Entrevista com o Desenvolvedor do Threat Bounty: Nattatorn Chuensangarun
Confira o último noticiário sobre a comunidade da SOC Prime! Hoje queremos apresentar Nattatorn Chuensangarun, um prolÃfico autor de conteúdos de detecção que contribui para o nosso Programa de Recompensas por Ameaças desde agosto de 2021. Nattatorn é um desenvolvedor de conteúdo ativo, concentrando seus esforços em regras Sigma. Você pode se referir à s detecções de alta qualidade e valor de Nattatorn no repositório Threat Detection Marketplace da plataforma SOC Prime:
Conte-nos um pouco sobre sua carreira profissional e sua experiência em cibersegurança.
Olá! Eu sou Nattatorn Chuensangarun da Tailândia. Como estou interessado em cibersegurança, após me formar em Ciência da Computação em 2019, decidi começar meu primeiro emprego em um dos maiores bancos da Tailândia como parte da equipe do Centro de Inteligência e Operações de Segurança. Foi muito novo para mim, pois eu só tinha experiência em análise de dados. No entanto, com o grande apoio dos membros da minha equipe, comecei o treinamento para ser um analista de SOC. Fui designado para supervisionar a seção de Inteligência de Ameaças. Foi desafiador, pois eu tinha que monitorar várias ameaças, acessando os feeds de notÃcias generalizadas relacionadas a vulnerabilidades, vazamento de dados ou tendências de ataques em andamento. Pesquisei e criei regras para detectar várias ameaças na Plataforma de Inteligência de Ameaças até conhecer a SOC Prime.
Quais são seus tópicos de interesse em cibersegurança?
Na verdade, estou aberto a muitos temas em cibersegurança. No entanto, provavelmente estou bastante interessado em escrever playbooks para implementar com Orquestração, Automação e Resposta de Segurança (SOAR). Isso pode ser estendido para Caça de Ameaças, Resposta a Incidentes Automatizada (IR) e pode ajudar a lidar com uma grande quantidade de ataques básicos. Dessa forma, a equipe de monitoramento pode reduzir esforços e passar mais tempo pesquisando defesas e novos ataques. Também estou interessado em segurança na nuvem, grupos de atores de ameaças, novos desafios de ransomware e trazer big data para analisar ataques e comportamentos anormais.
Como você soube do Programa de Recompensas por Ameaças? Por que decidiu participar?
No ano passado, conheci a Plataforma SOC Prime para procurar regras de detecção de ameaças que apliquei ao sistema SIEM para caçar vulnerabilidades. Foi a primeira vez que conheci a SOC Prime. Um dos membros da minha equipe sugeriu que eu deveria tentar participar do Programa de Recompensas por Ameaças como desenvolvedor. Achei a ideia empolgante e decidi participar porque acredito que este programa poderia me ajudar a melhorar minhas habilidades. De fato, com o Programa de Recompensas, posso aprofundar minha experiência em escrever regras para diferentes tipos de ameaças, encontrar novos conhecimentos e compartilhar informações de segurança com outros membros da comunidade de Recompensas por Ameaças da SOC Prime. Minhas regras publicadas também podem ser aplicadas para fortalecer as defesas da minha organização ou compartilhadas com outras empresas para mitigar ameaças cibernéticas também.
Conte-nos sobre sua jornada com o Programa de Recompensas por Ameaças. Quanto tempo você precisa em média para escrever uma regra Sigma publicada na Plataforma SOC Prime?
Já escrevi regras para ferramentas de segurança antes, mas eram bastante restritas e complicadas, pois ferramentas diferentes exigem maneiras diferentes de escrever. Depois que conheci a Plataforma SOC Prime e aprendi a escrever as regras Sigma, um mundo sem fronteiras se abriu para mim. As recompensas do Threat Bounty da SOC Prime também me inspiraram a levar minhas habilidades para escrever regras Sigma ao próximo nÃvel. Gosto de aprender novas técnicas e escrever energeticamente regras para lidar com novas ameaças. also inspired me to drive my skills in writing Sigma rules to the next level. I enjoy learning new techniques and energetically writing rules to address new threats.Â
Na minha opinião, o tempo médio necessário para escrever uma regra Sigma pode depender da compreensão do tipo de regra, do comportamento dos atores de ameaças e das técnicas de ataque. A variedade de IOCs também influencia o tempo de escrita, porque os profissionais de segurança precisam inspecionar os metadados para identificar comportamentos normais ou anormais. Eu geralmente passo cerca de 30 minutos analisando ameaças e escrevendo uma regra Sigma.
Quanto tempo levou para você dominar as habilidades de escrita de regras Sigma? Que formação técnica é necessária para isso?
Passei cerca de uma semana estudando como escrever regras Sigma, principalmente inspecionando exemplos no GitHub e na Threat Detection Marketplace da SOC Prime. Esses recursos me ajudaram a ver a variedade de tipos de regras Sigma. Agora, costumo fazer meus próprios modelos para separar cada serviço das diferentes fontes. Dessa forma, é mais fácil para mim implementar as regras. Além disso, escrever regras de forma eficiente é essencial. No inÃcio, frequentemente escrevia de forma inadequada, então minhas regras resultavam em ameaças não detectadas ou falsos positivos. No entanto, a Plataforma SOC Prime oferece ajuda de especialistas para revisar minhas regras antes da publicação. Posso ajustar minhas regras em caso de erros e aprender a me aprimorar enquanto evito erros.
Como uma abordagem colaborativa de defesa cibernética pode ajudar a mitigar riscos crÃticos em escala global, como o log4j?
Fechar uma lacuna ou mitigar o risco não se trata apenas de tecnologia. Devemos voltar ao básico, incluindo pessoas, processos e tecnologia. Estes são os componentes chave para gerir riscos, por isso devem ser considerados juntos. Só a tecnologia pode, de fato, ter a capacidade de mitigar a maioria das ameaças. No entanto, não podemos alcançar a máxima proteção em termos de tempo e qualidade sem pessoas e processos. Usar a Plataforma SOC Prime é uma das etapas que pode ajudar a reduzir riscos também. Ela oferece amplas oportunidades de networking para que os desenvolvedores possam trocar técnicas de caça ou encontrar rapidamente IOCs, que são vantajosos para diminuir os riscos.
Qual você acha que é o maior benefÃcio do Programa de Recompensas por Ameaças da SOC Prime?
O Programa de Recompensas por Ameaças da SOC Prime me permite adquirir muita experiência escrevendo regras de detecção de ameaças sob a supervisão e aconselhamento da equipe SOC Prime. O programa me ajuda a melhorar minhas habilidades e auxilia organizações em todo o mundo, apoiando uma comunidade de cibersegurança. É uma grande honra quando alguém me envia uma mensagem direta dizendo que minhas regras de detecção podem ajudar sua organização. Esses casos me motivam a iniciar prontamente novas regras para enfrentar novas ameaças e estudar novas técnicas, esperando que meu esforço possa ajudar a comunidade a resistir às ameaças.
O que você recomendaria para iniciantes no Programa de Recompensas por Ameaças?
Para qualquer pessoa que esteja começando ou estudando um Programa de Recompensas por Ameaças, você pode abrir caminho lendo feeds de notÃcias sobre ameaças, monitorando ciberataques ao redor do mundo ou usando logs de ataques confiáveis para escrever uma regra Sigma no inÃcio. Caso contrário, você pode visualizar os exemplos no GitHub e na Threat Detection Marketplace. Desafie-se uma vez e ajude a comunidade de cibersegurança juntos!
