Entrevista com o Desenvolvedor de Recompensas de Ameaças: Onur Atali
Conheça a mais recente edição do SOC Prime Developers comunidade! Hoje queremos apresentar Onur Atali, um desenvolvedor hábil que contribui para o nosso Threat Bounty Program desde junho de 2021. Onur é um criador de conteúdo ativo, concentrando seus esforços nas regras Sigma. Você pode consultar as detecções de Onur de mais alta qualidade e valor no Threat Detection Marketplace.
Conte-nos um pouco sobre você e sua experiência em cibersegurança
Tenho 26 anos e estou na indústria de cibersegurança há cerca de 4 anos. Trabalhei nas equipes Red e Blue. Particularmente, fui jogado no setor de cibersegurança quando estava fazendo um programa de aplicação web durante meus anos de ensino médio. Ao revisar o código do meu próprio aplicativo web, vi que poderia desencadear uma vulnerabilidade, então comecei a pesquisar codificação de segurança e me interessei por segurança de aplicativos web. Foi assim que entrei no campo da cibersegurança.
Eu estava curioso sobre redes e segurança durante meus anos de ensino médio, e de fato, aprendi o básico lá. Além disso, naquela época, a minha universidade introduziu uma seção de Tecnologia de Segurança da Informação, que incluía segurança básica de redes, programação de redes, segurança de aplicativos web, que são tópicos chave que aprendi sobre cibersegurança na faculdade. Simultaneamente, descobri o conceito de CTF e me testei através de várias competições de CTF para ganhar prêmios e receber graus. As competições me motivaram bastante e aumentaram ainda mais a minha curiosidade por cibersegurança, então comecei a trabalhar como pentester após a graduação.
Como você decidiu se engajar em atividades de caça de ameaças? Quais são os seus tópicos de interesse em cibersegurança?
Quando trabalhei como pentester, tive que fazer uma pesquisa extensa sobre os alvos e procurar por falhas. Quanto melhor conhecermos o serviço, mais informações teremos para capturar a falha e prevenir consequências negativas. Trabalhei como pentester por cerca de 2 anos e vi muitos códigos de exploração, métodos de exploração, técnicas de movimento lateral. Naquela época, decidi mergulhar em práticas de detecção de ameaças e análise de ataques, tornando-me membro da equipe Blue. Enquanto pesquisava técnicas de ataque e criava métodos de defesa, passei muito tempo desenvolvendo regras de detecção específicas baseadas nos traços do ataque. De fato, reproduzi os ataques na minha própria máquina virtual para realizar a pesquisa. O número de ciberataques cresceu significativamente em comparação com anos anteriores. Tipos de ataques, tipos de malware, e perfis de atores de ameaças são bastante diferentes e numerosos. Portanto, os estudos de caça de ameaças devem ser feitos com precisão e requerem uma pesquisa minuciosa.
Minhas áreas de interesse em cibersegurança incluem caça de ameaças, escrita de regras de caça e playbooks, desenvolvimento de software de segurança, criação de arquitetura de rede segura e segurança de aplicativos móveis/web. Também preparo software de simulação de phishing e modelos de phishing.
Quais ferramentas são as mais comumente utilizadas por diferentes atores de ameaças e qual seria a sua recomendação para melhorar a defesa contra essas ferramentas? Exemplos seriam ótimos!
Os atacantes concentram seus esforços em aplicativos de sistema legítimos na tentativa de esconder os traços. Os hackers acham que assim conseguirão contornar tanto os analistas de segurança quanto as soluções de detecção de ameaças de segurança. Durante minha pesquisa, vi ferramentas como Impacket, Bloodhound, Rubeus, Mimikatz para movimento lateral. Outras ferramentas que encontrei com muita frequência são softwares de código aberto como Proxychains, Tor, Hdyra, Nmap. Para detectar ferramentas de ameaça especiais usadas por atacantes, é importante logar comandos executando no nível do sistema operacional. Muitos atacantes executam comandos como “whoami, ipconfig, ping 8.8.8.8”, e é necessário tratá-los como suspeitos. Por exemplo, um alarme deve ser gerado se administradores autorizados forem consultados em sistemas que fornecem serviço de Active Directory no SIEM para detecção de movimento lateral. Os atacantes podem querer sequestrar, alterar ou baixar aplicativos maliciosos no sistema que eles tomaram, então é útil verificar o tráfego de internet e os endereços da web dos seus sistemas, especialmente quando uma solicitação ocorre para serviços Tor. O alarme pode indicar uma possível ameaça. Força Bruta os ataques são o tipo mais comum de ataque hoje em dia, então o serviço SIEM deve detectar e bloquear automaticamente endereços IP que escaneiam pelo menos 10 portas diferentes em 5 minutos ou tentem fazer login em serviços críticos como RDP, SSH, FTP com pelo menos 10 nomes de usuários diferentes. Eu acho que o SOC Prime é a plataforma mais rica do mundo em termos de regras de detecção de ameaças.
Quanto tempo levou para você dominar a escrita de regras Sigma? Qual background técnico é necessário para isso?
Acho que é necessário conhecer bem os serviços de registro, especialmente no nível do sistema operacional, para escrever regras Sigma. Para escrever uma regra, você precisa monitorar bem os movimentos dos atacantes e minimizar a detecção de falsos positivos. Caso contrário, muitos alarmes podem ocorrer e você pode perder a ameaça real. As regras Sigma são muito eficientes em termos de detecção de ameaças e nos ajudam a fazer disparos precisos. Eu melhoro minha habilidade de escrever regras estudando análise de malware, revisão de Resposta a Incidentes e relatórios de ameaças cibernéticas. Ao escrever uma regra, é necessário certificar-se de que a fonte de detecção e o conteúdo da regra escrita atendem ao alarme esperado.
Como você soube sobre o SOC Prime Threat Bounty Program?
Eu estava usando a plataforma SOC Prime para procurar regras de caça de ameaças, mas soube sobre o programa de recompensas através dos meus amigos. Estou muito feliz de estar no programa, porque estou aprendendo muitas coisas aqui e me aprimorando.
Conte-nos sobre sua jornada com o Threat Bounty Program. Quanto tempo você precisa em média para escrever uma regra Sigma que será publicada no Threat Detection Marketplace sem qualquer correção?
Fiquei realmente interessado quando ouvi sobre o programa de recompensas SOC Prime Threat Bounty e imediatamente me inscrevi. A equipe do SOC Prime aprovou minha inscrição muito rapidamente e entrou em contato comigo, o que me deixou muito feliz. Antes de escrever as regras, estudei as regras existentes e aprendi sobre o processo.
Para escrever regras impecavelmente na plataforma, especialmente em análise de malware e Resposta a Incidentes, os desenvolvedores precisam ter pelo menos 1 ano de experiência em cibersegurança. No entanto, a primeira tentativa pode ser feita já em 1-2 semanas após examinar as regras existentes dentro da plataforma e ler as diretrizes.
Qual é o maior valor para você ao participar do Threat Bounty Program?
O melhor valor de participar do Threat Bounty Program é que as regras que escrevo são interessantes e ajudam a comunidade. Porque se as regras que você escreve não são funcionais, obviamente não fazem sentido. Junto com o programa Threat Bounty, tive a oportunidade de me aprimorar no ponto de escrita de uma regra Sigma, e ao escrever uma regra, você também pode aprender sobre configurações de segurança detalhadas no nível do sistema operacional, o que tecnicamente lhe dá uma melhoria. Estou feliz em participar do Threat Bounty Program, tanto me aprimorando quanto contribuindo para a comunidade.
