Entrevista com o Desenvolvedor de Threat Bounty – Mehmet Kadir CIRIK

Enquanto continuamos a falar sobre nossos membros dedicados da SOC Prime’s Threat Bounty comunidade compartilhando histórias sobre seu crescimento profissional e ampliando sua expertise no desenvolvimento de regras que contribuem para a defesa cibernética global, hoje apresentamos Mehmet Kadir CIRIK, que ingressou no programa em janeiro de 2023 e tem contribuído ativamente com suas detecções desde então.

Mehmet Kadir CIRIK

Conte-nos um pouco sobre você e sua experiência em cibersegurança.

Olá! Eu sou Mehmet Kadir CIRIK, tenho 22 anos. Nasci em Mersin, Turquia, em 2001 e cresci lá. Atualmente sou estudante do último ano nos departamentos de Engenharia de Informática Forense e Engenharia de Computação na Universidade Firat. No meu 2º ano de universidade, estudei no departamento de Ciência da Computação na Macedônia do Norte por cerca de 8 meses no âmbito do Erasmus. Tenho trabalhado em tempo integral na área de cibersegurança desde o meu segundo ano na universidade. Atualmente, trabalho como Engenheiro de Blue Team e Pesquisador de Ameaças em uma empresa com sede em Istambul. Minhas principais responsabilidades incluem a investigação proativa de atividades maliciosas em feeds de notícias sobre ameaças cibernéticas, pesquisa aprofundada para desenvolver detecções baseadas em comportamento que abordem ameaças cibernéticas emergentes e técnicas de ataque, e gestão eficaz de incidentes de segurança críticos. Comecei minha carreira em Inteligência de Ameaças Cibernéticas. Depois trabalhei como analista de MDR e desenvolvi minhas habilidades em forense.

Como você soube da SOC Prime? Por que decidiu ingressar no Threat Bounty Program?

Descobri a SOC Prime pela primeira vez através de postagens no LinkedIn. Eu estava interessado em escrever Regras Sigma antes, mas nunca tinha escrito uma única Regra Sigma até então. Na empresa em que trabalho atualmente, recebi apoio e orientação de meus colegas seniores sobre como escrever regras Sigma e como submetê-las para publicação na plataforma SOC Prime. Ao escrever regras Sigma, posso melhorar minhas habilidades e adquirir conhecimento sobre muitas vulnerabilidades e técnicas de ataque em um tempo muito curto. Estou particularmente interessado nas atividades dos coletivos APTs e me pergunto o que pode estar na mente de um membro de um grupo APT. É por isso que me juntei como membro do Threat Bounty da SOC Prime e cuido de escrever minhas regras regularmente.

Quais habilidades você considera necessárias para desenvolver regras Sigma que tenham mais chances de serem publicadas na Plataforma SOC Prime?

Para aumentar as chances de ser publicado na Plataforma SOC Prime, tomo cuidado para escrever regras, prestando atenção excepcional ao conteúdo da regra para que ela não crie nenhuma percepção falsa ou enganosa sobre a detecção. Além disso, certifico-me de construir minhas regras de modo que sejam capazes de detectar atividades maliciosas por muito tempo. Ao direcionar qualquer grupo APT ou o comportamento TTP de um malware diretamente, escrevo minhas regras de acordo com esses TTPs. Assim, mesmo que os atacantes mudem o comportamento (nomes de arquivos, hashes de arquivos e nomes de domínio), garanto que as regras que escrevi estão constantemente capturando os ataques.

Atualmente, as organizações enfrentam o desafio de resistir aos ataques da guerra cibernética global. Quais medidas você acha que poderiam ser mais eficientes para proteger infraestruturas?

As organizações podem proteger sua infraestrutura usando algoritmos de detecção dentro da Plataforma SOC Prime, especialmente as regras Sigma desenvolvidas e compartilhadas por membros do Threat Bounty. Essas regras atuam como um mecanismo de detecção válido para vulnerabilidades recém-lançadas, atividades de grupos APT e malware. É por isso que Sigma emerge como um recurso valioso, fornecendo poderosas capacidades de detecção contra ameaças de malware modernas, os CVEs mais recentes e atividades direcionadas de APT.

Quais tipos de ameaças são os mais complicados de detectar? Talvez você possa dar um exemplo da vida real?

Ataques cibernéticos avançados ou ataques direcionados são geralmente considerados os tipos de ameaças mais complexos de detectar. São ataques que requerem técnicas sofisticadas, medidas de privacidade e habilidades avançadas. Tais ataques geralmente são realizados por coletivos patrocinados por estados, ameaças persistentes avançadas (APTs) ou atacantes experientes.

Por exemplo, o ciberataque conhecido como “Stuxnet” foi um vírus worm avançado e muito complexo de entregar e espalhar. Este ataque foi realizado contra o programa nuclear iraniano em 2010 e infiltrou seus alvos, interrompendo os sistemas de controle dos reatores nucleares. Embora as identidades dos perpetradores sejam desconhecidas, acredita-se que o ataque seja altamente sofisticado e possivelmente uma operação patrocinada por um estado.

Sugiro que as empresas prestem atenção às regras recentemente publicadas na Plataforma SOC Prime, pois os ciberataques estão se tornando cada vez mais sofisticados, com cada vez mais empresas, instituições e indivíduos sendo afetados por esses ataques.

Qual você acha que deveria ser a prioridade #1 para organizações que querem construir uma defesa cibernética robusta?

Como um caçador de ameaças experiente, posso dizer que a prioridade #1 para organizações deveria ser o monitoramento contínuo e a coleta de inteligência de ameaças. Boa inteligência de ameaças é crítica para detectar ataques e fortalecer defesas. Em um ambiente onde as ameaças estão constantemente mudando e evoluindo, é vital estabelecer uma estratégia de defesa baseada em informações de ameaças atualizadas. Em particular, os seguintes tópicos são áreas onde os caçadores de ameaças podem oferecer insights valiosos:

• Novos métodos e técnicas de ataque: Detectar novas técnicas e métodos de ataque que estão constantemente surgindo é crítico para manter as medidas defensivas atualizadas.
• Descoberta de vulnerabilidades: Detectar e relatar vulnerabilidades nos sistemas contribui significativamente para a defesa contra ataques. Em particular, as descobertas feitas com técnicas como testes de penetração e varreduras de vulnerabilidades desempenham um papel importante na defesa cibernética.
• Malware e atividades maliciosas: A detecção, análise e prevenção de malware são vitais para manter a segurança de uma organização. As detecções feitas nesta área contribuem para a inteligência de ameaças compartilhada.

Qual você acha que é o maior benefício do Threat Bounty Program da SOC Prime?

Na minha opinião, os maiores benefícios do Threat Bounty Program da SOC Prime são:

• Engajamento da Comunidade: o Threat Bounty Program promove uma comunidade global de caçadores de ameaças, incentivando especialistas em cibersegurança a se conectar e compartilhar conhecimentos. Isso garante uma detecção e defesa eficazes de ameaças ao aproveitar diferentes experiências e perspectivas.
• Recompensas e Motivação: o programa oferece aos participantes recompensas financeiras por suas contribuições. Isso motiva os caçadores de ameaças e encoraja um maior envolvimento. Além disso, os participantes têm a oportunidade de mostrar seus talentos e serem reconhecidos na indústria.
• Desenvolvimento de Inteligência de Ameaças: o programa permite que os participantes se especializem em inteligência de ameaças. As detecções publicadas contribuem para a inteligência de ameaças compartilhada e podem ser usadas para fornecer uma defesa cibernética mais forte.

Pela minha experiência, acredito que indivíduos que desejam participar do Threat Bounty Program e ganhar dinheiro com suas detecções devem ter as seguintes competências mínimas em cibersegurança:

• Segurança de Rede: é importante ter conhecimento e experiência em questões básicas de segurança de rede. É necessário ter um bom conjunto de habilidades, como análise de tráfego de rede, regras de firewall e detecção de vulnerabilidades de rede.
• Análise de Malware: as capacidades de análise de malware são essenciais para detectar e analisar arquivos maliciosos e entender atividades maliciosas. É crucial ter um bom entendimento e habilidades técnicas.
• Teste de Penetração: as capacidades de teste de penetração são essenciais para detectar vulnerabilidades e exploits em sistemas. A capacidade de ver sistemas pelos olhos de um atacante e detectar vulnerabilidades é vital.

Interessado em se juntar ao Threat Bounty Program? Não hesite em se inscrever para participar e junte-se à iniciativa de crowdsourcing que incentiva você a se desenvolver profissionalmente enquanto monetiza suas detecções.