A Nova Era do Programa de Recompensa de Ameaças
Índice:
Como o Crowdsourcing Molda as Futuras Estratégias de Defesa Cibernética
O crowdsourcing é um dos pilares essenciais para construir uma defesa cibernética avançada capaz de enfrentar os novos desafios do cenário moderno de ameaças. Com mais de 30 mil novas vulnerabilidades sendo descobertas apenas em 2023 e ciberataques ocorrendo a cada minuto, equipes isoladas dificilmente conseguem lidar com a avalanche de ameaças existentes. O compartilhamento de conhecimento é fundamental para superar e vencer os adversários.
Ao agregar dados e informações de várias fontes, as iniciativas de detecção de ameaças por crowdsourcing oferecem uma compreensão mais rica da superfície de ataque e permitem respostas mais rápidas e coordenadas. Essa abordagem colaborativa otimiza recursos, garante o compartilhamento de informações em tempo real e promove a melhoria contínua através de um ciclo iterativo de feedback. Com seu alcance global e capacidade de inovação, o crowdsourcing constrói uma rede de defesa resiliente e escalável, impulsionando práticas eficazes de segurança cibernética orientadas pela comunidade para combater ameaças cibernéticas sofisticadas e em evolução.
Sendo os evangelistas da abordagem coletiva de defesa cibernética, no terceiro workshop comunitário da EU ATT&CK em maio de 2019, a SOC Prime lançou o primeiro programa de recompensas do setor para defensores cibernéticos. Marcando o 5º aniversário do Threat Bounty Program, apresentamos o conjunto de ferramentas aprimorado e capacidades estendidas para contribuições, refletindo os princípios centrais da segurança cibernética moderna e fornecendo aos membros da comunidade crowdsourced as tecnologias mais avançadas da SOC Prime para engenharia de detecção.
De Volta às Raízes
Reconhecer a excelência pessoal e o direito de autoria são fundamentais para a iniciativa da SOC Prime que une especialistas em todo o mundo e os fornece a oportunidade de contribuir para a defesa cibernética global.
A iniciativa Threat Bounty recebeu apoio dos membros da comunidade de cibersegurança que se apressaram a se inscrever e pré-registrar no Programa após o anúncio. Como uma reação rápida à prontidão e demanda da comunidade, lançamos o Portal do Desenvolvedor no início de junho de 2019, que serviu como o principal hub para contribuir com regras de detecção para a SOC Prime por cinco anos.
Desde o primeiro dia, o Threat Bounty Program da SOC Prime foi conhecido como um ambiente confiável e de apoio para aqueles dispostos a desafiar suas habilidades de engenharia de detecção e ganhar algum dinheiro enquanto observam como suas regras de detecção ajudam empresas em todo o mundo a resistir a ameaças cibernéticas emergentes ou conhecidas.
O desenvolvimento e transformação do Programa sempre estiveram alinhados com a evolução da indústria e da tecnologia, nos permitindo manter alto profissionalismo e motivação para aqueles dispostos a expandir suas práticas de engenharia de detecção e fazer parte do Blue Team em crowdsourcing fornecendo detecções para organizações em todo o mundo. Atualmente, estamos levando a experiência do usuário dos membros do Threat Bounty a um nível totalmente novo, equipando-os com as tecnologias e ferramentas mais avançadas da SOC Prime para engenharia de detecção.
Guiando a Comunidade
Com a ideia de compartilhamento de conhecimento sem limites dentro da comunidade, em 2018, a SOC Prime lançou Uncoder.IO, que atuou como um tradutor online rápido, privado e fácil de usar para Regras Sigma, mantendo 100% de privacidade de seus usuários. Vendo o sucesso do Uncoder como ferramenta comunitária, em novembro de 2023, a equipe da SOC Prime tornou o Uncoder.IO uma ferramenta totalmente open-source sob licença Apache 2.0. Como o Uncoder foi desenvolvido com a privacidade em mente, a versão SaaS da ferramenta disponível em https://uncoder.io assegura que não há rastreamento de cookies, registro de dados ou código, ou compartilhamento com terceiros. Para a comunidade, isso significa que qualquer profissional de segurança experiente ou iniciante em defesa cibernética se beneficia de conversão de IOC básica, tradução de conteúdos e criação de regras Sigma & Roota.
Desde o primeiro pré-registro para o Threat Bounty Program em abril de 2019, a SOC Prime recebeu quase 2.000 inscrições para aderir ao Programa e deu boas-vindas a mais de 600 indivíduos que demonstraram sua prontidão para contribuir com a defesa cibernética global através da SOC Prime. Contribuir para a engenharia de detecção em crowdsourcing frequentemente requer que os autores das regras de detecção de ameaças se aventurem além do reino familiar dos interesses e habilidades profissionais estabelecidos no local de trabalho, organização ou até mesmo setor, e expandam suas competências especializadas e análise do cenário global de ameaças cibernéticas.
Embora alinhar o esforço dos engenheiros de detecção de ameaças em crowdsourcing com a real necessidade do mercado seja uma parte essencial, ou mesmo vital, do Threat Bounty Program, é sempre desafiador para os autores de conteúdo manterem suas habilidades alinhadas com as demandas contemporâneas quanto à complexidade das detecções e ao cenário de ameaças em constante mudança.
Os membros do programa que estão com a comunidade desde os primeiros dias se lembram de como era fácil e sem esforço publicar seus conteúdos na Plataforma da SOC Prime. Os autores podiam enviar seus algoritmos de detecção para uma publicação Premium ou Comunitária, e essa abordagem proporcionava aos autores mais flexibilidade, especialmente quando a lógica de detecção não era complexa. No entanto, incentivar e promover contribuições de menor esforço para a comunidade global vai contra os princípios do Programa.
O Threat Bounty Program é um ambiente exigente que promove o desenvolvimento de talentos pessoais na força de trabalho de cibersegurança de qualquer organização e fornecedor de cibersegurança. O programa permite que especialistas em várias tecnologias desenvolvam e utilizem ainda mais suas habilidades aplicadas em um ambiente ético e competitivo com requisitos rigorosos de cumprimento das leis e regulamentos relativos aos direitos de PI e dados pessoais, além de uma compreensão do formato Sigma genérico e profundo conhecimento de formatos específicos de fornecedores.
Além disso, o desenvolvimento e a evolução do Uncoder IO e a introdução da conversão de IOC para consultas de caça personalizadas marcaram outro avanço na transformação do Threat Bounty Program e nos requisitos de aceitação de conteúdo. Em resposta à evolução do Programa, autores de conteúdo que queriam ganhar dinheiro com suas próprias detecções precisaram se adaptar ao ambiente mais exigente e investir tempo no desenvolvimento de regras mais complexas.
Recompensas
A possibilidade de monetizar regras de detecção com o Threat Bounty Program da SOC Prime é, sem dúvida, um ponto importante a considerar para aqueles que procuram oportunidades de obter uma renda adicional a partir de seus conhecimentos profissionais.
O sistema de recompensas baseado em classificação é um meio de fornecer feedback global sobre conteúdo de detecção, que inclui refletir tendências na demanda por cobertura de detecção de tecnologias, fontes de logs específicas, comportamentos e ferramentas de grupos APT específicos.
Essa abordagem para recompensar autores de conteúdo foi mais do que útil para alinhar as recomendações gerais para regras aceitas com a demanda real dos usuários regulares da Plataforma. Por exemplo, ficou claro que uma detecção mínima viável ou um IOC de baixo nível não pode contribuir para uma detecção eficiente de ameaças como parte da oferta da SOC Prime para a comunidade global.
O sistema de recompensas baseado em classificação, juntamente com os padrões estabelecidos para a qualidade das submissões, permite à SOC Prime premiar autores que entregam conteúdo acionável capaz de detectar ferramentas e comportamentos maliciosos em ambientes do mundo real de empresas e governos.
Informação é a Chave
O compartilhamento contínuo de feedback é essencial para manter altos padrões de desenvolvimento de conteúdo em crowdsourcing, garantindo o envolvimento contínuo da comunidade cibernética no desenvolvimento de detecções acionáveis, melhorando a qualidade do conteúdo e aumentando a credibilidade entre os usuários finais. Enquanto fornecemos aos autores feedback sobre suas regras submetidas via e-mail, os engenheiros da SOC Prime que verificam as detecções sugeridas para publicação não estendem seu feedback para consultas ou orientações profissionais pessoais. Em vez disso, incentivamos os membros do Threat Bounty Program a participar de discussões impulsionadas pela comunidade, que acreditamos serem mais valiosas para a comunidade Threat Bounty do que consultas individuais, pois aumentam a transparência, promovem o intercâmbio de informações e incentivam o desenvolvimento de habilidades entre os autores do Threat Bounty.
Para equipar os membros do Threat Bounty Program com uma comunidade de aprendizado aberto e troca de conhecimento, introduzimos um canal no Discord que serve como um hub onde praticantes experientes compartilham generosamente seus conhecimentos e insights com novos participantes entusiasmados para fomentar a colaboração impulsionada por pares, envolver-se em discussões animadas, acompanhar as últimas tendências em cibersegurança e aprimorar suas habilidades técnicas.
O que Há de Novo?
A detecção de ameaças por crowdsourcing sempre vem com uma linguagem unificada, para que qualquer profissional de segurança possa se beneficiar da defesa cibernética coletiva. O Threat Bounty Program começou com regras Sigma em seu núcleo, tornando as contribuições comunitárias portáteis para muitos idiomas SIEM e EDR. No entanto, para permitir que a indústria supere as limitações das regras Sigma na descrição e portabilidade de detecções complexas baseadas em comportamentos, a equipe da SOC Prime introduziu Roota em 2023.
Com Roota atuando como um invólucro, defensores cibernéticos podem pegar uma regra ou consulta nativa e aumentá-la com metadados, com a ajuda do Uncoder AI, traduzir o código em outros idiomas SIEM, EDR e Data Lake. Inspirado pelo sucesso das regras Yara e Sigma, Roota está focado em uma aplicabilidade mais ampla por uma comunidade maior de defensores. Isso significa que você pode escrever em Roota com qualquer linguagem que já conhece e o Uncoder ajudará a traduzir para outros idiomas comuns, eliminando a necessidade de aprender qualquer nova linguagem de consulta específica ou genérica. O objetivo é equipar qualquer pessoa com experiência em escrita de regras com melhores ferramentas no trabalho. Desta forma, não apenas Caçadores de Ameaças experientes, especialistas em DFIR e regras Sigma, mas também Analistas de SOC ansiosos para contribuir para o bem coletivo através do Threat Bounty Program agora usam o conjunto de engenharia de detecção avançada da SOC Prime com o Uncoder em seu núcleo. A SOC Prime agora está fornecendo aos nossos membros do Threat Bounty uma IA privada que não vaza seu código, apoia a adesão à Licença de Regras de Detecção e garante que os direitos autorais para PI não sejam perdidos na tradução, tudo isso com um ambiente privado de desenvolvedor que não é rastreado por IA generativa, um repositório pessoal para armazenar suas detecções em um ambiente de nuvem SOC 2 Tipo II, e múltiplas funcionalidades semelhantes a IDE, incluindo preenchimento automático de código, etiquetagem MITRE ATT&CK, QA, correções e um fluxo de trabalho embutido para revisão de código e uso.
A nova era do programa de engenharia de detecção em crowdsourcing da SOC Prime unifica todas as nossas iniciativas comunitárias, criando um fluxo de trabalho fácil de usar, tudo-em-um, projetado para liberar talentos pessoais, aprimorar habilidades de engenharia de detecção e caça a ameaças, e expandir a expertise em tecnologia. O Threat Bounty Program proporciona um ambiente seguro, ético e competitivo para que os participantes contribuam para a defesa cibernética enquanto ganham reconhecimento e benefícios tangíveis por seus esforços.
