semana.
Emir, conte-nos um pouco sobre você e sua experiência em cibersegurança.
Depois que me formei na universidade em 2015, comecei a trabalhar no projeto OS (Pardus) que é apoiado pelo governo como Analista de Negócios.
Então, mudei de emprego, pois queria me aperfeiçoar como especialista em cibersegurança. Trabalhei em várias áreas diferentes de cibersegurança como Engenheiro de SIEM, especialista em operações de SOC, membro do projeto de construção de Sistemas de Gestão e Segurança da Informação em uma companhia de aviação civil na Turquia.
Atualmente, ainda trabalho como analista de SOC e líder da equipe de SOC em uma das empresas mais importantes da Turquia
Quanto tempo levou para você dominar a escrita de regras Sigma? Qual bagagem técnica é necessária para dominá-la? E quanto tempo você precisa em média para escrever uma nova regra Sigma IOC e uma regra Sigma de caça a ameaças?
Venho escrevendo regras Sigma há 6 meses. Na verdade, é necessário escrever muitas regras Sigma em diferentes fontes de log para se tornar um mestre. Na minha opinião, não está relacionado ao tempo. Tipos de log de diferentes OS e produtos de segurança devem ser conhecidos por qualquer pessoa que queira ser um mestre em Sigma.
O tempo necessário para escrever uma regra Sigma depende da complexidade da regra. Geralmente, se uma regra Sigma é mais complexa e inclui diferentes tipos de log, leva cerca de meia hora.
Quais tipos de ameaças são os mais complicados de detectar? Emir, talvez você possa dar um exemplo da vida real?
Todos sabem que alguns tipos de malware, como rootkits, são realmente difíceis de detectar. No entanto, o uso de técnicas de evasão e métodos de ofuscação aumentou recentemente e alguns deles podem ser complicados de detectar. Portanto, quero mencionar essas técnicas.
Ferramentas de detecção tradicionais podem ser facilmente derrotadas por malware ofuscado e arquivos. Tenho certeza de que todo especialista em cibersegurança já se deparou com scripts PowerShell ou malware ofuscados. Não é fácil analisar esses arquivos.
Existem muitas técnicas de evasão para burlar os controles de segurança. Por exemplo, muitas pessoas já se depararam com chantagens de extorsão em bitcoin. Os e-mails dizem que invadiram seu computador e gravaram você visitando sites adultos. Eles ameaçam distribuir o vídeo para seus amigos e família em poucas horas, a menos que você pague para a conta Bitcoin deles. A solução mais eficaz é escrever regras de filtragem de conteúdo em uma gateway de e-mail seguro para se proteger contra esse tipo de e-mail. Mesmo que a regra seja escrita de acordo com algumas palavras-chave como bitcoin e hack, os atacantes podem enviar o texto de chantagem como um anexo, PDF protegido por senha, arquivo de imagem no corpo. Assim, eles burlam as regras de filtragem de conteúdo dessa forma.
A pandemia é outro desafio para um profissional de cibersegurança. Conte-nos como ela influenciou seu trabalho diário. Talvez você possa compartilhar dicas de vida em casa conosco?
Pode-se dizer que estou trabalhando mais agora porque os ciberataques estão aumentando a cada dia. Por exemplo, o número de ataques de phishing em empresas de entrega de carga e campanhas temáticas de COVID-19 aumentaram.
Assim como em todo o mundo, continuo meu trabalho em casa. Não acho que isso seja um problema para especialistas em cibersegurança, porque adoramos estar em casa na frente do nosso computador.
Espero não ter observado nenhum efeito negativo até agora, além dos sociológicos. Graças a esta pergunta, desejo a todos uma vida saudável.
Quais ferramentas são mais comumente usadas por diferentes atores de ameaça e qual seria sua recomendação para melhorar a defesa contra essas ferramentas? Exemplos seriam ótimos!
Na verdade, existem muitas ferramentas comuns usadas por diferentes atores de ameaça.
Acho que PowerShell seria um ótimo exemplo. É legítimo e realmente poderoso. Não apenas atacantes, mas também a maioria dos administradores de sistemas precisam do PowerShell e geralmente usam scripts PS para fazer seus trabalhos diários. Por essa razão, é difícil entender se é usado para propósitos maliciosos; no entanto, há algumas pistas para detectar atividades maliciosas. Se o PowerShell não for necessário para realizar um trabalho, por favor, desative-o. Se for necessário, o log do PowerShell deve ser habilitado e monitorado pelo SOC. Regras de SIEM para PowerShell devem ser escritas e sempre enriquecidas.
Além do PowerShell, webshells são comumente usados por diferentes atores de ameaça. Webshells são scripts maliciosos que são carregados para acessar remotamente servidores comprometidos. Sabe-se que webshell é uma das portas dos fundos mais comuns e eficazes. Atacantes primeiramente exploram uma vulnerabilidade em um servidor web para carregar o webshell ou podem carregá-lo de outro servidor/host que foi comprometido antes. Portanto, o mais importante é assegurar que todos os servidores/hosts estejam atualizados com patches de segurança. Com logs sysmon de todos os servidores web sendo monitorados, você pode desenvolver regras de correlação para detectar webshells. Existem muitas regras Sigma no TDM para detectar webshells. Quero dar um exemplo rápido. Se o processo IIS (w3wp.exe) chama cmd.exe, isso deve ser marcado como suspeito e analisado por um analista de SOC.
Muito conteúdo de detecção de ameaças contribuído por você para o Threat Detection Marketplace está disponível gratuitamente e ajuda os especialistas em cibersegurança de todo o mundo a detectar ameaças, o que o motiva a compartilhar seu conteúdo com a comunidade?
Os atacantes estão sempre um passo à frente. Portanto, é necessário aprender seus métodos, táticas e técnicas para prevenir seus ataques.
Na minha opinião, o compartilhamento de inteligência e conhecimento entre pesquisadores e instituições é muito importante para prevenir ataques cibernéticos e evitar qualquer perda material e moral.
Na verdade, como vejo que alguns grupos atacam hospitais durante a pandemia e os atacantes se aproveitam do pânico das pessoas, fico mais motivado a compartilhar meu conteúdo com a comunidade.
Emir, qual você acredita ser o maior benefício do SOC Prime Threat Bounty Program?
Existem muitos benefícios do Threat Bounty Program para empresas e desenvolvedores. Desenvolver novas regras de SIEM ao seguir novas ameaças é um grande desafio para todas as empresas. Com a ajuda do Threat Bounty Program, as empresas podem alcançar muitas detecções para ameaças específicas e atuais. Este conteúdo pode ser facilmente implementado em soluções de SIEM. Além disso, os desenvolvedores estão acompanhando as novas ameaças e desenvolvendo novos conteúdos. Este programa oferece uma grande oportunidade para os desenvolvedores publicarem seu conteúdo, se aperfeiçoarem, serem premiados e honrados pela SOC Prime.
Leia mais entrevistas com participantes do Threat Bounty Program em nosso blog: https://socprime.com/en/tag/interview/
