Entrevista com a Desenvolvedora de Recompensa de Ameaças: Shelly Raban
Conheça uma transmissão de notícias nova e de destaque que destaca o poder da nossa comunidade! Hoje queremos apresentar-lhe Shelly Raban, uma desenvolvedora entusiasta que contribui para o Programa Threat Bounty da SOC Prime desde novembro de 2020. Shelly rapidamente se tornou uma prolífica criadora de conteúdo SOC, concentrando seus esforços em regras YARA. Você pode conferir as detecções de Shelly de mais alta qualidade e valor no Threat Detection Marketplace:
Você poderia nos contar um pouco sobre você e como decidiu se envolver em atividades de caça a ameaças?
Meu trabalho consiste em caçar ameaças e melhorar os mecanismos de caça e detecção da nossa equipe. No momento, não tenho formação acadêmica, no entanto, planejo estudar ciência de dados nos próximos anos. Me formei em ciência da computação no ensino médio e fui atraída pelos desafios da cibersegurança. Sou apaixonada por encontrar e criar novas detecções e automatizar os processos de detecção e análise para torná-los o mais eficientes possível.
Quais são os seus principais pontos de interesse entre os tipos de ameaças? Quais tipos de ameaças são os mais complicados de detectar?
Acho o malware APT muito interessante e desafiador de detectar, especialmente quando novas variantes diferem significativamente das anteriores. As ameaças mais complicadas de detectar são aquelas que combinam diferentes técnicas de evasão, como ofuscação de strings, anti-desmontagem, ocultação de código malicioso furtivo dentro de um longo código legítimo, etc. Gostei de analisar binários do ator de ameaça APT1 (Comment Crew), aprendendo como evoluíram ao longo do tempo e criando regras YARA baseadas em código para detectar várias amostras.
Por que você escolhe regras YARA entre outros tipos de conteúdo para contribuir com o Threat Bounty?
Como analista de malware, enfrento vários desafios ao detectar binários maliciosos sofisticados. As regras YARA são muito poderosas na detecção de tais ameaças, bem como na caça por novas e desconhecidas. Elas podem ser facilmente integradas em frameworks de análise automatizada, o que pode melhorar enormemente a taxa de detecção da organização e desempenhar um papel importante tanto na detecção precoce quanto em processos de análise mais profundos.
O que te motiva a compartilhar seu conteúdo com a comunidade?
Acho que a SOC Prime é uma ótima plataforma para compartilhar conteúdo de detecção e ajudar organizações em todo o mundo a mitigar ameaças cibernéticas. Também é uma oportunidade para obter feedback sobre minhas regras de especialistas na área e aprimorar minhas habilidades.
A pandemia é outro desafio para um profissional de cibersegurança, já que muitos atores de ameaças aumentaram suas atividades. Conte-nos como isso influenciou seu trabalho diário.
A pandemia não influenciou meu trabalho diário. Sempre busco encontrar novas maneiras de detectar ameaças e automatizar o processo tanto quanto possível.
Como você soube do Programa Threat Bounty da SOC Prime? Por que decidiu participar?
Descobri através do LinkedIn e decidi participar para expandir meu conhecimento e melhorar na escrita de diferentes tipos de detecções enquanto ajudo empresas a proteger suas redes.
O que você acha que é o maior benefício do Programa Threat Bounty da SOC Prime?
Acho incrível que empresas de todo o mundo possam solicitar regras para técnicas específicas que desejam detectar. Desenvolvedores podem escolher as regras que querem criar, criá-las no conforto de suas casas, receber feedback sobre seu trabalho e também serem recompensados. É um ganha-ganha!
Mantendo um olhar atento nas últimas tendências de cibersegurança e deseja participar de atividades de caça a ameaças? Aproveite a oportunidade para impulsionar suas habilidades em cibersegurança, contribuir para a segurança mundial e receber pagamentos recorrentes. O SOC Prime Threat Bounty paga recompensas por conteúdo SOC voltado para detecção de ameaças, caça a ameaças, e resposta a incidentes – como SIGMA, Yara, Snort, Parsers de Log, e Conteúdo Nativo de SIEM. Envie detecções para atender pedidos da Lista de Demandas e dobre seus lucros enquanto ajuda a comunidade do Threat Detection Marketplace a resistir a novas ameaças cibernéticas.
Além disso, você pode explorar a Biblioteca Cibernética para aprimorar suas habilidades práticas em SIEM, assistir a vídeos educacionais detalhados e acompanhar guias práticos sobre caça a ameaças.
