Entrevista com o Desenvolvedor do Threat Bounty: Wirapong Petshagun
SOC Prime Programa de Recompensas de Ameaças continua unindo desenvolvedores de conteúdo de detecção entusiastas e dedicados que se juntaram à comunidade para contribuir para a defesa cibernética coletiva e monetizar suas detecções exclusivas na Plataforma SOC Prime. Apresentamos Wirapong Petshagun, que se juntou à comunidade de Recompensas de Ameaças em junho de 2022 e tem publicado regularmente regras de alta qualidade para ajudar os usuários da SOC Prime a detectar de forma oportuna ameaças existentes e emergentes. Em setembro de 2022, Wirapong foi um dos 5 desenvolvedores de conteúdo de Recompensas de Ameaças mais bem avaliados.
Detecções por Wirapong Petshagun
- Conte-nos um pouco sobre você, sua formação profissional e sua experiência em cibersegurança.
Saudações, Meu nome é Wirapong Petshagun, e sou da Tailândia. Me formei em um programa de Mestrado em Gerenciamento de Cibersegurança. Estou interessado em cibersegurança desde a universidade. Meu primeiro emprego foi como resposta a incidentes de cibersegurança em uma das maiores empresas de telecomunicações da Tailândia. Foi difÃcil para mim porque eu era novo na área. Fui designado para criar regras de detecção para soluções de segurança como IPS, WAF, EDR e SIEM. Além disso, já lidei com inúmeros incidentes cibernéticos e também projetei e criei playbooks automatizados para implementação com SOAR.
Atualmente, trabalho como Respondedor de Incidentes Cibernéticos para uma empresa de consultoria de segurança. Fui designado para fornecer notÃcias de segurança e métodos de detecção para um cliente. Pesquisei muitos sites até encontrar SOC Prime. Além disso, criei muitos desafios CTF, o que me ajudou a ter um entendimento profundo de como atacar e detectar.
2. Quais são seus tópicos de interesse em cibersegurança e por quê? Como você deseja crescer como profissional de cibersegurança?
Tenho interesse em incidentes cibernéticos porque é emocionante ver novas técnicas sendo usadas por diversos grupos APT. Como Respondedor de Incidentes, não tenho medo de me colocar em tarefas desafiadoras porque acredito que é a maneira mais eficiente de aprimorar minhas habilidades.
3. Como você soube do Programa de Recompensas de Ameaças e por que decidiu se juntar?
Descobri a Plataforma SOC Prime quando procurava uma regra de detecção para usar com o SIEM para detectar novos CVEs e técnicas. Depois disso, encontrei o Programa de Recompensas de Ameaças na SOC Prime e decidi me juntar imediatamente porque esta é a única plataforma que tem um Programa de Recompensas de Ameaças, que permite que Blue Teamers publiquem regras de detecção para ajudar muitas organizações a detectar ataques cibernéticos. Também acredito que o Programa de Recompensas de Ameaças pode me ajudar a aprimorar meu conhecimento e habilidades.
4. Conte-nos sobre sua jornada e experiência com o Programa de Recompensas de Ameaças. O que mais te surpreendeu?
Eu apenas comecei a aprender como escrever regras Sigma e regras Snort no mês anterior a minha entrada no Programa de Recompensas de Ameaças. Fiquei surpreso quando criei e enviei regras de detecção para a SOC Prime. Cada regra é revisada em detalhes e também recebe feedback do revisor. Isso poderia me ajudar a melhorar minhas habilidades na escrita de regras de alta qualidade.
Outra coisa que me surpreendeu foi que desenvolvi uma regra Sigma que incluÃa algumas cargas maliciosas, e foi bloqueada pelo WAF da Plataforma SOC Prime. Fiquei com medo de ser banido na época, mas quando contatei a SOC Prime no Slack, eles me informaram que era um bug e me aconselharam a notificá-lo no canal de lista de bugs.
5. Quanto tempo você precisa, em média, para criar uma regra Sigma que será publicada na Plataforma SOC Prime?
O tempo médio depende da complexidade da regra, do tipo de regra e das técnicas usadas pelos atores da ameaça. Algumas técnicas precisam ser testadas para garantir que funcionem e ajustadas para reduzir falsos positivos, o que também afeta o tempo necessário para escrever. Costumo gastar entre 15 e 30 minutos em cada regra Sigma.
6. Qual você acha que é o maior benefÃcio do Programa de Recompensas de Ameaças da SOC Prime para a cibersegurança e para você pessoalmente?
O Programa de Recompensas de Ameaças da SOC Prime é a única maneira para Blue Teamers como eu ganharem experiência valiosa na escrita de regras de detecção de ameaças sob a supervisão da equipe da SOC Prime. O programa também é uma nova paixão por explorar novas técnicas de ataque que são usadas por atores da ameaça em todo o mundo.
7. O que você recomendaria para iniciantes no Programa de Recompensas de Ameaças com base na sua própria experiência?
Se você é novo no Programa de Recompensas de Ameaças, comece olhando as regras Sigma do SigmaHQ ou as regras de acesso gratuitoda SOC Prime, depois verifique detalhes de ataque a partir do link na referência da regra e tente converter para condições para detectar os ataques por conta própria. Esta é a maneira mais rápida de aprender mais sobre como escrever as regras Sigma .
