Entrevista com o Desenvolvedor do Threat Bounty – Aung Kyaw Min Naing

Já se tornou uma boa tradição na SOC Prime quando Threat Bounty membros compartilham histórias sobre seus caminhos profissionais, sua experiência e conquistas com a Threat Bounty. Hoje estamos aqui com Aung Kyaw Min Naing, que entrou no programa em junho de 2022 e já se provou como um colaborador ativo na defesa cibernética coletiva.

Regras de Aung Kyaw Min Naing

Por favor, conte-nos um pouco sobre você e sua experiência em cibersegurança.

Olá! Eu sou Aung Kyaw Min Naing, e venho da cidade de Mandalay, em Mianmar. Desde que me graduei em Engenharia Eletrônica em 2017, meu interesse em cibersegurança me levou a seguir uma carreira nesta área. Atualmente, estou trabalhando como Analista de Segurança Cibernética (Threat Hunting) em uma empresa de Provedor de Serviços Gerenciados de Segurança baseada na Tailândia. Minhas principais responsabilidades incluem a busca proativa por atividades maliciosas em notícias de ameaças cibernéticas, a condução de pesquisas aprofundadas para melhorar as detecções baseadas em comportamento para enfrentar ameaças cibernéticas emergentes e técnicas de ataque, e o gerenciamento eficaz de incidentes de segurança críticos. Nos primeiros dias da minha carreira, ganhei experiência prática como engenheiro de rede em uma empresa de Provedor de Serviços de Internet enquanto mergulhava simultaneamente no reino da cibersegurança. Levando minha paixão adiante, embarquei na minha jornada profissional em Cibersegurança como Engenheiro de Centro de Operações de Segurança especializado em prevenção de DDoS em uma empresa local de soluções e segurança de TI. Além disso, tive a oportunidade de trabalhar com o maior banco privado local e com uma empresa pública de bebidas em Mianmar como profissional de cibersegurança, onde atuei na implementação de projetos PCS-DSS e controles de segurança CIS de um ponto de vista técnico. Isso envolveu a realização de varreduras de VA, participação em operações diárias de monitoramento de segurança para detectar e mitigar ataques cibernéticos, e colaboração com engenheiros de sistemas e desenvolvedores de equipes internas e organizações terceirizadas externas. Além disso, enquanto trabalhei nesta posição, examinei várias certificações internacionais de cibersegurança de diversas plataformas, como o teste de penetração do eLearnsecurity, o Analista de Cibersegurança da CompTIA (CySA+), o Analista de Operação de Segurança da Microsoft, etc.

Como você soube da SOC Prime? Por que decidiu participar do Programa Threat Bounty?

Após descobrir SOC Prime no LinkedIn, meus ex-membros da equipe recomendaram que eu me juntasse ao Programa Threat Bounty como desenvolvedor para escrever regras e contribuir para a detecção de ataques cibernéticos, o que se alinha perfeitamente com minha paixão por pesquisar novos métodos de ataque diariamente e ajudar as organizações a aprimorar suas capacidades em cibersegurança. Eu acredito firmemente que participar do Programa Threat Bounty não apenas me permitirá melhorar meu conhecimento e minhas habilidades, mas também causar um impacto significativo na comunidade de cibersegurança. Além disso, estou particularmente interessado nas atividades dos coletivos APT, e estou curioso para saber o que poderia estar na mente de um membro de um grupo APT. Portanto, decidi adquirir habilidades em escrever regras Sigma e aplicá-las para detectar atividades de adversários.

Atualmente, as organizações enfrentam o desafio de resistir aos ataques da guerra cibernética global. Quais medidas você acha que podem ser mais eficientes para proteger infraestruturas?

Aproveitando a linguagem Sigma e a abordagem orientada pela comunidade, o Programa Threat Bounty da SOC Prime ajuda as organizações a fortalecer a proteção de suas infraestruturas ao detectar proativamente ameaças emergentes e fomentar a colaboração entre profissionais de cibersegurança. Na minha perspectiva, a noção predominante no campo da cibersegurança é que Prevenção é Ideal, mas Detecção é Necessária. Portanto, o Sigma surge como um recurso valioso, permitindo robustas capacidades de detecção contra ameaças modernas de malware, as mais recentes CVEs e atividades APT direcionadas.

Baseado em sua experiência, quais ameaças são mais difíceis de detectar?

Na minha opinião, o primeiro passo é identificar quais tipos de fontes de log e fontes de dados são necessários para capturar as evidências para um ponto de detecção específico. O abuso de aplicativos legítimos e ataques de injeção de memória são difíceis de detectar. As vantagens do Sigma são que ele é uma linguagem única, flexível, fácil de escrever e genérica para regras de detecção contra ameaças cibernéticas emergentes sofisticadas e complexas, permitindo operações de segurança em várias plataformas. O ponto limitante é que ele não suporta todos os fornecedores, e algumas das regras não funcionam corretamente para os casos de uso de segurança existentes.

Quais habilidades você considera necessárias para desenvolver regras Sigma de caça a ameaças que tenham mais chances de serem publicadas na Plataforma SOC Prime?

Em relação ao desenvolvimento de regras Sigma, minha abordagem usual envolve a criação de templates derivados de diversos recursos. A maioria das minhas contribuições Sigma para a SOC Prime são construídas com base nesses templates, com alguns ajustes menores incorporados. Meu método para criar a regra Sigma é delineado na lista a seguir, passo a passo:

• Mantenha-se atualizado e pesquise sobre notícias e relatórios de ameaças.
• Acompanhe grupos de atores de ameaça e aprenda novos padrões de ataque.
• Entenda profundamente a linguagem Sigma e sua sintaxe.
• Tenha uma compreensão sólida dos conceitos de ataque de cibersegurança, serviços de registro e fontes de dados.
• Navegue pela pilha de detecção existente na Plataforma SOC Prime usando a busca Lucene antes de escrever a regra.
• Use Uncoder AI para validar a regra e convertê-la para o formato de linguagem necessário.

Quais benefícios você vê em participar do Programa Threat Bounty da SOC Prime? Você pode recomendar a outros para se juntarem ao programa? Por quê?

O Programa Threat Bounty da SOC Prime oferece benefícios iguais tanto para empresas quanto para desenvolvedores individuais. Participar deste programa permite que as organizações fiquem à frente das ameaças emergentes enquanto oferece oportunidades para que os desenvolvedores contribuam, aprimorem suas habilidades e sejam recompensados por seu valioso trabalho.