Entrevista com o Desenvolvedor: Florian Roth
Continuamos escrevendo uma série de entrevistas com participantes do Programa para Desenvolvedores (https://my.socprime.com/en/tdm-developers). A entrevista anterior está aqui: https://socprime.com/blog/interview-with-developer-lee-archinal/
Conheça Florian Roth.
Florian Roth é CTO da Nextron Systems GmbH. Ele é o criador do APT Scanner THOR – Scanner para Atividade de Atacantes e Ferramentas de Hack e o desenvolvedor do mais abrangente serviço de feed de regras Yara da Nextron – Valhalla. Ele criou o projeto Sigma junto com Thomas Patzke. Florian também é autor de vários projetos open-source no Github, incluindo yarGen, LOKI IOC Scanner, yarAnalyzer, FENRIR (Bash IOC Scanner) e vários projetos OSINT como APT Group Mapping (Google Docs), membro do YARA Exchange.
Florian, você poderia nos contar um pouco sobre você e sua experiência na área de cibersegurança?Comecei minha carreira como pesquisador ofensivo na Siemens em Frankfurt em 2003. Durante esse período, fiz muitos testes de penetração, ajustei sistemas IDS/IPS e desenvolvi soluções de monitoramento de segurança para clientes na área de Frankfurt (bancos e outras grandes empresas). Em 2012, enfrentei meu primeiro incidente que não envolvia um surto de vírus, mas sim uma ação humana na forma de um incidente de segurança persistente em uma grande corporação alemã. A partir de então, trabalhei para outros clientes com problemas semelhantes e comecei a desenvolver ferramentas, diretrizes e mecanismos de detecção para identificar esse tipo de ameaça.Você é um dos inventores do Sigma. Pode nos contar como foi? Como surgiu a ideia de fazer algo como o Sigma?A ideia nasceu enquanto eu trabalhava em um conjunto de casos de uso para o manual de detecção de ameaças de um cliente. O cliente me deu um conjunto de documentos PDF de diferentes fornecedores e pediu para extrair e escrever consultas de busca para detectar essas ameaças em seu novo sistema SIEM. Parecia ser um “desperdício de alavancagem”, extrair e escrever um conjunto de consultas de busca específicas para SIEM que apenas um único cliente poderia usar. Sempre imaginei uma impressão do meu trabalho em um arquivo de armário e pensava: “Que desperdício. Deve haver uma forma melhor – mais genérica – para expressar essas ideias de detecção. Deve haver muitos outros consultores como eu neste planeta trabalhando nos mesmos documentos e nas mesmas consultas de busca para diferentes sistemas SIEM. Se um de nós conseguisse expressar e compartilhar seu método com os outros, que poderiam converter a forma genérica em uma forma específica para seu sistema alvo, todos nós lucraríamos.”O que você acha, quão conveniente é o Sigma como ferramenta para escrever regras de detecção?Decidimos integrar recursos ao padrão que têm amplo suporte entre muitas plataformas diferentes de SIEM ou de gerenciamento de logs. Excluímos recursos específicos de SIEM que são suportados apenas por uma ou duas plataformas. Dessa forma, mantemos o padrão limpo e simples de escrever e ler. Imagine que até mesmo o modificador “regex” recém-integrado ainda não é suportado por todos os backends. Portanto, acredito que é tão conveniente quanto poderia ser para escrever regras, mas algumas ideias de detecção complexas não podem ser expressas.Florian, você recomenda o Sigma como ferramenta de caça a ameaças?Sim. Como encorajamos as pessoas a escreverem regras Sigma para detectar comportamentos maliciosos genéricos, ele pode ajudá-lo a detectar ameaças que seu antivírus ou outras soluções ignoram. O repositório público contém inúmeras ideias de detecção que são de vários anos atrás, mas detectam as campanhas mais novas do Emotet e não produzem falsos positivos. Estas são as regras que nos deixam orgulhosos e têm mais valor para novos usuários. Imagine que a maioria das regras Sigma são gratuitas e abertas. É o know-how de detecção que os fornecedores vendem a um preço incrivelmente alto. Com o Sigma, você pode potencializar sua solução de gerenciamento de logs existente e aplicar métodos de detecção fornecidos pela comunidade sem custo adicional. Melhor ainda, com um orçamento, você pode facilmente estender essas regras com ofertas comerciais como as regras fornecidas no TDM da SOC Prime.Não é segredo que a popularidade do Sigma não é apenas porque é conveniente como ferramenta, mas também porque a comunidade compartilha ativamente seu conteúdo com todos. Compartilhar é gratuito, mas você gosta da ideia de que escrever conteúdo complexo e exigente não só pode tornar o mundo mais seguro, mas também gerar dinheiro?Sim. Acho que ambas as formas de compartilhar ideias de detecção devem coexistir. É o caminho natural do mercado ao evoluir – ele se diversifica e cresce.Como você toma a decisão sobre qual regra criar?Eu geralmente crio regras para a comunidade. Apenas em casos em que acho que um método é altamente específico, gasto muito esforço criando a regra ou quando o método se destina apenas a clientes corporativos (por exemplo, comportamento relacionado a APT), decido criar uma regra como conteúdo pago.Como você escolhe quais regras seriam para uso da comunidade? Quais são os principais critérios dessas regras?Gosto de fornecer regras para ameaças atuais que são tópicos quentes no Twitter. Por exemplo, se alguém relatar uma nova ameaça e fornecer uma amostra (código de exploração ou malware), inicio minha VM de análise, que tem o Sysmon instalado, executo as amostras, verifico os logs locais, escrevo uma regra e a envio para o repositório público. Isso me leva entre 10 e 30 minutos. Imagine que os usuários que recuperam e aplicam automaticamente o repositório público podem obter um método para detectar essa ameaça em seu SIEM em menos de uma hora a partir de sua aparição pública no Twitter. No passado, isso era quase impossível ou exigia muito mais recursos para monitorar canais públicos, analisar uma ameaça e escrever suas próprias consultas de busca.Quanto tempo leva para você criar uma nova regra?Poucos minutos. Normalmente, pego uma antiga que seja semelhante à que gostaria de escrever e a uso como modelo. Temos mais de 300 regras para muitas fontes de logs diferentes para escolher.O que falta na interface do Sigma para você começar a usá-la?Nada. Eu apenas prefiro um editor de texto com suporte à sintaxe YAML, pois não preciso da assistência da interface do Sigma para escrever regras válidas.Florian, como escritor de conteúdo, você provavelmente tem um laboratório. A questão é como você testa suas regras e qual fonte de logs você prefere trabalhar.Eu tenho diferentes VMs. As máquinas Windows têm o Sysmon instalado, as máquinas Linux têm o auditd configurado. Para ser honesto, muitas vezes não encaminho meus logs para nosso sistema interno de gerenciamento de logs, mas verifico as regras localmente com nosso scanner, que é capaz de aplicar regras Sigma em um endpoint.E o que você acha, o programa de desenvolvimento pode ajudar organizações em todo o mundo a melhorar sua cibersegurança?Sim, porque cria os incentivos necessários para pesquisadores de segurança e todos nós obtemos mais conteúdo, gratuito, aberto e comercial. Especialmente, o pesquisador no setor ofensivo poderia preencher seu tempo entre engajamentos criando ótimas regras que levam a uma renda estável. Esses novos autores de regras, que não estavam no mercado antes, adicionam conteúdo a mercados como o TDM e mais conteúdo, mesmo que tenha um custo, é sempre melhor. Frequentemente, eles têm que fornecer prova da qualidade de suas regras antes que as pessoas comecem a comprar parte de seu conteúdo. Eles adicionarão regras gratuitas aos seus artigos de pesquisa e postagens públicas. Todos ganham. As empresas podem acessar feeds de regras curados ou usar conjuntos de regras open-source em muitos repositórios diferentes. Podem pagar a outros pela duração ou instruir seus próprios funcionários a coletarem e manterem um fluxo constante de novas regras de detecção de ameaças. Uma variedade cada vez maior de fontes, gratuitas e comerciais, oferece a solução certa para cada organização e permite que elas melhorem sua cibersegurança.
