História de Sucesso do Threat Bounty: Kyaw Pyiyt Htet

Hoje, queremos contar a você a história de Kyaw Pyiyt Htet, o autor de conteúdo que está no Program de Recompensa de Ameaças há quase quatro anos. Apresentamos Kyaw Pyiyt Htet em nosso blog e mencionamos algumas informações sobre seu histórico pessoal e profissional. 

É emocionante ouvir de Kyaw Pyiyt Htet agora e aprender sobre seu desenvolvimento profissional, progresso na carreira e planos para o futuro. 

Conte-nos sobre você, sua empresa atual e sua posição na empresa. 

Eu sou Kyaw Pyiyt Htet. Meu nome é um pouco difícil de pronunciar. Atualmente trabalho como Analista de Ameaças Sênior na LMNTRIX, um serviço XDR australiano. A empresa fornece serviços de defesa cibernética nas regiões APAC e da América do Norte. Minhas tarefas diárias são focadas principalmente na resposta a ameaças, utilizando EDR/XDR. É o que faço na minha posição atual e como meu trabalho diário.

Antes de ingressar no Program de Recompensa de Ameaças, trabalhei como analista L1. Ajustei as regras de detecção e me baseei em assinaturas e monitoramento reativo. Também aprendi como os engenheiros de detecção de ameaças operam e como identificar incidentes cibernéticos de forma eficaz. 

Há quanto tempo você é membro do Program de Recompensa de Ameaças? Quais você acha que são suas maiores conquistas e marcos como autor de conteúdo de Recompensa de Ameaças? 

Tenho participado do programa Threat Bounty há três anos e oito meses, e ainda continuo contribuindo. Minha maior conquista e marco é que fui listado como o autor Top em 2022 em agosto, outubro e novembro no relatório mensal. Recentemente, fui reconhecido como um dos 20 principais contribuintes da SOC Prime.

Falando sobre contribuições de regras, você pode nos contar quantas regras você submeteu durante sua participação no Programa? 

Atualmente, 189 regras foram publicadas com sucesso no Threat Detection Marketplace. A submissão total pode ter ultrapassado 200 regras, mas infelizmente não consigo lembrar em detalhes. Muitas das minhas submissões foram rejeitadas. Mesmo tendo recebido muitas rejeições, ganhei experiência que uso para criar regras Sigma de alta qualidade. 

Você tem alguma agenda pessoal ou marcos para enviar suas regras? Observando a atividade da comunidade do Threat Bounty, o número de submissões para os autores que publicam ativamente varia significativamente, de 5 a 50+ submissões por semana. Como você faz isso?

Eu não tenho nenhum objetivo fixo. E 50+ submissões mensais – eu não faço isso. Mas posso lhe contar sobre minha abordagem.

Primeiramente, leio relatórios de ameaças de código aberto, como Unit 42, Cybereason, Cisco Talos e similares. Geralmente, leio os relatórios e procuro por alguns artefatos de detecção. Por exemplo, há alguma criação de chave de registro ou operações agendadas pelo ator da ameaça e assim por diante, e então, pego aquele artefato de detecção, crio uma regra Sigma, e contribuo para o Programa de Recompensa de Ameaças. 

Paralelamente, pesquiso a estrutura de C2 personalizada no meu ambiente de laboratório caseiro, e lá posso encontrar outros artefatos de detecção significativos. Até agora, tenho várias regras de detecção na plataforma SOC Prime que são 100% de minha pesquisa interna.

Essas duas abordagens que uso para escrever regras de detecção que contribuo.

Você tem algum tópico ou direção particular em busca de ameaças que você é muito apaixonado e empolgado?

Quando leio um relatório de inteligência de ameaças , primeiro procuro indicadores de ataque em vez de indicadores de compromisso. Se eu precisar criar um conteúdo de detecção robusto, ele deve se basear em indicadores de ataque porque é difícil mudar da perspectiva do atacante. 

Por exemplo, se escrevermos uma regra Sigma baseada em IOC, como um endereço IP ou um nome de domínio, não é realmente confiável como detecção de longo prazo.

É por isso que presto atenção às execuções de linha de comando ou outros artefatos chave de registro que são difíceis de mudar na operação de um atacante. 

Vamos falar sobre a parte menos agradável das submissões de conteúdo, a saber, rejeição de conteúdo. Qual é a sua experiência?

Honestamente, anteriormente, me baseei em IOCs para criar regras Sigma, e essa foi a principal razão pela qual minhas regras foram rejeitadas. Outra razão é que às vezes eu crio regras muito tarde, então o conteúdo de outros colaboradores já passou pela verificação antes de mim.

Cada vez que recebo uma rejeição, a equipe de verificação da SOC Prime especifica um motivo. Eles recomendaram que eu me concentrasse na criação de regras de detecção de alta qualidade e alta precisão. Ganhei essa experiência, mesmo tendo recebido tantas rejeições. 

E como você mudou de escrever regras baseadas em IOC para conteúdo comportamental? 

Mais tarde, comecei a aplicar o modelo Piramyd of Pain porque, usando esse modelo, podemos fazer uma avaliação das capacidades do atacante com base no nível de dificuldade. O que eu quero dizer com isso – quanto maior o nível dos artefatos na Pirâmide da Dor, maior a precisão da regra de detecção. 

Sempre aplico o modelo Pirâmide da Dor quando leio relatórios de ameaças ou faço minha própria pesquisa. Quando encontro bons artefatos, crio uma regra Sigma e a submeto. 

Essa experiência o ajudou a crescer profissionalmente? 

Sim, exatamente. Por exemplo, sou muito atento às recomendações da equipe da SOC Prime quando dizem que minha regra está fraca ou que preciso ajustar alguns parâmetros de detecção. Esse tipo de recomendação me ajuda muito no meu trabalho também. Posso fazer um ajuste fino melhor e reduzir os alertas de falso positivo. Acho que ganhei muito com minha experiência participando do Programa de Recompensa de Ameaças. 

Qual foi sua principal motivação para participar do Recompensa de Ameaças? Foi dinheiro, autoaperfeiçoamento ou talvez um desafio? 

Para criar regras para o Programa de Recompensa de Ameaças, preciso ler notícias sobre ameaças emergentes. Isso me ajuda muito no meu trabalho diário porque minhas responsabilidades de trabalho incluem operações de inteligência de ameaças cibernéticas. Isso significa que preciso estar conectado com informações sobre ameaças emergentes e criar regras de detecção quase todos os dias. Na realidade, participar do Programa de Recompensa de Ameaças e fazer meu trabalho diário estão intimamente conectados, e não há uma grande diferença. É por isso que incentivo todos a participar do Programa de Recompensa de Ameaças, que nos ajudará a aprimorar nossas habilidades e será benéfico para as empresas em que trabalhamos. 

Qual é sua motivação pessoal para continuar contribuindo com regras para o Recompensa de Ameaças? 

Primeiro de tudo, quero contribuir para a comunidade internacional porque quero ser famoso. Esta é minha motivação pessoal e meu ego. Certamente, quero ter uma renda adicional e ser capaz de comprar o que quiser. Uma motivação importante para mim é que posso mostrar minha carreira e habilidades participando do Programa de Recompensa de Ameaças. Posso adicionar isso ao meu currículo ao me candidatar a um emprego no mercado internacional de segurança cibernética. 

Vamos falar sobre sua comunidade. Você compartilha sua experiência e recomenda que seus amigos e colegas se juntem ao Programa de Recompensa de Ameaças? 

Sim, com certeza, alguns dos meus amigos já estão contribuindo ativamente para o Programa de Recompensa de Ameaças. Para aqueles que ainda não são membros, sempre os incentivo a participar. Mesmo que você receba muitas rejeições no início, paralelamente, como já mencionei, é uma ótima oportunidade para aprender a criar regras de detecção maduras. Não desista!

Outro benefício é que estamos criando regras Sigma, então sabemos qual é a atividade anormal e podemos ajustar melhor as regras existentes. Este é o tipo de aprimoramento de habilidades que você pode ganhar participando do Programa de Recompensa de Ameaças. 

Como você planeja se desenvolver profissionalmente no futuro? Você confia na SOC Prime para isso?

Com a assistência da SOC Prime — e é realmente uma das principais partes do meu desenvolvimento de carreira — quero me tornar um especialista em inteligência de ameaças cibernéticas em cinco anos. Com a assistência da SOC Prime, ganhei a possibilidade de me engajar com a comunidade internacional no servidor Discord e receber feedback da equipe de verificação, que é também uma parte importante do autoaperfeiçoamento.

Além disso, com Uncoder AI, posso facilmente converter regras Sigma para o idioma EDR que usamos em nossa empresa, o que também é útil.

Sua experiência é muito interessante e inspiradora. Acredito que mais entusiastas que estão começando suas carreiras devem seguir seu exemplo e seu conselho e participar do Programa de Recompensa de Ameaças.