Guia de Cibersecurity

Introduction to Cybersecurity Tools & Cyber Attacks

Hola a todos este es Jeff Crume, Soy un arquitecto de seguridad y distinguido ingeniero con IBM. He estado con IBM durante 36 años y la mayor parte de eso se ha gastado en el espacio de seguridad. He estado interesado en este tema en particular todo el camino de vuelta a la escuela secundaria donde pasé la mayor parte de mis tardes en el laboratorio hacking y tratando de averiguar cómo funcionaban los sistemas, y cómo se rompían y cómo se podía defender contra los ataques y todo ese tipo de cosas. Así que ha sido un tema fascinante para mí siempre mientras yo pueda recordar y espero que lo encuentre así también. Así que bienvenidos a este curso, y espero que lo encuentren interesante. Vamos a pasar a la siguiente diapositiva que hace referencia al desafío que nosotros afrontamos actualmente en el espacio de la ciberseguridad. Los desafíos son significativos. De hecho, la mayoría de estos desafíos han sido cierto durante mucho tiempo y sospecho que continuará siendo cierto durante mucho tiempo avanzando que es una de las cosas que hace de este un espacio tan interesante y un buen lugar para desarrollar y pasar su tiempo desarrollando habilidades en. Así, por ejemplo, las amenazas siguen aumentando. Ese ha sido el caso durante tanto tiempo que hemos estado interconectando computadoras a través de Internet. Las amenazas han seguido aumentando, no hay razón para pensar que eso va a cambiar. Hay un incentivo creciente para los malos para tratar de hackear, y ¿por qué es eso? Bueno porque cada vez más estamos poniendo información importante, información valiosa, recursos que tienen trabajo monetario real en los sistemas de TI. Así que como se le preguntó al famoso o infame ladrón de bancos Willie Sutton, ¿por qué sigues robando bancos? Él dijo, «Porque ahí es donde está el dinero». Bueno, si Willie Sutton fuera robando bancos hoy probablemente estaría en sistemas de TI y sería un hacker porque ahí es donde está el dinero y seguirá siendo el caso. Así que las amenazas continúan aumentando, el sistema se vuelve más complejo lo que también aumenta el espacio de amenaza y aumenta el tamaño del objetivo que colocamos en estos sistemas. Las alertas que conseguimos seguir aumentando, en otras palabras las notificaciones que personas están atacando y haciendo ciertas técnicas usando diferentes tipos de atacan vectores que continúan cambiando y más. Tenemos algunos temas generales que continúan, pero los detalles de los ataques cambiarán continuamente. Desafortunadamente, esas cosas son buenas para los chicos malos, para los chicos buenos, el número de analistas ha bajado y se ve una estadística abajo en la parte inferior de esta diapositiva en particular, que habla de una escasez de habilidades que estamos proyectando que para el año 2022, su serán 1,8 millones de puestos de trabajo de ciberseguridad sin cubrir. Ahora eso es mucho, pero algunas personas discutirán y dirán bien, ese número es exagerado, así que vamos a cortarlo a la mitad. Digamos que es aproximadamente un millón solo en términos de números redondos. Eso sigue siendo un número enorme. Eso significa que si usted tiene el jog Rex para salir y conseguir la gente calificada, simplemente no hay suficiente gente calificada y no podemos crear expertos en ciberseguridad rápido lo suficiente para satisfacer esa demanda. Ahora puedes ver este curso, esto se está registrando en un momento en el tiempo, así que cada vez que pongas estadísticas como esta por ahí, siempre hay un riesgo de que en el futuro las probabilidades son de que la dinámica sea algo diferente. Sospecho que esto va a ser un problema para nosotros en el futuro. Así que vamos a necesitar mucho más expertos en ciberseguridad en el campo para lograr lo que necesitamos para poder lograr y van a necesitar más y más conocimiento. El conocimiento que se requiere para hacer frente a ataques más complejos continúa aumentando. Entonces, por desgracia, tenemos menos y menos tiempo para trabajar en estos. Porque literalmente el tiempo es dinero cuando se trata de estos ataques, cuanto más tiempo se tarda en responder más va a causar, más datos se filtran, más daño que se hace, y en algunos casos cuando estamos hablando de regulaciones de cumplimiento como la Reglamento Generalizado de Protección de Datos de Europa GDPR. Si no respondes lo suficientemente rápido y notificas a a todas las personas que necesitan ser notificadas de un incumplimiento, le costará a tu empresa dinero significativo también en términos de multas. Así que todas esas cosas juntas realmente llegan a una conclusión ineludible, que necesitamos más personas expertas en ciberseguridad para ayudar a lidiar con la amenaza. Entonces, ¿qué necesitan estas personas hacer regularmente? Bueno, si eres un SOC por cierto como un centro de operaciones de seguridad por lo que es el centro de control, el centro neurálgico de donde recibimos la información de seguridad y información de gestión de eventos, ese es el acrónimo que ves su SIEM. Eso se refiere a traer todas las alarmas y la información de seguridad en un solo lugar. Así que necesitamos ser capaces de ver esos eventos en una consola, ver la incidencia cuáles de ellos son importantes y cuáles de ellos no lo son. Esa es una gran parte del triage que pasa aquí. Al hacer ese triage tenemos que decidir es esto algo real o no? Si lo es, entonces necesito hacer más investigación. Si no es así, entonces podría seguir adelante. Tal vez quiero clasificarlo para que no pierda el tiempo en esos tipos similares de información y alarmas que vienen en el futuro. Así que estamos constantemente queriendo sintonizar esto con nuestro entorno para que no perdamos el tiempo. Somos productivos con lo que hacemos. Usted quiere ser capaz de hacer las investigaciones y algunos casos que implican el uso de todo tipo de diferentes herramientas de seguridad, usted puede tener un montón de diferentes consolas, aunque, estamos más y más sobre tratar de crear un todo integrado para que podamos traer en el información de la capa de datos, la capa del sistema operativo, la capa de red, la capa de aplicación, la capa de identidad, reunir a todos los de una manera integrada, pero en muchos casos estos indicadores de compromiso pueden ocurrir en diferentes sistemas y tenemos que ser capaces de reunirlos a todos. Así ser capaz de ser experto en haciendo búsquedas, haciendo investigaciones, tener una mente curiosa que puede salir y juntar todos los diferentes hilos que tenemos en un todo integrado y empezar a construir una narrativa alrededor. Vale, esto sucedió y luego que resultó en esto y luego agregamos esto sucedió, y ahora lo que tenemos no es un solo incidente pero tenemos una gran campaña de malware por ejemplo, que está afectando a muchos sistemas. La forma en que mitigamos y orquestamos nuestra respuesta a eso, entonces se convertirá en la siguiente habilidad en la que realmente tenemos que centrarnos. Así que el primer trabajo es identificar el problema, luego tratar de descubrir el alcance de eso, el riesgo que está involucrado en él, por ejemplo, ¿qué tan grande de impacto tiene esto en la organización y entonces, en última instancia, qué tipo de respuesta hacemos con esto? ¿Podemos automatizar parte de la respuesta para el futuro? ¿Es esto algo que tendremos que tratar como una sola vez? ¿Hay personas a las que necesitamos notificar para obtener respuesta a este problema en particular? ¿Tenemos que trabajar con otros socios que los sistemas pueden estar conectados a los nuestros, ISP upstream? ¿Necesitamos que pongan bloques en la red para deshacerse de las cosas malas? ¿Necesitamos instalar nuevas herramientas que puedan ayudarnos a hacer mitigaciones en el futuro? Así que puedes ver que hay un montón de diferentes tipos de cosas y sólo he tocado la punta del iceberg. Pero de nuevo, les diré que creo que es un área fascinante, es uno que se mueve constantemente. Si te gusta un desafío, si te gustan los problemas duros, este es un buen lugar para trabajar. Espero que encuentres esta información útil en este curso.

...