Entrevista com o Desenvolvedor: Osman Demir

Apresentamos à sua atenção nova entrevista com o participante do Programa de Desenvolvedores da SOC Prime (https://my.socprime.com/en/tdm-developers). Conheça Osman Demir.Conte-nos um pouco sobre você e sua experiência em caça a ameaças.Olá, sou Osman Demir. Moro em Istambul, Turquia, e tenho 25 anos. Terminei minha educação em Engenharia da Computação em 2017 e trabalho como Engenheiro de Segurança em uma instituição privada.
Tenho lidado com caça a ameaças há 2 anos. Trabalho em uma equipe SOC na detecção de ameaças atuais e sua integração.
Sigo as notícias quentes do mundo sobre caça a ameaças, pesquiso métodos de grupos de ataque e desenvolvo regras de detecção. Faço o meu melhor para acompanhar os grupos de ataque.Qual é a diferença entre caça a ameaças e detecção de ameaças?A caça a ameaças é o processo de detectar o ataque o mais rápido possível antes que os ataques que parecem uma ameaça para a instituição tenham sucesso total. O fator humano é mais importante na caça a ameaças.
A detecção de ameaças cobre os processos gerais de detecção de um ataque. É necessário ter um bom domínio dos produtos de detecção de ameaças e verificar bem os logs no sistema.Em sua opinião, o que torna o Sigma um instrumento tão eficiente para caça a ameaças?Sigma oferece às pessoas uma linguagem universal. Desta forma, as regras Sigma podem ser facilmente integradas em sistemas SIEM, independentemente de qual produto seja.
As instituições podem facilmente compartilhar as regras de detecção dos ataques que identificaram com outras instituições, independentemente do produto.
Graças à estrutura simples e flexível do Sigma, regras abrangentes podem ser escritas.Quais habilidades são necessárias para desenvolver regras Sigma para caça a ameaças?Antes de tudo, é necessário ser curioso e pesquisador. As regras de ameaças em tendência devem ser pesquisadas e métodos de detecção extraídos. Logs de Sysmon e Auditd devem ser bem conhecidos. Logs de acesso à Web devem ser dominados para detectar vetores de ataque que aparecem no lado da Web. Em geral, as fontes de logs devem ser dominadas.Quais tipos de ameaças são as mais complicadas de detectar? Talvez você possa dar um exemplo da vida real?As ameaças 0day são as mais difíceis de detectar. Como nenhuma informação é publicada para o ataque 0day, uma ideia dos registros de eventos não pode ser realizada, apenas métodos preditivos de detecção podem ser escritos.
Se dermos um exemplo da vida diária, um método de detecção não pôde ser escrito para o ataque smbv3 RCE (CVE-2020-0796), apenas regras preditivas de detecção podem ser escritas.O que você acha que é o maior benefício do Threat Bounty Program da SOC Prime?Se eu der um exemplo de mim mesmo, o Threat Bounty Program da SOC Prime me ajuda a manter minha identidade de pesquisador.
É uma honra saber que suas regras ajudam nos processos de cibersegurança das empresas.
A parte mais importante é que você pode ganhar dinheiro com este programa.A fuga de dados é um problema muito comum para muitas organizações agora, quais medidas você acha que poderiam ser as mais eficientes para evitar violações de dados (se não forem causadas por funcionários irresponsáveis)Para isso, os métodos de detecção mais eficazes, você deve usar o produto DLP e registrar o tráfego de saída dos usuários como dados completos de pacotes. Desta forma, você pode analisar o pacote que sai e melhorar as regras de detecção.
Os dados críticos (informações pessoais, dados de clientes) devem ser bem monitorados e acessos não autorizados/horários anormais sempre questionados.Como um caçador de ameaças experiente, o que você acha que deveria ser a prioridade número 1 para organizações que desejam construir uma defesa cibernética robusta? (e por quê)Uma forte segurança cibernética deve consistir em uma comunidade ativa de pessoas. Isso pode ser possível reunindo pesquisadores e desenvolvedores.
Investimentos em produtos não fazem sentido a menos que sejam feitos para a educação humana.

Atenciosamente,
Osman Demir