La líder de Talos, Vanja Svajcer, comparte cómo es un «día en la vida» de un investigador de amenazas de Cisco.
Una gran cartera de ciberseguridad exige una innovación implacable, con productos y soluciones que satisfagan los desafíos de un panorama de amenazas en constante evolución. Pero también requiere una investigación profunda, con información actualizada al minuto derivada de una amplia gama de datos sobre amenazas actuales y emergentes.
Cisco Talos es una de las organizaciones de investigación de seguridad más grandes y confiables del mundo. Utiliza algoritmos avanzados de aprendizaje automático para sondear montones de datos de las redes, clientes y socios de Cisco en todo el mundo. Y emplea a algunos de los analistas e investigadores más sofisticados y experimentados de cualquier equipo de este tipo.
Para obtener más información sobre el talento, las innovaciones y el impacto de Talos en la comunidad de seguridad global, hablamos con Vanja Svajcer, líder de investigación de amenazas de Talos con sede en Zagreb, Croacia.
¿Puede contarnos sobre su papel y describir cómo es un «día en la vida» de un investigador de amenazas de Cisco?
El papel de un investigador de amenazas en una organización de inteligencia de ciberamenazas de clase mundial como Cisco Talos es desafiante pero emocionante y gratificante.
Mi misión, junto con todos mis colegas de Talos, es proteger a los usuarios de los productos Cisco de todas las amenazas de seguridad existentes y emergentes. Comienzo mi día con una visión general de las amenazas y las actividades de los actores de amenazas que han sido atrapadas en nuestra amplia red de sensores y reglas que utilizamos para seguimiento.
Los atacantes suelen ejecutar sus ataques utilizando múltiples etapas en una cadena de ataque. Esto nos brinda la oportunidad de proteger a nuestros usuarios rompiendo esta cadena en cualquier etapa antes de que se entregue la carga util maliciosa final.
Para una protección y descubrimiento exitosos de nuevas amenazas, debemos analizar todos los datos disponibles en todos los niveles y plataformas, desde el tráfico de red, como las solicitudes de DNS, el tráfico HTTP(S) y los mensajes de correo electrónico hasta las líneas de comando sospechosas que se ejecutan en los puntos finales. Estos pueden indicar que los atacantes están intentando ejecutar la carga útil final del ataque.
La mayoría de los sistemas de caza son construidos por equipos de Cisco, como Cisco Secure Endpoint Telemetry Platform, pero también utilizamos fuentes de inteligencia de amenazas de la comunidad como Virus Total.
La mayoría de las amenazas y ataques recién descubiertos ya serán detectados por nuestros productos, y no se requerirá ninguna intervención. Sin embargo, es imposible lograr una protección del 100 por ciento contra todas las amenazas emergentes. Son estas nuevas amenazas las que son el foco de mi investigación personal y la de mi equipo dentro de Talos.
¿Cómo responde a esas amenazas emergentes?
Cuando encontramos una amenaza desconocida, o un actor de amenazas existente cambia significativamente sus tácticas, técnicas y procedimientos para evadir la detección, analizamos la amenaza y el actor de amenazas para comprender sus objetivos y crear nuevos roles para proteger a nuestros clientes, como las reglas de Snort que se implementan en Cisco Secure Firewall o las detecciones de comportamiento que pueden identificar el comportamiento malicioso sospechoso en nuestros productos Cisco Secure Endpoint.
Al mismo tiempo, nos sumergimos en los detalles de la amenaza y documentamos su funcionalidad. Publicamos nuestros hallazgos a la comunidad de investigación de amenazas globales y al público en publicaciones de blog, documentos de conferencias y listas de los llamados indicadores de compromisos. Los IoC permiten a todos en la comunidad encontrar esas amenazas y desarrollar la detección para sus propias organizaciones. Una lucha exitosa contra actores de amenazas sofisticados requiere la coordinación de la comunidad global de investigación de amenazas, incluso si a veces competimos con diferentes productos.
¿Cómo impacta directamente tu trabajo con Talos en los clientes?
Un impacto directo para nuestros clientes se puede ver en el nivel de protección proporcionado por los productos Cisco Secure, que es insuperable. Desde los endpoints, a través de la red y hasta las plataformas en la nube, nuestros datos de inteligencia de amenazas se envían junto con los productos de seguridad de Cisco y se actualizan constantemente.
Creamos las reglas de detección que identifican el comportamiento malicioso en la red, bloquean el tráfico entrante y saliente sospechoso en función de la información más reciente de IP, URL y dominio, así como evitan que los archivos de malware se descarguen e infecten su entorno.
El equipo de talos Vulnerability Research realiza investigaciones para encontrar vulnerabilidades de seguridad en los productos de software y hardware abiertos y cerrados más populares. Cuando descubrimos una nueva vulnerabilidad, trabajamos con el proveedor del producto para parchear la vulnerabilidad y divulgar de manera responsable información al público al respecto.
Al final del día, nos sentimos muy contentos de saber que nuestro trabajo es directamente responsable de detener miles de nuevas amenazas, al tiempo que permite a nuestros clientes continuar con sus operaciones diarias sin una violación de seguridad.
¿Qué pasa si ocurre una violación de seguridad?, ¿Cómo puede ayudar entonces?
R. Durante un incidente de seguridad, el equipo Talos Incident Response está listo para ayudarlo, sin importar si utiliza Cisco o productos de terceros. Combinamos las últimas metodologías con experiencia de clase mundial para resolver con éxito los incidentes cuando ocurren. El equipo de respuesta a incidentes de Talos trabaja en estrecha colaboración con otros equipos dentro de Talos para proporcionar inteligencia de amenazas e información contextual a las organizaciones afectadas. Eso les permite evaluar rápidamente el impacto de la violación y tomar las medidas correctas para restaurar sus operaciones.
¿Y cómo beneficia Talos a la comunidad de seguridad en general?
Talos se compromete a mantener algunos de los motores de seguridad de código abierto más populares, como ClamAV y Snort. Ambos motores tienen una gran comunidad de usuarios que también contribuye a su desarrollo. Esta es la belleza del software de código abierto.
Además, utilizamos regularmente nuestro sitio web talosintelligence.com para proporcionar información gratuita a la comunidad en general.
¿Cómo ha evolucionado la investigación de amenazas en los últimos años?
La mayor parte del trabajo está automatizado en estos días, por lo que los investigadores pueden centrarse en las amenazas más importantes y relevantes que requieren análisis humanos. Y las herramientas han mejorado significativamente. Hemos desarrollado internamente herramientas que nos ayudan con el análisis, especialmente en las áreas de correlación de big data, conciencia contextual y aprendizaje automático.
También hay herramientas que están disponibles para todos los investigadores de forma gratuita. Probablemente el mejor ejemplo de esto es Ghidra, una plataforma de ingeniería inversa de software de código abierto por la Agencia de Seguridad Nacional de los Estados Unidos. Ha dado a miles de investigadores individuales acceso a una plataforma de análisis de alta calidad de forma gratuita.
¿Cómo continúa evolucionando el enfoque de Cisco para la investigación e inteligencia de amenazas?
Estamos constantemente reevaluando nuestro conjunto de herramientas, procesos y organización para que podamos continuar manteniendo la eficacia de nuestros productos en el nivel más alto posible y mantener a todos los clientes de Cisco Secure protegidos y felices.
Esto incluye agregar más datos contextuales a nuestra inteligencia de amenazas, detectar tendencias y mantenerse al tanto de las nuevas amenazas, como las vulnerabilidades de la cadena de suministro. También esperamos nuevas estrategias para lidiar con el tráfico cifrado y las evoluciones de los actores de amenazas, como los actores de ransomware que cifran y extraen con fines de extorsión.
Investigamos constantemente nuevas formas de hacer que nuestro trabajo sea más efectivo. Puede sonar como un cliché, pero nunca he trabajado con un grupo de personas más talentosas y nunca he tenido más confianza en un equipo de liderazgo.
Hay muchas nuevas amenazas y desafíos en el horizonte, especialmente a medida que los hackers continúan creciendo. ¿Cuál es su mejor escenario para la seguridad en los próximos años?
A menudo escuchamos sobre la creciente sofisticación de las amenazas y la falta de expertos calificados que trabajen en ciberseguridad. Pero también es bueno preguntarse por qué los ataques siguen siendo cada vez más complejos.
La respuesta es que estamos mejorando mucho en la defensa contra esos ataques. Desde desarrolladores de software más conscientes de la seguridad y características de seguridad en los sistemas operativos hasta plataformas de protección cada vez más efectivas, procesos y, sí, expertos mejor equipados.
Desafortunadamente, las amenazas no desaparecerán, y tendremos que abordar constantemente nuevos ataques a medida que surjan. Pero mi esperanza es que en el futuro solo nos preocupemos por los atacantes más avanzados, porque nuestras defensas serán demasiado difíciles para los grupos de amenazas de productos básicos y delitos cibernéticos que operan hoy en día.
fuente: https://newsroom.cisco.com