TecTop
Como piloto de combate F-15 en la Fuerza Aérea de los EE. UU., William «Hutch» Hutchison realizó ejercicios de alto riesgo y entrenamiento para fallar en justas aéreas del tipo popularizado por películas como «Top Gun». Después de salir definitivamente de la cabina, aplicó al ciberespacio los principios del entrenamiento de combate que había aprendido volando en el espacio aéreo al crear y dirigir numerosos programas de capacitación, certificación, pruebas y evaluación de seguridad cibernética del DoD (Figura A).
Figura A
Después de la Fuerza Aérea, Hutchison asumió un papel de liderazgo en el Comando Cibernético de EE. UU., donde supervisó el primer ejercicio de entrenamiento cibernético táctico conjunto de fuerza contra fuerza. bandera cibernética. Creó un equipo que lanzó la primera oficina de tácticas de adversario cibernético, fundó el primer ejercicio de simulación conjunto centrado en la cibernética y estableció una certificación inaugural del equipo de ciberseguridad. Con elementos del Laboratorio Lincoln del MIT junto con el Laboratorio de Física Aplicada de la Universidad Johns Hopkins, Hutchison y su equipo también desarrollaron la primera serie de pruebas para el Departamento de Defensa.
VER: La adopción de la seguridad cibernética se ve obstaculizada por la escasez de habilidades y la integración deficiente del producto (TechRepublic)
El siguiente paso de Hutchison fue al sector privado, donde él y los miembros de su equipo de Cyber Command cofundaron la compañía de alcance cibernético SimSpace en 2015. Mediante el uso de gemelos digitales, bots y otras automatizaciones, sin mencionar los escuadrones de operadores humanos de sombrero blanco, SimSpace ha Ha estado operando rangos cibernéticos en todo el mundo para el gobierno, el ejército y la defensa cibernética global, además de industrias del sector privado como energía, seguros y finanzas.
La compañía, que dice que puede simular tres años de ataques con fuego real impredecibles en 24 horas, se asocia con numerosas plataformas de seguridad, incluidas Google Mandiant, CrowdStrike, SentinelOne y Microsoft.
Preguntas y respuestas de TechRepublic con el director ejecutivo de SimSpace, William Hutchison
Grounded: Poniendo las escaramuzas del equipo rojo en el ciberespacio
P: ¿Cómo caracterizaría el rango de implementación de SimSpace?
A: La gran mayoría de nuestro trabajo es con empresas, militares y gobiernos. Trabajamos con el Comando Cibernético de EE. UU., el FBI y otros elementos dentro del gobierno de EE. UU., por ejemplo.
Uno de los desarrollos interesantes recientemente fue nuestra expansión global a Japón, por lo que estamos trabajando con el equivalente de su DHS y FBI allí. Lo que hemos encontrado es que, a partir de ahí, existe una estrecha vinculación con su ministerio de defensa, bancos, telecomunicaciones y transporte, y hay una fuerte atracción de Europa del Este debido a circunstancias geopolíticas (Figura B).
Figura B
P: Es axiomático que hay una escasez masiva de talento en ciberseguridad: unos 3,4 millones de puestos vacíos si se suscribe al Estudio de la fuerza laboral de ciberseguridad de (ISC)² 2022. ¿Qué tan importantes son los rangos cibernéticos para ayudar a cultivar y retener el talento?
A: Cuando trabajamos con nuestros socios comerciales, encontramos que hay una gran brecha no solo en términos de números, sino también en la cantidad de operadores calificados, que es incluso un grupo más pequeño. Lo que fue realmente revelador para mí fue que los principales bancos de los EE. UU. eligen a los mejores y más brillantes, y aunque muchas de estas personas tienen diez años de experiencia, no han realizado ejercicios de ciberseguridad: el equivalente de ciberseguridad de la mano. combate cuerpo a cuerpo.
VER: Los recientes ataques cibernéticos de 2022 presagian un 2023 rocoso (TechRepublic)
Históricamente, el plan de estudios de capacitación simplemente no se adaptaba a las necesidades requeridas, por lo que, como empresa, hemos liderado con la capacidad de centrarnos en el rendimiento a nivel de equipo, el riesgo organizacional y cómo probar las pilas de seguridad. Hemos invertido durante un par de años en contenido estructurado, prediseñado y centrado en la capacitación, y desafiamos a los equipos haciendo cosas como quitar herramientas de seguridad (herramientas SIEM, protección de puntos finales, algo en lo que confían) porque un adversario determinado las deshabilitará. , y ahora tu trabajo es ir al Plan B.
P: ¿Tiene una idea de cuántas empresas están realizando rangos cibernéticos?
A: Primero, creo que somos los únicos que podemos crear algo de esta complejidad. Otros proveedores de rango cibernético se enfocan en el individuo, un par de máquinas virtuales para respaldar un plan de estudios estructurado, pero sin poder replicar la producción con sus herramientas de seguridad y tomarse el tiempo para configurarlas como lo han hecho en producción.
La respuesta corta es que puede haber algunas pruebas de penetración y un poco de equipo rojo de una red, pero no pueden «quitarse los guantes», porque tiene que preocuparse de romper algo sin darse cuenta al intentar algo poco ortodoxo que, en el curso del entrenamiento. , podría causar que suceda algo relacionado con el funcionamiento. Lo útil de la gama es la capacidad de hacerlo de forma segura, sin conexión.
Aplicación de gemelos digitales para mantener el ejercicio seguro fuera del espacio de producción
P: Una gran parte de esto para SimSpace es el uso de gemelos digitales. ¿Qué significa eso en un contexto de rango cibernético?
A: Somos un poco diferentes del gemelo digital tradicional, y hay un poco de confusión sobre el concepto. Están los componentes de TI, ya sean puntos finales o dispositivos de red, y eso es una cosa, pero uno de los ingredientes secretos de nuestra plataforma es la capacidad de generar tráfico, no solo reproducirlo, colocando bots en cada host, cada uno de los cuales tiene una personalidad para actuar como un gerente o asistente administrativo.
Por ejemplo, todos tienen comportamientos de navegación web únicos y harán cosas como crear hojas de cálculo de Excel, documentos de Word, adjuntarlos a correos electrónicos y enviarlos entre sí. Tienen patrones diurnos, objetivos y tácticas. Ese tráfico es el elemento vital de su red, lo que encontraría en el mundo real.
La señal contradictoria es lo que hay que delinear de todo ese ruido, así que cuando hablamos de un gemelo digital, no se trata solo de virtualizar la red. Durante los últimos ocho años, hemos trabajado arduamente para automatizar algunas de las cosas que aceleran la planificación, la ejecución y la generación de informes.
P: En la medida en que hacer seguridad cibernética es, de hecho, tratar de reparar un neumático mientras anda en bicicleta, con desarrollos en torno al malware como servicio y nuevos tipos de vulnerabilidad en torno a cosas como la automatización, ¿cómo innovar el rango cibernético para mantener ritmo con las herramientas a disposición de los malos actores?
A: Es un desafío. En el frente de la capacitación, no solo está cambiando el adversario, sino que también está cambiando la respuesta de seguridad correspondiente y la infraestructura de TI subyacente, y eso muy bien podría cambiar la solución de seguridad de TI o la presentación de la amenaza del adversario.
Creo que una sola empresa no puede hacer frente a todas estas amenazas. Hay una manera de reunir una variedad de soluciones en el piso de entrenamiento. En términos de mantenerse al día con las amenazas, digamos el marco de amenazas automatizado, tenemos un equipo dedicado, pero seré el primero en decirles que sí, es reaccionario: estamos tratando de sacar algo dentro de una semana que muestra tanto el lado ofensivo como un buen conjunto de pasos de remediación.
P: ¿Cómo te preparas para futuras amenazas que quizás no sepas que existen?
A: Uno de los casos de uso de nuestra plataforma, que es una de las mejores cosas de un rango, es que le permite hacer pruebas de hipótesis: puede probar el estado futuro de su red.
En otras palabras, una de las ventajas de un rango es que puede ser proactivo en el sentido de comprender cuáles serían los riesgos de su estado futuro y trabajar con las entidades de I + D adecuadas para adelantarse a algunas de las amenazas esperadas.
P: ¿Dónde encaja la gama cibernética en el proceso más amplio de adquisición de talento?
A: Si admite que con organizaciones de nivel empresarial, y también puede incluir gobiernos, la seguridad de TI adecuada requiere respuestas a nivel de equipo, incluso múltiples, entonces la secuencia de preparación para la respuesta de seguridad de TI, estrictamente en el lado de la gente sería :
- Identificar a los candidatos adecuados.
- Entrenalos.
- Certifica su desempeño y muévelos a un equipo.
- Haga exactamente lo mismo a nivel de equipo: Capacite, certifique o acredite al equipo.
- Entrénalos en rangos cibernéticos.
Este es un ciclo continuo anual a nivel de equipos: tomar la delantera, actualizarse. Somos dueños de esa capacitación y evaluación a nivel de equipo, así como también del ensayo de la misión en el lado individual y del equipo. Un ciclo de mejora continua para los equipos individuales y correspondientes.
Mantenerse versátil y retener el talento
P: En términos del panorama de amenazas (telecomunicaciones 5G, por ejemplo), desde su punto de vista, ¿ve áreas especiales en las que cree que será necesario centrarse en eso, ya sea el alcance cibernético o cualquier otro marco defensivo que sea ¿disponible?
A: Siempre va a haber una nueva arruga. El último fue la migración de datos tradicionales a la nube. Más recientemente, con la pandemia, los límites de las redes de una empresa se expandieron a los hogares de los empleados, por lo que el panorama de TI seguirá evolucionando.
Un enfoque prudente de la ciberseguridad es asumir que va a haber una brecha. En lo que trabajamos es en identificar los comportamientos lo más rápido posible y luego en respuestas efectivas.
P: ¿Alguna idea sobre cómo el uso de rangos cibernéticos y equipos desafiantes puede ayudar a retener el talento?
A: Ya sabes, no siempre es obvio que los equipos quieren ser desafiados. La gente tiende a pensar que es muy buena en su trabajo.
Les contaré una historia: en el primer año, cuando trabajábamos con un banco importante, no sabía si todo este asunto militar funcionaría, e hicimos un compromiso de dos semanas. La primera semana, el equipo azul no estaba contento. Entonces, lo que hicimos fue sacar al equipo rojo de detrás de la cortina y hacer que se sentaran con el equipo azul, y una vez que el equipo azul descubrió cuáles eran las hazañas, pasó de ser una experiencia muy negativa y frustrante para ellos a algo muy, muy positivo, del cual sacaron mucho aprendizaje.
Entonces, sí, creo que hay equipos esperando ser desafiados, que aman su misión, y creo que podría mejorar la retención en la contratación y mantener a los mejores con actividades preparatorias desafiantes. Francamente, también es un gran crisol para la formación de líderes.
Conclusión
Los rangos cibernéticos no son uno y están listos: es un entrenamiento continuo. Si está buscando capacitación y certificación de seguridad cibernética continua y de por vida, considere Infosec4TC con acceso ilimitado a cursos a su propio ritmo sobre GSEC, CISSP y más. Aprende más aquí.
