Hace unos días, un amigo y yo estábamos teniendo una conversación bastante interesante que despertó mi emoción. Estábamos discutiendo mis posibilidades de convertirme en un miembro del equipo rojo como una progresión natural de mi carrera. La razón por la que me emocioné no es que quiera cambiar mi trabajo o mi posición, ya que soy un campista feliz de ser parte del equipo azul de Cymulate.
Lo que me molestó fue que mi amigo no podía entender la idea de que yo quería seguir trabajando en el equipo azul porque, en lo que a él respecta, la única progresión natural es pasar al equipo rojo.
Los equipos rojos incluyen muchos roles que van desde probadores de penetración hasta atacantes y desarrolladores de exploits. Estos roles atraen la mayor parte del alboroto, y las muchas certificaciones que giran en torno a estos roles (OSCP, OSEP, CEH) los hacen parecer elegantes. Las películas generalmente convierten a los piratas informáticos en héroes, mientras que normalmente ignoran el lado defensor, las complejidades y los desafíos de los roles de los blue teamers son mucho menos conocidos.
Si bien los roles de defensa de los equipos azules pueden no sonar tan sofisticados y generan poca o ninguna expectación, incluyen títulos esenciales y diversos que cubren funciones emocionantes y desafiantes y, finalmente, pagan bien. De hecho, ¡Hollywood debería investigarlo!
Defender es más complejo que atacar, y es más crucial
Considere que usted es un defensor de la seguridad cibernética y que su trabajo asignado es proteger su infraestructura de TI.
- Como defensor, debe aprender todo tipo de técnicas de mitigación de ataques para proteger su infraestructura de TI. Por el contrario, un atacante puede conformarse con ganar competencia en la explotación de una sola vulnerabilidad y seguir explotando esa única vulnerabilidad.
- Como defensor, debe estar alerta las 24 horas del día, los 7 días de la semana, los 365 días del año para proteger su infraestructura. Como atacante, puede elegir una hora/fecha específica para lanzar un ataque o ejecutar aburridos ataques de fuerza bruta en muchos objetivos potenciales.
- Como defensor, debe proteger todos los eslabones débiles de su infraestructura (fotocopiadora, impresora, sistema de asistencia, sistema de vigilancia o terminal utilizado por su recepcionista), mientras que los atacantes pueden seleccionar cualquier sistema conectado a su infraestructura.
- Como defensor, debe cumplir con su regulador local mientras realiza su trabajo diario. Los atacantes tienen la libertad de meterse con las leyes y regulaciones.
- Como defensor, estás preparado por el equipo rojo que te ayuda en tu trabajo creando escenarios de ataque para poner a prueba tus capacidades.
Los equipos azules incluyen disciplinas complejas, desafiantes y de investigación intensiva, y los roles relacionados no están ocupados.
En la conversación mencionada anteriormente, mi amigo asumió que los roles de defensa consisten principalmente en monitorear SIEM (Security Information and Event Management) y otras herramientas de alerta, lo cual es correcto para los roles de analista SOC (Security Operations Center). Aquí hay algunos roles atípicos del Equipo Azul:
- Cazadores de amenazas – Responsable de la búsqueda proactiva de amenazas dentro de la organización.
- Investigadores de malware – Responsable del malware de ingeniería inversa
- Investigadores de inteligencia de amenazas – Responsable de proporcionar inteligencia e información sobre futuros ataques y atribuir ataques a atacantes específicos
- DFIR – Digital Forensics and Incident Responders son responsables de contener e investigar los ataques cuando ocurren.
Estos roles son desafiantes, intensivos en tiempo, complejos y exigentes. Además, implican trabajar junto con el resto del equipo azul para brindar el mejor valor para la organización.
De acuerdo con una encuesta reciente de CSIS de tomadores de decisiones de TI en ocho países: «El 82 por ciento de los empleadores informan una escasez de habilidades de seguridad cibernética, y el 71 por ciento cree que esta brecha de talento causa un daño directo y medible a sus organizaciones». Según CyberSeek, una iniciativa financiada por la Iniciativa Nacional para la Educación en Ciberseguridad (NICE), Estados Unidos enfrentaba un déficit de casi 314 000 profesionales de ciberseguridad a partir de enero de 2019. Para poner esto en contexto, la fuerza laboral total de ciberseguridad empleada en el país es de solo 716 000. Según los datos derivados de las ofertas de trabajo, la cantidad de trabajos de seguridad cibernética sin cubrir ha crecido en más del 50 por ciento desde 2015. Para 2022, se prevé que la escasez mundial de mano de obra en seguridad cibernética alcance más de 1,8 millones de puestos sin cubrir».
Los ejecutivos de nivel C están desconectados de la realidad cuando se trata de equipos azules internos
El gráfico anterior es de una excelente charla llamada «Cómo obtener un ascenso: desarrollo de métricas para mostrar cómo funciona Threat Intel – SANS CTI Summit 2019». Ilustra la desconexión entre los ejecutivos de alto nivel y los empleados «sobre el terreno» y cómo los ejecutivos de alto nivel piensan que sus equipos defensivos son mucho más maduros que la autoevaluación de su equipo.
Resolviendo el problema
Esfuércese por enseñar el nuevo oficio de analista de SOC
Traer investigadores nuevos y experimentados es costoso y complicado. Quizás las organizaciones deberían esforzarse por promover y alentar a los analistas de entrada a aprender y experimentar con nuevas habilidades y tecnologías. Si bien los gerentes de SOC pueden temer que esto pueda interferir con las misiones diarias de los analistas experimentados o provocar que las personas abandonen la empresa, paradójicamente, alentará a los analistas a quedarse y participar más activamente en la maduración de la seguridad de la organización casi sin costo adicional.
Ciclo de empleados a través de posiciones
La gente se cansa de hacer lo mismo todos los días. Tal vez una forma inteligente de mantener a los empleados comprometidos y fortalecer su organización es permitir que las personas pasen por distintos roles, por ejemplo, enseñando a los cazadores de amenazas a realizar el trabajo de inteligencia de amenazas asignándoles tareas fáciles o enviándolos a cursos. Otra idea prometedora es involucrar a analistas SOC de bajo nivel con equipos reales de respuesta a incidentes y así mejorar sus habilidades. Tanto las organizaciones como los empleados se benefician de tales compromisos.
Que nuestros empleados vean los resultados de su exigente trabajo
Ya sean analistas SOC de bajo nivel o altos ejecutivos de nivel C, las personas necesitan motivación. Los empleados deben comprender si están haciendo bien su trabajo y los ejecutivos deben comprender el valor de su trabajo y la calidad de su ejecución.
Considere formas de medir su centro de operaciones de seguridad:
- ¿Qué tan efectivo es el SOC en el procesamiento de alertas importantes?
- ¿Con qué eficacia recopila el SOC datos relevantes, coordina una respuesta y toma medidas?
- ¿Qué tan ocupado está el entorno de seguridad y cuál es la escala de actividades administradas por el SOC?
- ¿Con qué eficacia cubren los analistas el máximo número posible de alertas y amenazas?
- ¿Qué tan adecuada es la capacidad del SOC en cada nivel y qué tan pesada es la carga de trabajo para los diferentes grupos de analistas?
La siguiente tabla contiene más ejemplos y medidas tomadas de Exabeam.
Y, por supuesto, valide el trabajo de su equipo azul con herramientas de validación de seguridad continua como las de La plataforma XSPM de Cymulate donde puede automatizar, personalizar y escalar escenarios de ataque y campañas para una variedad de evaluaciones de seguridad.
En serio, validar el trabajo de su equipo azul aumenta la resiliencia cibernética de su organización y proporciona medidas cuantificadas de la eficacia de su equipo azul a lo largo del tiempo.
Nota: este artículo está escrito y contribuido por Dan Lisichkin, cazador de amenazas e investigador de inteligencia de amenazas en Cymulate.