Entrevista com o Desenvolvedor do Threat Bounty: Michel de Crevoisier
Confira o último telejornal sobre a comunidade de Desenvolvedores da SOC Prime! Hoje queremos apresentar Michel de Crevoisier, um desenvolvedor prolÃfico que contribui para o nosso Programa Threat Bounty desde novembro de 2020. Michel é um criador de conteúdo ativo, concentrando seus esforços em regras Sigma. Você pode consultar as detecções de Michel de maior qualidade e valor no Threat Detection Marketplace.
1. Conte-nos um pouco sobre você e sua experiência em cibersegurança
Iniciei minha carreira em segurança como analista de SOC em 2017, após diferentes experiências em administração de sistemas, redes e virtualização. Para mim, sempre esteve claro que minha carreira deveria ser construÃda em torno da segurança. De fato, estive envolvido em muitos projetos em que a segurança não era prioridade, expondo as organizações a riscos desnecessários. Assumi isso como um desafio pessoal, começando um blog e participando de diferentes eventos de segurança, inclusive como palestrante. Recentemente, participei de um curso de segurança da SANS sobre detecção de ameaças, a fim de obter uma certificação GIAC para expandir, entre outras coisas, meu conhecimento e habilidades.
2. Por que você decidiu focar nas regras Sigma como uma das principais ferramentas para caçar ameaças?
Do ponto de vista da caça à s ameaças, SIGMA oferece capacidades avançadas para compartilhar lógica de IOC simples ou complexa em um formato comum que é compreensÃvel e utilizável por qualquer analista, independente da tecnologia SIEM em uso. Com o lançamento deste formato aberto e o aumento da ‘Githubificação da InfoSec’ (fonte), SIGMA definitivamente foi a ferramenta que eu precisava.
3. Quanto tempo levou para você dominar a escrita de regras Sigma? Qual é o conhecimento técnico necessário para dominá-la? E quanto tempo, em média, você leva para escrever uma nova regra IOC Sigma e de caçada de ameaças?
Dominar as regras SIGMA levou-me apenas poucas semanas e escrever uma regra geralmente me leva cerca de uma hora, pois sempre tento avaliar a ameaça no meu laboratório para garantir a qualidade da regra. Também tento anexar um exemplo de log real para que o analista possa apreciar facilmente o contexto.
No entanto, entender os fundamentos da linguagem, do meu ponto de vista, não é suficiente. Na verdade, escrever boas regras também requer uma compreensão adequada da ameaça, seus comportamentos e os diferentes IOCs que ela pode acionar. Conhecimento sobre frameworks de segurança como Metasploit ou Cobalt Strike também é bastante útil, assim como habilidades ofensivas.
4. Quais são seus tópicos de interesse em cibersegurança? Quais tipos de ameaças são as mais difÃceis de detectar e combater?
Ataques à cadeia de suprimentos como CCleaner, SolarWinds, or Codecov são um dos mais difÃceis de detectar: a ameaça está embutida em software legÃtimo conhecido como confiável e usado por várias empresas. A intrusão leva meses e é muito discreta. Além disso, intrusões em nuvem combinadas com um movimento lateral para o ambiente local (ou vice-versa) também são bastante difÃceis de combater, pois a maturidade da cobertura de detecção nem sempre é a mesma nos dois lados ou é gerida por diferentes partes com diferentes mentalidades. Claro, os vetores de intrusão comuns continuam válidos e não devemos nos esquecer de phishing, exploits de servidor web e PowerShell, DCOM or Abusos de Instrumentação de Gerenciamento do Windows (WMI).
5. Atualmente existem muitos grupos de atores de ameaça e seu número está crescendo, quais atores de ameaça, em sua opinião, representam a maior ameaça? Como você mediria se um grupo de atores de ameaça é mais ou menos perigoso?
Atores como o envolvido no ataque à cadeia de suprimentos da SolarWinds demonstraram o quão poderosos eles podem ser. Analisar suas capacidades de preparação e infiltração em fornecedores terceirizados antes de atacar seu alvo final é realmente assustador. Eles são multifacetados, mirando em infraestruturas na nuvem e locais, capazes de comprometer infraestrutura de compilação e assinatura de código… E tudo isso enquanto permanecem quase invisÃveis sob a cobertura do radar.
6. Como você soube do Programa Threat Bounty da SOC Prime? Por que decidiu participar? Qual é o maior valor para você da participação no Programa Threat Bounty?
Participar do programa Threat Bounty foi, acima de tudo, uma oportunidade para expandir meu conhecimento, me forçando a sair da zona de conforto para explorar novas ameaças e TTPs. Com o tempo, percebi que estava contribuindo de maneira mais ampla para fortalecer as organizações SOC e participando de uma comunidade de desenvolvedores talentosos.
Deseja monetizar suas habilidades de caça às ameaças e aumentar sua experiência em defesa cibernética? A SOC Prime está procurando por especialistas em Equipe Azul que estejam atentos às últimas tendências em cibersegurança! Nosso programa Threat Bounty oferece recompensas recorrentes para conteúdos SOC voltados para a detecção de ameaças, caça e resposta a incidentes – como SIGMA, Yara, Snort, Analisadores de Log e Conteúdo Nativo SIEM. Envie detecções para atender a pedidos da Lista de Procura e dobre seus lucros enquanto ajuda a comunidade Threat Detection Marketplace a resistir a novas ameaças cibernéticas.
Procurando uma maneira de enriquecer seu conhecimento em cibersegurança? Explore a Biblioteca Cibernética da SOC Prime para dominar suas habilidades rÃgidas de SIEM, assistir a vÃdeos educacionais aprofundados e ficar atualizado com guias práticos sobre caça à s ameaças.
Explore a Biblioteca Cibernética Participe do Threat Bounty
