Entrevista com o Desenvolvedor: Nate Guagenti

Conheça Nate GuagentiAo longo de uma década, Nate implantou e projetou SIEMs de rede e endpoint que escalaram para múltiplos TB/dia de ingestão, enquanto simultaneamente usava e treinava outros na solução implantada. Como Nate trabalhou em todas as facetas de TI, ele acrescenta a experiência única de alguém que realizou tanto a monitoração de segurança de endpoint quanto de rede. Seu trabalho em caça a ameaças e detecção de ameaças internas foi apresentado em várias conferências. Nate é colaborador do projeto open source HELK (https://github.com/Cyb3rWard0g/HELK), que foca na caça de ameaças através de dados de endpoint usando o Elastic Stack, assim como o framework SIGMA, que é um projeto open source que padroniza assinaturas e métodos de detecção.Nate, conte-nos sobre sua experiência em cibersegurança e por que você decidiu focar em soluções open-source como o Elastic?Comecei minha carreira em cibersegurança em 2012, onde trabalhei como cliente do governo. A partir daí, passei de analista de SOC para análise de malware. Com o tempo, isso se expandiu para caça a ameaças e funções que incluíam a engenharia de implantações de sensores NSM Zeek (Bro) de 10Gbps+ e clusters Elastic.

Como defensor, somos confrontados com uma montanha de desafios, muitos dos quais estão fora de nosso controle. No entanto, há coisas que podemos controlar e corrigir e não podemos esperar até o próximo trimestre para uma correção ou recurso de um fornecedor. Implantar software open source, como o Elastic, me permitiu corrigir lacunas críticas de defesa no dia seguinte. Além disso, ter a barreira financeira removida para usar e aprender o produto me permitiu acelerar meu entendimento a partir de casa.Na sua opinião, quais são as tendências mais importantes em caça a ameaças na indústria atualmente?A indústria já mostrou que o problema com coleta (telemetria) e big data pode ser resolvido. Isso permitiu que muitas tendências e processos evoluíssem, amadurecessem e surgissem. Uma dessas tendências é a documentação de dados (mostrada na OSSEM por @Cyb3rWard0g), normalização de dados e linguagens de consulta padronizadas (SIGMA). Além disso, a telemetria embutida está sendo explorada para substituir ou complementar soluções empresariais e é compartilhada abertamente. Em troca, as pessoas agora podem validar, explorar e usar esses dados compartilhados para construir detecções e modelos sem a necessidade de soluções empresariais caras ou um grande ambiente de laboratório. Além disso, a comunidade está construindo detecções mais amplas em torno de táticas e técnicas. Algo como o framework Mitre ATT&CK é um exemplo perfeito. As regras SIGMA existentes para descoberta de ambiente ou processos de spawn do Microsoft Office mostram isso na prática.
Por último, veremos um foco contínuo em gráficos, pivotamento e junções de dados como melhorias na caça. Ambos, acredito, a plataforma HELK fez um ótimo trabalho ao exibir e implementar através do Jupyter Notebooks.Como arquiteto de soluções, você acha que o Sigma pode mudar a maneira como as organizações constroem sua defesa cibernética?Por mais de 20 anos com as regras do snort e mais de 10 anos com as regras do yara, a indústria não teve um avanço universal como o SIGMA. Não só isso, mas a indústria nunca teve um formato universal para logs e telemetria. O que é fundamental na construção da segurança cibernética! Além disso, como uma empresa, você nunca quer estar amarrado a uma única tecnologia. Seus analistas/operadores devem se concentrar em implementar detecções, não aprender sua solução de logging. Se hoje você usa Elastic, Splunk ou QRadar e uma nova solução surgir amanhã, você pode ter certeza de que o SIGMA a suportará.

Independente da minha opinião, a comunidade já mostrou que o SIGMA continuará a mudar a maneira como detectamos ameaças. Duas das melhores soluções de caça open source, HELK e SecurityOnion, implementaram o SIGMA e há tutoriais e blogs sobre SIGMA de fornecedores empresariais.Como você toma decisões sobre quais regras ou outros tipos de conteúdo de detecção de ameaças devem ser implantados em primeiro lugar?Acho que isso é melhor explicado com as verdades fundamentais da indústria: a) você não pode proteger todos os ativos e b) descubra o que é importante para o seu negócio. Defenda o que é a ameaça mais provável e impactante. Por exemplo, minha experiência defendendo uma rede de gestão colocou essa verdade bem na minha frente. O administrador de domínio não era a ameaça mais preocupante, nem era o malware tradicional. Eu estava enfrentando usuários já privilegiados. Era aquela mudança de configuração ou respawn de um processo anormal um soluço ou o início de uma intenção maliciosa? Com centenas desses usuários, tive que restringir o escopo do que estava defendendo. Algo como a destrutividade ou degradação de rede, descoberta de ambiente, leitura de documentos necessários para saber ou alterações maliciosas de configuração. Talvez um exemplo mais prático poderia ser se você tiver algum servidor de exchange/mail para implantar as regras SIGMA que cobrem a criação de processos ou modificações de arquivos nesses servidores.Quais tipos de ameaças cibernéticas você acha que representarão os maiores riscos para as organizações no próximo ano? Alguma sugestão sobre como melhorar as capacidades de detecção contra essas ameaças?Ataques a servidores web, abuso de APIs e roubo/abuso de credenciais de soluções em nuvem. Em relação a ataques web e API, isso continuará a amadurecer no SIGMA. Ele tem a capacidade de compartilhar regras semelhantes a WAF, regras de processo/endpoint, juntamente com regras mais avançadas, por exemplo: um único IP causando dez erros de servidor web 400/404 seguido por um erro 500 do seu servidor web. Isso pode indicar que um atacante está passando de explorar para atacar com sucesso aquele servidor.

Além disso, ICS (sistemas de controle industrial) continuará a ser um risco. Apesar de ICS não ser a minha área de especialização, já vejo as possibilidades de detecção para essa indústria com o suporte de logs Zeek no SIGMA. Zeek tem analisadores para muitos dos protocolos ICS. À medida que as empresas implantam o registro do Zeek e a comunidade escreve regras SIGMA para ICS, acho que o resultado é autoexplicativo.Quais problemas as organizações geralmente enfrentam ao tentar passar de uma defesa cibernética reativa para proativa?Acho que o que priorizar e até mesmo por onde começar se torna um desafio para todos. Muitas das coisas que mencionei na pergunta 4 também são muito verdadeiras para esta pergunta. Depois de descobrir seus ativos críticos, pode haver um enorme obstáculo para validar a coleta de log/telemetria e quaisquer análises/detecções correspondentes. No entanto, combinações de frameworks de teste de equipe vermelha atômica, conjuntos de dados open source (Mordor) e regras da comunidade reduzem significativamente esse obstáculo.Nate, qual seria sua recomendação para jovens especialistas em cibersegurança que estão decidindo qual caminho escolher?Primeiro, acompanhe alguns dos seus objetivos e quando você os alcançar. Tome o maior número de notas (online) possível. Você aprenderá muito rápido e enfrentará muitas dificuldades ao longo do caminho. Portanto, é importante lembrar o quanto você já conquistou. As notas serão referências para toda a sua carreira.

Do ponto de vista do aprendizado, entre no Twitter e siga o máximo de pesquisadores e empresas de tecnologia que puder. A partir daí, siga e leia seus blogs e tutoriais usando um leitor de RSS. Há muitos gigantes nesta indústria, você pode facilmente ser um apenas apoiando-se em seus ombros. Apenas certifique-se de sempre dar crédito e não esquecer suas origens humildes.O que você acha, o Programa de Recompensa de Ameaças da SOC Prime pode ajudar as organizações a detectar ameaças de forma mais eficiente?O Programa de Recompensa de Ameaças oferece benefícios semelhantes aos de como conjuntos de regras de IDS já são usados em milhares de organizações (ou seja, regras Emerging Threat ou Sourcefire). No entanto, há um benefício único de ter a capacidade de usar detecções de pesquisadores que trabalham em várias indústrias ao redor do mundo. Além disso, os pesquisadores que escrevem o conteúdo são essencialmente sua própria entidade/negócio dentro do programa da SOC Prime. Semelhante a como o Etsy funciona, os consumidores se beneficiam de lojas motivadas, que seriam os pesquisadores neste caso.

A entrevista anterior com Thomas Patzkke está aqui: https://socprime.com/en/blog/interview-with-developer-thomas-patzke/