Hace unos d\u00edas, un amigo y yo est\u00e1bamos teniendo una conversaci\u00f3n bastante interesante que despert\u00f3 mi emoci\u00f3n. Est\u00e1bamos discutiendo mis posibilidades de convertirme en un miembro del equipo rojo como una progresi\u00f3n natural de mi carrera. La raz\u00f3n por la que me emocion\u00e9 no es que quiera cambiar mi trabajo o mi posici\u00f3n, ya que soy un campista feliz de ser parte del equipo azul de Cymulate.<\/p>\n
Lo que me molest\u00f3 fue que mi amigo no pod\u00eda entender la idea de que yo quer\u00eda seguir trabajando en el equipo azul porque, en lo que a \u00e9l respecta, la \u00fanica progresi\u00f3n natural es pasar al equipo rojo. <\/p>\n
Los equipos rojos incluyen muchos roles que van desde probadores de penetraci\u00f3n hasta atacantes y desarrolladores de exploits. Estos roles atraen la mayor parte del alboroto, y las muchas certificaciones que giran en torno a estos roles (OSCP, OSEP, CEH) los hacen parecer elegantes. Las pel\u00edculas generalmente convierten a los piratas inform\u00e1ticos en h\u00e9roes, mientras que normalmente ignoran el lado defensor, las complejidades y los desaf\u00edos de los roles de los blue teamers son mucho menos conocidos.<\/p>\n
Si bien los roles de defensa de los equipos azules pueden no sonar tan sofisticados y generan poca o ninguna expectaci\u00f3n, incluyen t\u00edtulos esenciales y diversos que cubren funciones emocionantes y desafiantes y, finalmente, pagan bien. De hecho, \u00a1Hollywood deber\u00eda investigarlo!<\/p>\n
Defender es m\u00e1s complejo que atacar, y es m\u00e1s crucial<\/h2>\n
Considere que usted es un defensor de la seguridad cibern\u00e9tica y que su trabajo asignado es proteger su infraestructura de TI.<\/p>\n
- \n
- Como defensor, debe aprender todo tipo de t\u00e9cnicas de mitigaci\u00f3n de ataques para proteger su infraestructura de TI. Por el contrario, un atacante puede conformarse con ganar competencia en la explotaci\u00f3n de una sola vulnerabilidad y seguir explotando esa \u00fanica vulnerabilidad.<\/li>\n
- Como defensor, debe estar alerta las 24 horas del d\u00eda, los 7 d\u00edas de la semana, los 365 d\u00edas del a\u00f1o para proteger su infraestructura. Como atacante, puede elegir una hora\/fecha espec\u00edfica para lanzar un ataque o ejecutar aburridos ataques de fuerza bruta en muchos objetivos potenciales.<\/li>\n
- Como defensor, debe proteger todos los eslabones d\u00e9biles de su infraestructura (fotocopiadora, impresora, sistema de asistencia, sistema de vigilancia o terminal utilizado por su recepcionista), mientras que los atacantes pueden seleccionar cualquier sistema conectado a su infraestructura.<\/li>\n
- Como defensor, debe cumplir con su regulador local mientras realiza su trabajo diario. Los atacantes tienen la libertad de meterse con las leyes y regulaciones.<\/li>\n
- Como defensor, est\u00e1s preparado por el equipo rojo que te ayuda en tu trabajo creando escenarios de ataque para poner a prueba tus capacidades. <\/li>\n<\/ul>\n
Los equipos azules incluyen disciplinas complejas, desafiantes y de investigaci\u00f3n intensiva, y los roles relacionados no est\u00e1n ocupados.<\/h2>\n
En la conversaci\u00f3n mencionada anteriormente, mi amigo asumi\u00f3 que los roles de defensa consisten principalmente en monitorear SIEM (Security Information and Event Management) y otras herramientas de alerta, lo cual es correcto para los roles de analista SOC (Security Operations Center). Aqu\u00ed hay algunos roles at\u00edpicos del Equipo Azul:<\/p>\n
- \n
- Cazadores de amenazas<\/strong> \u2013 Responsable de la b\u00fasqueda proactiva de amenazas dentro de la organizaci\u00f3n.<\/li>\n
- Investigadores de malware<\/strong> \u2013 Responsable del malware de ingenier\u00eda inversa<\/li>\n
- Investigadores de inteligencia de amenazas<\/strong> \u2013 Responsable de proporcionar inteligencia e informaci\u00f3n sobre futuros ataques y atribuir ataques a atacantes espec\u00edficos<\/li>\n
- DFIR<\/strong> \u2013 Digital Forensics and Incident Responders son responsables de contener e investigar los ataques cuando ocurren.<\/li>\n<\/ul>\n
Estos roles son desafiantes, intensivos en tiempo, complejos y exigentes. Adem\u00e1s, implican trabajar junto con el resto del equipo azul para brindar el mejor valor para la organizaci\u00f3n. <\/p>\n
De acuerdo con una encuesta reciente de CSIS de tomadores de decisiones de TI en ocho pa\u00edses: “El 82 por ciento de los empleadores informan una escasez de habilidades de seguridad cibern\u00e9tica, y el 71 por ciento cree que esta brecha de talento causa un da\u00f1o directo y medible a sus organizaciones”. Seg\u00fan CyberSeek, una iniciativa financiada por la Iniciativa Nacional para la Educaci\u00f3n en Ciberseguridad (NICE), Estados Unidos enfrentaba un d\u00e9ficit de casi 314\u00a0000 profesionales de ciberseguridad a partir de enero de 2019. Para poner esto en contexto, la fuerza laboral total de ciberseguridad empleada en el pa\u00eds es de solo 716\u00a0000. Seg\u00fan los datos derivados de las ofertas de trabajo, la cantidad de trabajos de seguridad cibern\u00e9tica sin cubrir ha crecido en m\u00e1s del 50 por ciento desde 2015. Para 2022, se prev\u00e9 que la escasez mundial de mano de obra en seguridad cibern\u00e9tica alcance m\u00e1s de 1,8 millones de puestos sin cubrir”.<\/p>\n
Los ejecutivos de nivel C est\u00e1n desconectados de la realidad cuando se trata de equipos azules internos <\/h2>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1659982844_623_Los-beneficios-de-construir-un-equipo-azul-maduro-y-diverso.jpg\")
<\/div>\nEl gr\u00e1fico anterior es de una excelente charla llamada “C\u00f3mo obtener un ascenso: desarrollo de m\u00e9tricas para mostrar c\u00f3mo funciona Threat Intel – SANS CTI Summit 2019”. Ilustra la desconexi\u00f3n entre los ejecutivos de alto nivel y los empleados “sobre el terreno” y c\u00f3mo los ejecutivos de alto nivel piensan que sus equipos defensivos son mucho m\u00e1s maduros que la autoevaluaci\u00f3n de su equipo.<\/p>\n
Resolviendo el problema<\/h2>\n
Esfu\u00e9rcese por ense\u00f1ar el nuevo oficio de analista de SOC<\/h4>\n
Traer investigadores nuevos y experimentados es costoso y complicado. Quiz\u00e1s las organizaciones deber\u00edan esforzarse por promover y alentar a los analistas de entrada a aprender y experimentar con nuevas habilidades y tecnolog\u00edas. Si bien los gerentes de SOC pueden temer que esto pueda interferir con las misiones diarias de los analistas experimentados o provocar que las personas abandonen la empresa, parad\u00f3jicamente, alentar\u00e1 a los analistas a quedarse y participar m\u00e1s activamente en la maduraci\u00f3n de la seguridad de la organizaci\u00f3n casi sin costo adicional. <\/p>\n
Ciclo de empleados a trav\u00e9s de posiciones<\/h4>\n
La gente se cansa de hacer lo mismo todos los d\u00edas. Tal vez una forma inteligente de mantener a los empleados comprometidos y fortalecer su organizaci\u00f3n es permitir que las personas pasen por distintos roles, por ejemplo, ense\u00f1ando a los cazadores de amenazas a realizar el trabajo de inteligencia de amenazas asign\u00e1ndoles tareas f\u00e1ciles o envi\u00e1ndolos a cursos. Otra idea prometedora es involucrar a analistas SOC de bajo nivel con equipos reales de respuesta a incidentes y as\u00ed mejorar sus habilidades. Tanto las organizaciones como los empleados se benefician de tales compromisos.<\/p>\n
Que nuestros empleados vean los resultados de su exigente trabajo<\/p>\n
Ya sean analistas SOC de bajo nivel o altos ejecutivos de nivel C, las personas necesitan motivaci\u00f3n. Los empleados deben comprender si est\u00e1n haciendo bien su trabajo y los ejecutivos deben comprender el valor de su trabajo y la calidad de su ejecuci\u00f3n. <\/p>\n
Considere formas de medir su centro de operaciones de seguridad:<\/p>\n
- \n
- \u00bfQu\u00e9 tan efectivo es el SOC en el procesamiento de alertas importantes?<\/li>\n
- \u00bfCon qu\u00e9 eficacia recopila el SOC datos relevantes, coordina una respuesta y toma medidas?<\/li>\n
- \u00bfQu\u00e9 tan ocupado est\u00e1 el entorno de seguridad y cu\u00e1l es la escala de actividades administradas por el SOC?<\/li>\n
- \u00bfCon qu\u00e9 eficacia cubren los analistas el m\u00e1ximo n\u00famero posible de alertas y amenazas?<\/li>\n
- \u00bfQu\u00e9 tan adecuada es la capacidad del SOC en cada nivel y qu\u00e9 tan pesada es la carga de trabajo para los diferentes grupos de analistas?<\/li>\n<\/ul>\n
La siguiente tabla contiene m\u00e1s ejemplos y medidas tomadas de Exabeam.<\/p>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1659982844_338_Los-beneficios-de-construir-un-equipo-azul-maduro-y-diverso.jpg\")
<\/div>\nY, por supuesto, valide el trabajo de su equipo azul con herramientas de validaci\u00f3n de seguridad continua como las de La plataforma XSPM de Cymulate donde puede automatizar, personalizar y escalar escenarios de ataque y campa\u00f1as para una variedad de evaluaciones de seguridad. <\/a><\/p>\n
En serio, validar el trabajo de su equipo azul aumenta la resiliencia cibern\u00e9tica de su organizaci\u00f3n y proporciona medidas cuantificadas de la eficacia de su equipo azul a lo largo del tiempo.<\/p>\n
Nota: este art\u00edculo est\u00e1 escrito y contribuido por Dan Lisichkin, cazador de amenazas e investigador de inteligencia de amenazas en Cymulate<\/a>.<\/i><\/p>\n
<\/p>\n<\/div>\n
- Investigadores de malware<\/strong> \u2013 Responsable del malware de ingenier\u00eda inversa<\/li>\n
- Cazadores de amenazas<\/strong> \u2013 Responsable de la b\u00fasqueda proactiva de amenazas dentro de la organizaci\u00f3n.<\/li>\n