Entrevista com o desenvolvedor de recompensas de ameaças – Mustafa Gurkan Karakaya
Hoje, queremos apresentar à comunidade do SOC Prime um dos membros mais ativos do Threat Bounty Program e o autor de detecções validadas disponíveis na plataforma SOC Prime. Conheça Mustafa Gürkan Karakaya, que vem demonstrando seu conhecimento especializado em segurança cibernética e o potencial para um maior desenvolvimento desde que ingressou no Programa em dezembro de 2022.
Regras por Mustafa Gurkan KARAKAYA
Conte-nos um pouco sobre você e sua experiência em segurança cibernética.
Meu nome é Mustafa Gürkan KARAKAYA. Tenho 25 anos. Moro em Ancara, Turquia. Formei-me no Departamento de Engenharia de Computação da Universidade Ankara Yıldırım Beyazıt em 2020. Iniciei minha jornada na área de segurança cibernética focando em testes de penetração. Mais tarde, expandi meus interesses para incluir várias atividades relacionadas à equipe roxa, particularmente nas áreas de SIEM (Gestão de Informações e Eventos de Segurança), SOAR (Orquestração, Automação e Resposta de Segurança), análise de malware, análise DFIR (Análise Forense Digital e Resposta a Incidentes) e investigações forenses. No meu primeiro emprego, envolvi-me principalmente em atividades de suporte técnico e consultoria para instituições militares, proporcionando assistência e conselhos em vários aspectos técnicos. Na minha segunda empresa, continuei a fornecer suporte técnico e serviços de consultoria, focando especificamente na implementação e manutenção de SIEM. Atualmente, trabalho como Engenheiro de Segurança Cibernética.
Como você ouviu falar do SOC Prime? Por que decidiu ingressar no Threat Bounty Program?
Descobri o SOC Prime no LinkedIn, mas ouvi sobre a oportunidade de escrever regras na plataforma pelo meu líder de equipe na empresa onde atualmente trabalho. Entrei neste programa porque gosto de pesquisar novos métodos de ataque todos os dias.
Com base na sua própria experiência, quais habilidades são necessárias para criar regras com maiores chances de serem publicadas? O que você pode recomendar para quem está começando a escrever regras Sigma com o Threat Bounty?
Na minha opinião, o critério mais importante para a publicação de conteúdo é que a regra seja específica e capaz de fazer determinações precisas, o que reduzirá a taxa de falsos positivos. Meu conselho para autores de conteúdo que estão começando a escrever regras Sigma é analisar as atividades adversárias em um cenário de ataque de acordo com a estrutura ATT&CK da MITRE e tentar entender as intenções dos atacantes. Além disso, examinar regras já existentes e entender quais rastros o ataque deixaria em quais fontes de log será altamente benéfico no desenvolvimento de regras apropriadas.
Com base nas detecções que você pesquisa e cria, quais são as ameaças mais críticas para as organizações modernas? Quais medidas você considera as mais eficientes para proteger as infraestruturas?
Acredito que a ameaça mais importante é o fator humano. Não importa quão avançadas ou sofisticadas as medidas e tecnologias de segurança sejam, ações e comportamentos humanos podem comprometer a segurança. Erros humanos, negligência, falta de conscientização e intenções maliciosas podem representar riscos significativos para a confidencialidade, integridade e disponibilidade de informações sensíveis. É crucial priorizar a educação dos usuários, o treinamento de conscientização e o estabelecimento de uma forte cultura de segurança para mitigar esses riscos relacionados ao comportamento humano. Portanto, acredito que os principais métodos de detecção de ameaças se encontram no endpoint. As organizações devem coletar logs de endpoint para métodos de detecção de ameaças e análise detalhada. Regras são como luzes que iluminam ameaças ocultas. E quanto mais aumentamos a quantidade de luz, mais a visibilidade das ameaças aumentará.
Quais tipos de ameaças são as mais complicadas de detectar? Talvez você possa dar um exemplo da vida real?
Acredito que detectar ataques que ocorrem nos caminhos de aplicativos aparentemente legítimos é o mais desafiador para as organizações. Se eu precisar fornecer um exemplo da minha própria regra, vamos considerar Comportamento Suspeito do Malware QakBot com Linha de Comando Associada ao Distribuir Documento Malicioso do OneNote (via process_creation). Nestaregra, os atacantes espalham o malware Qakbot na máquina da vítima usando um documento do OneNote. Nenhum produto de segurança, incluindo AV e EDR, pode detectar esse ataque porque todos os processos envolvidos são assinados pela Microsoft e parecem ser legítimos. No entanto, quando esses processos legítimos são usados juntos, o comportamento malicioso é acionado. Ele se conecta a um servidor C2, baixa outros payloads maliciosos e espalha o malware Qakbot na máquina da vítima.
Como um especialista em segurança experiente, o que você acha que deveria ser a prioridade número 1 para organizações que desejam construir uma defesa cibernética robusta?
Para as organizações que se esforçam para estabelecer uma defesa robusta, a prioridade mais crucial é aumentar a conscientização entre os funcionários sobre segurança cibernética para que evitem abrir e-mails inseguros. Além disso, minha recomendação para as equipes de segurança cibernética é monitorar atividades anormais de usuários, filtrar atividades de rede incomuns, coletar logs de clientes em toda a organização (o que muitas organizações negligenciam) e definir regras correspondentes em produtos de segurança.
Quais são os principais benefícios de ser membro do Threat Bounty Program do SOC Prime?
Acredito que o benefício mais importante é que me permite ficar informado sobre novas vulnerabilidades e malwares que surgem todos os dias, assim como me manter atualizado sobre as técnicas mais recentes usadas por atacantes. Recomendo que indivíduos curiosos, dedicados e ansiosos para aprender coisas novas participem do Threat Bounty Program.
