Entrevista com o Desenvolvedor: Lee Archinal

Estamos começando uma série de entrevistas com participantes do Programa de Desenvolvedores (https://my.socprime.com/en/tdm-developers) para apresentar a você essas pessoas maravilhosas que estão pesquisando na web por ameaças relevantes e criando conteúdo exclusivo para sua detecção. Conheça Lee Archinal!

Olá Lee, espero que você esteja inspirado o suficiente hoje para escrever um pouco sobre você e sua experiência com o Programa de Desenvolvedores.
Pegue um café e conte-me um pouco sobre sua experiência em cibersegurança.

Minha experiência em cibersegurança começou em 2015, quando deixei meu cargo anterior como Administrador de Rede Júnior. Um amigo muito bom ouviu que eu estava procurando o próximo passo na minha carreira e me apresentou à vida como Analista de Segurança trabalhando em um Centro de Operações de Segurança. Desde então, nunca mais olhei para trás! Comecei como analista de nível I, respondendo apenas a eventos de casos de uso quando me deparei com Sysmon, o que deu foco à minha carreira e um caminho. Comecei a pesquisar e testar Sysmon no meu laptop pessoal e depois passei para um grupo de teste na minha organização e, eventualmente, terminei implementando Sysmon em toda a empresa e recebi o título (responsabilidade) como especialista em endpoints (ainda tentando viver à altura desse título). Desde então, também me deram a responsabilidade de começar a criar conteúdo em torno da detecção de endpoints, o que me levou à SOC Prime. Então o caminho deu outra guinada quando estabeleci um laboratório de malware no trabalho e comecei a detonar e analisar diferentes peças de malware e diferentes técnicas de ataque (Testes Vermelhos). Isso nos traz a onde estou hoje e meu objetivo é me tornar um analista mais completo e tentar obter expertise em mais do que apenas endpoints.

Por favor, nos conte sobre Sigma – qual foi a sua primeira experiência com Sigma, quando você começou a usá-lo.

Comecei a pesquisar Sigma em 2017. Um colega analista voltou de uma conferência de segurança e me disse que eu deveria investigar a SOC Prime, bem como a linguagem Sigma. Assim que aprendi o que a SOC Prime oferecia, principalmente o Threat Detection Marketplace, fiquei fisgado. Continuei pesquisando Sigma quando Jorda Camba entrou em contato comigo. Discutimos as capacidades da SOC Prime e como o Sigma poderia ser uma ferramenta poderosa ao projetar conteúdo. Assim que compreendi a ideia principal e tive um pouco de experiência, comecei a projetar conteúdo para meu SOC estritamente em Sigma. Isso nos daria flexibilidade futura em relação a qual SIEM usamos E me deu muita experiência no desenvolvimento na linguagem Sigma.

O que você tem a dizer sobre sua experiência com Sigma UI. Você tem alguma ideia sobre como torná-la mais útil/conveniente para desenvolvedores?

Desde que comecei a escrevendo em Sigma no início de 2018, criei muitas peças de conteúdo usando-a. Meu SOC agora tem um bom repositório das regras que criei, caso possamos mudar de SIEM e manter o conteúdo que ainda temos. A única coisa em que posso pensar para aumentar a conveniência para os desenvolvedores é possíveis tabelas de referência sobre os mapeamentos de campo de Sigma para outros SIEMs (principalmente para um analista júnior ou pesquisador, como eu, que não possui muita experiência fora de dois SIEMs) ou, no site Uncoder.io, talvez fornecer listas suspensas ou abas para dar aos desenvolvedores possíveis ideias de quais campos podem ser usados. Pessoalmente, eu realmente segui com os campos que conheço, mas no futuro quero aprender mais.

Quanto tempo você leva para criar uma regra?

Dependendo da minha fonte, posso criar uma regra em menos de 10 minutos (isso seria de um relatório que é MUITO analítico) ou levar mais de 4 horas. As regras que me levam horas para criar são aquelas em que minha fonte é um pedaço de malware que baixei de uma fonte, como o site Any.Run. Baixo várias peças que são do mesmo tipo, detono-as em um sandbox e em um laboratório de malware. Dessa forma, posso pegar os resultados do sandbox, compará-los aos resultados manuais e encontrar os processos e ações comuns. Quando me sinto confortável com meus resultados (horas depois), escrevo a regra em Sigma e depois a traduzo para o SIEM de escolha. Então limpo todos os dados e executo o malware novamente a partir de um snapshot e testo minha tradução Sigma para determinar se pode encontrar os resultados que espero. Se encontrar, publico-a e, caso contrário, começo tudo de novo.

Como você decide qual regra criar?

Eu realmente não decido, deixo a internet decidir. Acompanho sites de segurança e seus relatórios e, se leio sobre um novo malware, faço o meu melhor para encontrar uma amostra ou um relatório analítico e criar. Depois de esgotar esses relatórios (isso raramente acontece), volto-me para o SOC Prime Threat Detection Marketplace. Depois que Jordan me apresentou os testes RedCanary Red, meu objetivo é criar conteúdo que reflita o lado azul desses testes vermelhos. Meu principal log, por agora, é Sysmon, então muito do meu conteúdo será conteúdo de detecção de endpoints.

O que você acha, o Programa de Desenvolvedores pode ajudar as organizações em todo o mundo a melhorar sua cibersegurança?

Esta é uma resposta fácil: “Sim”. O Programa de Desenvolvedores está oferecendo uma posição aberta para desenvolvedores ao redor do mundo que têm diferentes níveis de experiência para ajudar a acompanhar os atores maliciosos. Uma posição no Programa de Desenvolvedores não é apenas uma honra, mas realmente uma responsabilidade para as equipes de segurança e organizações em todo o mundo, e não deve ser tomada levianamente.

Você pode explorar o conteúdo de detecção desenvolvido por Lee Archinal aqui.
Entrevistas com outros participantes no Programa de Recompensa de Ameaças: https://socprime.com/tag/interview/