Entrevista com o Desenvolvedor: Sittikorn Sangrattanapitak

Hoje, queremos apresentar aos nossos leitores um dos novos autores de conteúdo de detecção no Threat Detection Marketplace. Conheça Sittikorn Sangrattanapitak, membro ativo do SOC Prime Threat Bounty Program.

Saiba mais sobre o Threat Bounty Program – https://my.socprime.com/tdm-developers
Mais entrevistas com desenvolvedores do Threat Bounty Program – https://socprime.com/tag/interview/

Conte-nos um pouco sobre você e sua trajetória como profissional de cibersegurança.

Meu nome é Sittikorn. Sou da Tailândia. Estou interessado em Cibersegurança desde que estava na universidade. Comecei meu trabalho nesta área como Engenheiro de Segurança da Informação. Ofereci suporte a clientes em soluções de segurança como WAF, NGFW e SIEM. Fiquei especialmente interessado na solução SIEM porque ela agrega dados relevantes de várias fontes, de múltiplos produtos e então correlaciona muitos eventos para identificar desvios da atividade normal. Quando mudei de emprego, trabalhei em um MSSP local. Então, em 2016, ouvi falar do SOC Prime pela primeira vez quando procurava um pacote de hunting para o ArcSight. Trabalhei em muitos papéis, como Engenheiro de SIEM, Especialista Analista de SOC, Analista de Inteligência de Ameaças. Hoje, estou trabalhando como Profissional de Threat Hunting, Inteligência de Ameaças e Pesquisador de Segurança.

Sittikorn, uma vez que você entrou para o Threat Bounty Program, você se tornou um dos líderes na contribuição de conteúdo de detecção de ameaças. O que te motiva a compartilhar seu conteúdo com a comunidade?

Os Bug Bounty Programs, onde você precisa de habilidades de red team, já são bem conhecidos. Eu estava me perguntando se algumas empresas já criaram um programa de recompensas para desafiar habilidades de blue team também. É uma boa maneira de desenvolver suas habilidades, visão, novas ideias e ganhar dinheiro como pentester.

Quando comecei um novo emprego este ano, senti necessidade de algum novo conteúdo de detecção e lembrei do Threat Detection Marketplace. Visitei o site do SOC Prime e decidi entrar neste programa. Minha experiência em Centro de Operações de Segurança e Threat Hunting é superior a 10 anos, e acredito que posso criar novo conteúdo de detecção que seja útil para os membros da comunidade do Threat Detection Marketplace. E este ano, estou pesquisando sobre ciberataques em nuvem e quero compartilhar minha experiência com a comunidade para prevenir muitos ataques cibernéticos em nuvem.

Você escreve muito conteúdo relacionado à nuvem e isso é ótimo. Qual é a razão para isso?

Hoje, a maioria das organizações está se movendo para a nuvem porque elas são facilmente gerenciadas, reduzem custos e são escaláveis. Muitas pessoas ainda carecem de conhecimento e entendimento sobre a cibersegurança da nuvem, mas o proprietário do negócio quer entregar o produto o mais rápido possível aos seus clientes. Esta razão pode levar a uma série de vulnerabilidades ou falhas que serão alvo para hackers tentarem penetrar no sistema em nuvem e roubar seus dados. É um alvo fácil para um hacker se o administrador ignorar a cibersegurança sobre a nuvem. No ano passado, uma grande quantidade de informações importantes e dados de clientes foram vazados de muitos sistemas de nuvem, como o da British Airways. Esses motivos são porque eu tento estudar e encontrar novos métodos de detecção para estar a par da situação atual.

Quanto tempo levou para você dominar a escrita de regras Sigma? Qual é o histórico técnico necessário para dominá-las? Sittikorn, quanto tempo você precisa, em média, para escrever uma nova regra Sigma de IOC e uma regra Sigma de hunting de ameaças?

Basicamente, comecei a aprender a escrever regras Sigma no mês passado. Li um artigo sobre a escrita de Regras Sigma no site de Thomas Patzke e vi muitas regras Sigma no Threat Detection Marketplace e no GitHub. Tentei traduzir minha regra para o ArcSight SIEM para Sigma Rule para submeter ao Threat Detection Marketplace. Tive que corrigi-la várias vezes para conseguir o status “aprovado”, e isso me ajudou a entender melhor o Sigma. Na minha opinião, se você quer se tornar um mestre, você apenas começa a escrever uma regra Sigma baseada no comportamento ou nas fontes de log que você entende muito bem. Não vai demorar muito.

O tempo médio necessário para escrever uma nova regra Sigma depende da complexidade da regra, exemplo de log de evento e condições específicas para reduzir a detecção errônea também. Geralmente, levo cerca de 15 a 60 minutos por regra.

Sittikorn, a pandemia é outro desafio para o profissional de cibersegurança, já que muitos atores de ameaças aumentaram suas atividades. Conte-nos como isso influenciou seu trabalho diário.

Devemos pensar como um hacker. Acredito que devemos aumentar o monitoramento de segurança sobre canais remotos, gerenciamento de console em nuvem, gerenciamento de clientes e monitorar a Inteligência de Ameaças sobre a campanha da pandemia atualizada, e então aplicar IoC para proteção de segurança.

Qual você acha que é o maior benefício do SOC Prime Threat Bounty Program?

O programa Threat Bounty é perfeito para blue teamers monetizarem sua experiência em SOC e Threat Hunting. Não é inferior aos programas de Bug Bounty para pentesters. É uma nova paixão por aprender novos métodos de detecção em novos ataques e novos malwares e pensamento criativo.