lunes, octubre 30, 2023

17 preguntas más de Ciberseguridad, Hacking e IA y sus respuestas que me hicieron en la sesión de apertura del Campus de Ciberseguridad

Después de la primera parte donde contesté 15 de las 32 peguntas que me hicieron en la Sesión de Apertura del Campus de Ciberseguridad en la que estuve con Juanjo Salvador y que os dejé publicadas, hoy termino el resto, que fueron más de treinta. Espero que os interese la lectura, porque me preguntaron de todo.

Figura 9: 17 preguntas más de Ciberseguridad, Hacking e IA y sus respuestas que me hicieron en la sesión de apertura del Campus de Ciberseguridad

Eso sí, las respondo de forma breve, y os invito a todos los lectores a que dejéis vuestra respuesta también a algunas, a que completéis las mías o a que opinéis de forma diferente a como opino yo. Ahí van.

16.- Soy fotógrafo. Cuál sería la razón por la que habría que indicar que algo está hecho usando como herramienta la I.A. y no en algo que está hecho con otro tipo de herramientas como una cámara fotográfica que te realiza una fotografía automáticamente sin saber nada de fotografía... Yo considero la I.A. como una herramienta como cualquier otra.

O que se ha usado Photoshop, filtros de belleza, o correcciones de color. Al final una foto es una proyección y son más los puristas los que defienden eso. La polémica del premio de fotografía que ganó una foto generada por IA creo mucho ruido. Pero yo creo que es igual que en las redes sociales se debe indicar cuándo se está utilizando un filtro de belleza, o la técnica utilizada en conseguir un FX en una determinada instantánea. Yo creo que hay un amplio abanico de posibilidades y caben todas las opiniones y opciones.

17.- Hola chicos, quería saber que pensáis del sector de la ciberseguridad en europa a nivel general, a día de hoy, no resido en España y quería saber un poco el panorama en base a vuestra experiencia.

Pues en España, en Europa y en Hispam, hay muchas posiciones abiertas en todos los roles de ciberseguridad. Yo te recomiendo que eches un ojo a las posiciones que tenemos abiertas en Telefónica, donde verás que tenemos plazas en Alemania, Inglaterra, España, Colombia, Argentina, etcétera. Es más que tú elijas dónde quieres trabajar, en qué, te formes bien, y pases el proceso.

18.- Me gustaría saber cómo impactan todas estas nuevas tecnologías en materia de concienciación en los usuarios, ya que por muchas medidas de seguridad que haya implementadas, el usuario sigue siendo el vector de entrada más explotado

Los usuarios, los empleados, los jefes, y las personas en general. Por desgracia, aún seguimos exigiendo al usuario que sea capaz de reconocer un phishing, que sea capaz de configurar un segundo factor de autenticación, o que proteja su biometría, cuando saber cómo funciona SPF, DKIM, PGP, S/MIME, L2TP, PPTP, TLS, o demás tecnologías de seguridad debería ser más transparente para el usuario. Hablé de esto en el artículo de “Mea culpa, Penny!”


Yo soy de la teoría de Bruce Shneier en su libro de “Haga clic aquí para matarlos a todos”, de que hay que ser más exigentes en términos de seguridad con las empresas que proveen software y olvidar ya las licencias de “me eximo de toda responsabilidad y este software se licencia como está y punto”.

19.-¿Creéis que las nuevas tecnologías serán más seguras o todo lo contrario?

Creo que cada vez hacemos software más seguro, pero… tiene trampa. Al final, el número de bugs por cada millar de líneas de código que se ejecutan se ha reducido, pero es que el número de líneas de código que se ejecutan, ha crecido en varios órdenes de magnitud.  Por eso, cada vez hay que buscar más para localizarlas y valen tanto dinero. Eso ha hecho que sea posible ganarse la vida con los Bug Bounty siendo cazarecompensas.
Así que, hacemos software más seguro pero la seguridad de las tecnologías que utilizamos, se mantienen en el mismo nivel, más o menos, en los últimos años, donde el número de bugs que se descubren sigue creciendo año a año.

20.-¿Cuáles son los desafíos más comunes (actualmente) que las empresas enfrentan en términos de ciberseguridad?

Los desafíos más comunes, y para mí “el” desafío más importante, es transformarse a la velocidad que exige el mercado pero de manera segura. Y ese es el reto. Hoy en día la tecnología es un disruptor en todos los mercados, y para las empresas de ese mercado la velocidad de transformación y adaptación es fundamental, así que hay que hacerlo de forma ágil, pero… a la vez de forma segura

 Y ese es el gran reto. Cambiar a un nuevo entorno y salir de la zona de confort siempre da miedo, pero si encima no se conocen bien esas tecnologías y se hace sin seguridad, puede ser desastroso.

21.- ¿De qué manera encajaría un abogado de Nuevas tecnologías en el sector?

Para mí, los abogados son fundamentales y en mi equipo son los grandes facilitadores de la innovación, porque no me dicen: “No”. Sino … “de esta forma”. Innovar siempre es empujar los límites, y el derecho es un marco lleno de límites que hay que cumplir. Son los que me permiten lanzar nuevos proyectos. Sin ellos trabajando codo con codo, es muy difícil mover las cosas.

22.- ¿Qué portales o medios recomiendas para buscar trabajo en el extranjero?

La verdad es que no te puedo decir. Te recomiendo la web de Jobs.Telefonica.com por supuesto, pero supongo que Linkedin un el OpenToHire es una buena forma de descubrir otros portales en la red. Casi todas las grandes empresas tienen una web de contratación, busca las grandes empresas y tendrás ahí la opción de enviar tu CV para posiciones abiertas. En Telefónica es el principal canal de contratación: Puestos de trabajo en ciberseguridad en Telefónica

23.- Antes has hecho mención al "Purple Team". ¿Crees que esta tendencia sustituirá al blue y red en algunas organizaciones o será complementario? ¿Crees que tendrá recorrido en el futuro?

Yo hablaba de esto hace muchos años. Cuando estaba en ElevenPaths y daba charlas de Pentesting Continuo, Pentesting by Design, siempre decía que todas las pruebas que se puedan automatizar deberían estar automatizadas, y los pentesters deberían estar para hacer ataques complejos y con todo el conocimiento interno de la organización. Es decir, deberían poder saber todas las herramientas, las versiones, etc.. Toda la info para poder ponernos en el peor caso de un atacante que lleva dentro tiempo para recabar toda esa información, o un empleado malicioso. El Pentester Estratégico que va a por la compañía conociéndola completamente. A algo parecido a esto es lo que llamamos Purple Team.

Figura 13: El Red Team de la empresa
de Eduardo Arriols en 0xWord

Ahora en las empresas tenemos el equipo de defensa, que es el Blue Team, y el equipo de ataque que es el Red Team. Ambas herramientas de un buen CISO que las hace competir. Pero debe existir un Purple Team que tenga la info del BlueTeam y las destrezas del Red Team para probar que realmente estás listo para el peor de los ataques posibles. Creo que se va a extender como un servicio en todas las empresas.

24.- ¿Qué certificaciones de ciberseguridad recomendáis hacer o tener?

Esta pregunta creo que la respondí en vivo. En las empresas de consultoría te exigen muchas, que puedes hacer y te van a ayudar a trabajar en estas empresas. OCSP, CISA, CISP, Ethical Hacker, etcétera. Mi recomendación es que te hagas la que te guste por el temario porque vas a aprender. Es decir, no se trata de que te saques el certificado para tenerlo y que te ayude en el CV – que seguro que lo hace – sino por que los conocimientos que en él se enseñan te sean útiles.

Figura 14: En el CEH 10 se estudia la FOCA o los ataques
de Connection String Parameter Pollution (CSPP).

A mí me hace ilusión que temas como Connection String Parameter Pollution (CSPP), la FOCA, (Blind) LDAP Injection, o Time-Based Blind SQL Injection using heavy queries que hemos publicado nosotros son parte de esos examenes, así que puedo decirte que son muy prácticos.


25.- ¿Deberemos entrenar los modelos de IA antes de que algún ciberdelincuente consiga una IA omnipresente?

No es necesario esperar a esto. En Ciberseguridad las técnicas de Machine Learning y los Modelos de IA son una realidad y llevamos años usándolos porque sabemos que los malos lo hacen. Un ejemplo de ello son los modelos de Machine Learning aplicados a Ciberseguridad de los que hablamos en el libro que publicamos en 0xWord.

Figura 16: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen TorranoFran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Y por supuesto, en el mundo de la Inteligencia Artificial, todo lo que hemos visto con la DeepFakes y la detección de las mismas en nuestro DeepFake Detector  en un claro ejemplo de como es la "pelea" del uso de IA para atacar y defenderse. Las tecnologías de ML/IA son algo que que no te puedes saltar si quieres trabajar en el mundo de la ciberseguridad hoy en día.

26.- ¿Qué diferencias más notables hay de los entornos controlados cómo HackTheBox, tryHackme y los entornos empresariales de Active Directory?

No muchas. Las técnicas de hacking de entornos Microsoft Windows tienen muy presente Active Directory y hay muchos, muchos, muchos de los escenarios en los que te vas a tener que enfrentar a entornos de Pass-the-hash, Pass-the-ticket para hackear Kerberos, o GPOs de Active Directory
El libro de Hacking Windows es un ejemplo de todas las técnicas que te vas a tener que aprender para pasar muchos de esos entornos y conseguir muchas de las certificaciones de hacking. 

27.- Veo muchos bootcamps de tres meses que te prometen trabajo y de todo, ¿que opináis ? Yo creo que la mayoría de estos centros se aprovechan de la necesidad de la gente de la urgencia trabajar
 
Tres meses en un bootcamp intensivo es un acelerón que te permite comenzar a estar preparado para encontrar tus primeros trabajos de nivel de entrada, y además son buenos para que orientarte y que luego te pongas tú las pilas. Pero el que va a conseguir el trabajo eres tú. Es como apuntarte al gimnasio tres meses. Que te pongas fuerte va a depender de lo que hagas todos los días, y cómo te tomes ir al gimnasio. Lo mismo con los bootcamps. Pero creo que son una buena forma de dar una acelerón a tu formación pre-primer trabajo.

28. Trabajo en una pequeña empresa IT, y dando soporte a muchas otras empresas pequeñas o medianas, me doy cuenta de que desde la pandemia, los phishings y ataques han aumentado muchísimo y han mejorado, pero estas empresas que no tienen nada que ver con el mundo IT, no quieren invertir nada en seguridad hasta que es demasiado tarde y les entra un Ramsom o un MiTM en el que pierden mucho dinero o datos. ¿Crees que las leyes de ciberseguridad y protección de datos obligarán a educar y potenciar la inversión en ciberseguridad en las Pymes en los próximos años? ¿Se valorará más la ciberseguridad en empresas pequeñas o incluso que enseñen en los colegios? 

Creo que las multas que van a recibir si no lo hacen hará que muchas empresas mueran. Es lo que pide el libro de Bruce Shneier, que las multas sean tan grandes que merezca la pena invertir en ciberseguridad. Aún así, creo que hemos mejorado, pero no lo suficiente, y será cuestión de poco a poco ir madurando. 

29.- ¿Llegamos tarde el mundo del SecDevOps / DevSecOps? ¿Esta muy inmaduro el sector en este ámbito?

En las grandes empresas no es algo nuevo, pero si que es verdad que no en todas las empresas tienen roles especializados para automatizar todos los procesos de construcción de tecnología con arquitecturas y modelos de trabajo DevSecOps/SecDevOps. Creo que esta profesión va a crecer en los próximos años.
30.- Estaría bien para algunos oyentes, explicar ese espiral, es decir, explicar que hay que conocer para empezar en el mundo del hacking y de ahí que luego se vayan especialzando más, ya que creo que hay gente que pregunta sobre "cursos" que se creen que con hacerlo van a ser hackers, y hay que dominar varias técnicas, estaría bien mencionar cada paso cada recomendación desde cero.

Escribí un artículo sobre esa visión de aprendizaje de hacking en espiral en mi blog. No hay un punto concreto por el que empezar. Yo comencé por el mundo del SQL Injection porque sabía mucho de SQL y Bases de datos, pero cada uno ha entrado por un punto diferente. Es lo bonito de esta profesión.

@chema_alonso Aprender hacking. El camino en espiral #hacking #formacion ♬ Hacking Tutorial - Muammar Fitra

31.- Mi pregunta es que piensas acerca del nuevo sistema de cifrado seleccionado por el NIST basado en 100 dimensiones si no me equivoco, ¿tendrá futuro?

Hablé del proceso de seleccionar algoritmos de cifrado en el artículo sobre el Post-Quantum Prepareness Act de los Estados Unidos. Se supone que estos algoritmos han sido auditados y re-auditados por la comunidad de expertos en criptografía, pero... también sabemos que cuando avance la tecnología habrá que crear nuevos algoritmos. Así es este mundo de la criptografía.

32.- ¿Qué tan beneficioso es tener un servicio SOC sin automatizar en respuestas y qué riesgos podríamos tener al sumarle inteligencia artificial a la mitigación de eventos?

Pues es necesario tenerlo, interno subcontratado a una empresa especialista en ciberseguridad y la IA ya es parte de ellos. No se puede automatizar respuestas sin usar MLOPs o AIOPS. Es el día a día de nuestra a industria.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


No hay comentarios:

Publicar un comentario