Entrevista com o Desenvolvedor: Thomas Patzke

Continuamos entrevistando os desenvolvedores do nosso Programa de Recompensas por Ameaças (https://my.socprime.com/en/tdm-developers) para encorajar profissionais de cibersegurança a desenvolver mais regras Sigma, compartilhar seu conteúdo de detecção de ameaças e construir uma comunidade mais forte. A entrevista anterior está aqui https://socprime.com/blog/interview-with-developer-florian-roth/

Conheça Thomas Patzke

Thomas é um dos especialistas mais inspiradores na comunidade de cibersegurança, com mais de 13 anos de experiência na área de segurança da informação, atua como membro de equipe azul e caçador de ameaças na ThyssenKrupp CERT e é criador do Sigma junto com Florian Roth. Thomas Patzke não é apenas um colaborador do projeto Sigma, mas também um desenvolvedor experiente que escreve o código para o Sigmac e compartilha ferramentas relacionadas à cibersegurança com a comunidade (https://gist.github.com/thomaspatzke).

Conte-nos um pouco sobre você e sobre sua experiência em Caça de Ameaças.

Comecei a trabalhar em segurança da informação em 2006 como consultor em uma ampla gama de projetos. Rapidamente, migrei para a segurança ofensiva, concretamente segurança de aplicações e ocasionalmente fiz análise de log e forense em projetos de resposta a incidentes. Mesmo quando esses trabalhos de IR eram bastante pequenos, as tarefas eram muito interessantes e meu interesse em tópicos defensivos cresceu ao longo do tempo, recebendo um impulso em 2015, quando comecei a trabalhar em um CERT e me tornei continuamente envolvido em incidentes interessantes e atores de ameaças. Investigar grandes volumes de dados para encontrar um invasor me fascinava desde o início e, finalmente, migrei completamente da segurança ofensiva para caça de ameaças e resposta a incidentes.

Você é um dos inventores do Sigma, quanto tempo levou para transformar a ideia do Sigma em um conceito completo? Thomas, por que o nome “Sigma” foi escolhido? Você esperava naquela época que o Sigma seria usado por milhares de profissionais de cibersegurança de todo o mundo?

Construir o Sigma foi um processo fluido e muito ágil. Quando Florian me contatou pela primeira vez com a ideia de um formato de assinatura para eventos de log, suas ideias já eram muito concretas. Refinamos essa ideia juntos enviando mensagens de voz de um lado para o outro e no dia seguinte, Florian já escreveu as primeiras regras Sigma (https://github.com/Neo23x0/sigma/commit/87deb349adb22331aae1b923420d382fea278d2c) que não diferem muito de como as regras Sigma são escritas hoje. O nome “Sigma” foi ideia de Florian e, como conheço Florian, certamente há uma história por trás disso, mas você tem que perguntar a ele para descobrir 😉 Gostei do nome e então decidimos por ele.

Nos tempos seguintes, refinamos ainda mais o Sigma e descobrimos muitos desafios na partilha de assinaturas de log, como diferentes convenções de nomenclatura de campos, e os resolvemos na linguagem de assinaturas e nas ferramentas de conversão. Após dois a três meses, tínhamos algo que considerávamos pronto para publicar, mas mesmo após o lançamento inicial, novos conceitos foram adicionados e continuarão a ser no futuro.

Eu esperava que o Sigma fosse útil para algumas pessoas porque foi construído com base na dor que Florian e eu experimentamos ao lidar com incidentes e sabíamos que outras pessoas nesta área tinham a mesma dor. O feedback positivo de tantas pessoas e a adoção por equipes de resposta a incidentes de várias organizações foi muito além das minhas expectativas.

Thomas, quais são os principais benefícios do Sigma como ferramenta de caça de ameaças?

O principal benefício do Sigma está na distribuição de um resultado da caça de ameaças, assinaturas de log para eventos específicos. Se for possível expressá-lo como uma regra Sigma, pode distribuí-lo facilmente em uma organização com uma infraestrutura de detecção heterogênea. É comum em grandes organizações ter diferentes sistemas SIEM devido a uma infraestrutura de TI historicamente desenvolvida ou porque diferentes soluções são usadas para diferentes propósitos. Com o Sigma, você precisa escrever a regra uma vez e pode convertê-la em uma consulta Splunk e ArcSight para os SIEMs, uma consulta Elasticsearch para o data lake, um Grep ou script PowerShell para triagem de um sistema suspeito e para compartilhá-lo com a comunidade.

O que você acha que é a parte mais complicada e demorada de escrever novas regras Sigma e quanto tempo em média você leva para escrever uma nova regra Sigma?

Para mim, leva apenas alguns minutos para escrever uma regra Sigma, que é apenas uma pequena fração do tempo que geralmente gasto na pesquisa que leva à assinatura do log. Florian e eu nos esforçamos para projetar o Sigma para ser amigável e fácil de escrever. Acho que sou muito tendencioso para identificar partes complicadas do Sigma. Esta é uma área onde dependemos do feedback de nossos usuários, que não devem hesitar em nos contatar através do problema no GitHub ou diretamente se houver algo que possa ser melhorado.

Sigma está se tornando cada vez mais popular em todo o mundo. Na sua opinião, como a regra Sigma está influenciando o setor e como você vê o futuro do Sigma, alguma consideração específica sobre seu desenvolvimento futuro?

Sei de alguns usuários do Sigma que o incluíram como requisito em RFPs para produtos de segurança porque acreditam nele e já tivemos contato com vários fornecedores de segurança que desejam integrar suporte ao Sigma em seus produtos. Seria ótimo ver o suporte nativo ao Sigma em produtos de segurança, assim como YARA e Snort já estão integrados em muitos produtos. Desenvolvi grandes partes do conversor Sigma, mas estou totalmente bem quando ele se torna obsoleto com o suporte nativo ao Sigma!

Na SOC Prime lançamos o Programa de Recompensa por Ameaças que incentiva o compartilhamento de conteúdo entre profissionais de cibersegurança. Thomas, você gosta da ideia de recompensar desenvolvedores por compartilharem regras Sigma e outros conteúdos de detecção de ameaças?

Sim! Como pesquisador de segurança ofensiva, você pode escolher por anos se deseja ser pago por sua pesquisa ou publicá-la abertamente e aumentar sua reputação. O programa de recompensas por ameaças estende isso à pesquisa defensiva e é um bom passo para corrigir o desequilíbrio de recompensas entre ambas as áreas. Sou um grande defensor de publicar resultados de pesquisa livremente e acredito que as pessoas ainda farão isso no futuro. As recompensas por ameaças podem até motivar mais pessoas a dedicarem algum tempo à pesquisa de segurança defensiva e melhorar a situação geral.

O que você recomendaria aos especialistas em cibersegurança que estão começando a aprender a escrever regras Sigma, algumas dicas para dominar a escrita em Sigma?

Conteúdo é importante! Acho que escrever regras Sigma é relativamente fácil e a curva de aprendizado é bastante acentuada. Um editor com suporte a YAML é suficiente e há ferramentas baseadas na web como o SOC Prime Sigma UI que auxiliam o analista na escrita de regras Sigma. Então, meu conselho para aprender Sigma é muito simples: vá em frente, faça uma pesquisa bacana ou pegue alguma pesquisa existente (não esqueça dos créditos!) e transforme em uma regra Sigma. Você se tornará fluente com Sigma após um tempo.