Entrevista com o Desenvolvedor: Sreeman Shanker

Conheça Sreeman, um dos participantes mais ativos do SOC Prime Threat Bounty Program. Sreeman participa do Threat Bounty Program desde dezembro de 2019.

Antes de começar a publicar seu próprio conteúdo desenvolvido no Threat Detection Marketplace, Sreeman contribuiu com uma carga significativa de mudanças e melhorias nas traduções de conteúdo TDM existentes para Azure Sentinel e Microsoft Defender ATP.

Confira o link para visualizar as Regras desenvolvidas por Sreeman: https://tdm.socprime.com/?searchValue=tags.author:sreeman

Sreeman, conte-nos um pouco sobre você e sua experiência em cibersegurança.

Minha primeira introdução à segurança foi quando assisti ao cult favorito “Wargames”. Eu sabia imediatamente que a segurança da informação era o que eu iria me especializar quando entrasse na Universidade. Estou na área de segurança há cerca de 6 anos agora, começando como analista de segurança e atualmente fazendo mais caçada de ameaças e resposta a incidentes. Passo muito tempo em uma semana lendo, pesquisando e tentando entender a lógica de novos métodos de exploração. Também sou membro ativo da equipe da conferência de segurança Hack In The Box.

Quão difícil é dominar a linguagem Sigma tendo experiência em escrever regras para diferentes sistemas de segurança?

Honestamente, é tão fácil quanto aprender a andar de bicicleta. Uma vez que você entende o básico e remove as rodinhas de apoio, é praticamente a mesma coisa seguir adiante, já que o formato e as sintaxes se tornam familiares rapidamente. É surpreendente que ele nunca tenha sido criado muito antes, mas Florian Roth pensou fora da caixa e teve a ideia que realmente ajuda todos que trabalham em um ambiente de equipe azul/SOC. Diferentes SIEMs têm maneiras diferentes de escrever regras, mas a lógica central é essencialmente a mesma. Isso é exatamente o que o SIGMA faz. Estamos apenas anotando qual deve ser a estratégia de detecção em termos leigos, e as pessoas apenas a convertem para a linguagem de consulta de seu SIEM.

Vou admitir que ainda cometo vários erros de sintaxe, e tenho certeza de que o pessoal do TDM provavelmente se irrita com minha imprudência – mas agradeço que eles dediquem tempo para me informar o que está errado para que eu possa corrigir.

Você participa ativamente do desenvolvimento da comunidade: não apenas publica seu conteúdo de detecção, mas também verifica outras regras publicadas pela comunidade e oferece suas próprias traduções para plataformas se a regra não puder ser traduzida via Uncoder automaticamente. Quanto tempo isso leva?

Como mencionei anteriormente, a lógica transmitida por uma regra SIGMA é bastante fácil de entender. Se sabemos sobre o que é a regra, é realmente direto replicá-la em outras plataformas. É saber como escrever consultas eficientes nessa plataforma que dita o tempo. Algumas consultas podem levar apenas alguns minutos, e algumas um pouco mais.

Todo o conteúdo de detecção de ameaças contribuído por você para o Threat Detection Marketplace está disponível gratuitamente e ajuda especialistas em cibersegurança de todo o mundo a detectar ameaças. O que te motiva a publicar apenas regras comunitárias?

A grande coisa sobre a comunidade de segurança é que todos compartilham seu conhecimento e descobertas. Você encontra pessoas como Samir Bousseaden, Florian Roth, @hexacorn , Oddvar Moe e muitos, muitos mais que dedicam tempo para explicar e demonstrar uma exploração, bem como escrever regras para caça. Aprendi muito com todas essas pessoas, e sem pagar um centavo. Sinto que é justo contribuir de volta para a comunidade sem pedir nada depois de absorver todo esse conhecimento.

O que você acha que é o maior benefício do SOC Prime Threat Bounty Program?

É uma plataforma realmente boa (talvez a única?) que ajuda equipes azuis/caçadores de ameaças ao redor do mundo a chegar a um único painel e identificar e usar as regras de detecção de ameaças de que precisam. Não só isso, pode ser o maior repositório mundial de regras de detecção que atendem a todos os SIEMs/coletores de logs existentes. Um SOC que está apenas começando pode aproveitar essas regras e obter uma vantagem imediata na maturidade de suas regras. O mapeamento MITRE ATT&CK também permite que as equipes integrem regras de detecção que são adequadas para sua indústria e aumentem as regras de detecção para táticas que estavam em falta. O SOC Prime e desenvolvedores freelance estão adicionando regras diariamente com base em novas descobertas de segurança.

Além disso, o mercado TDM permite que as organizações solicitem regras de detecção que sejam mais adaptadas às necessidades organizacionais (regras específicas de APT que podem não estar disponíveis). Isso não apenas proporciona um benefício à organização, mas também incentivos aos desenvolvedores que criam regras. Pense nisso como um programa de “bug bounty” para regras de detecção, que eu não acho que muitas outras plataformas ofereçam!

Verifique nosso último Rule Digest e veja o exemplo de conteúdo desenvolvido por Sreeman: https://socprime.com/en/blog/rule-digest-trojans-cyberspies-and-raticate-group/

Leia entrevistas com outros desenvolvedores: https://socprime.com/en/tag/interview/