Desarrollo profesional en blueteam (defensa)

En los últimos años he estado liderando la creación y consolidación de equipos de seguridad, específicamente equipos de respuesta a incidentes y centros de operación de seguridad (SOC). Uno de los grandes retos ha sido encontrar el personal adecuado para ocupar cargos en defensa (blueteam), principalmente por los siguientes aspectos:

  • Personas con poca experiencia o sin experiencia
  • Personas interesadas principalmente en roles de ataque o auditoría
  • Baja oferta en programas académicos enfocados a defensa

Algo con lo que me encuentro frecuentemente a la hora de reclutar personal para blueteam es que quienes tienen experiencia vienen de trabajos en SOC monitoreando plataformas de seguridad, como muchos de ellos lo llaman “viendo pantallas” y he podido evidenciar que pocos han desarrollado habilidades que son requeridas para responsabilizarse de la seguridad de las empresas, hablaremos de las habilidades más adelante en este artículo.

En esta entrada hablaremos sobre la actualidad en el mercado laboral para quienes esten interesados o involucrados en los temas de defensa en seguridad de la información y sobre el plan de carrera que recomiendo para mejorar las habilidades requeridas en este rol.

El mercado laboral

He tomado una muestra de 25 ofertas de empleo para personal de defensa correspondientes al último trimestre de diferentes fuentes de información pública de empleo como: elempleo.com, computrabajo, infojobs, linkedin entre otras. Estas ofertas laborales provienen de diferentes empresas que han incursionado en la prestación de servicios de soc y respuesta a incidentes. A continuación algunos de los hallazgos:

Carga laboral:

Uno de los factores que influye negativamente en el sector de la defensa en seguridad de la información corresponde a los horarios de trabajo. Un SOC debe operar 24x7x365, por esta razón se deben realizar turnos rotativos, lo cual no es muy apetecido por los candidatos que buscan ocupar estas vacantes.

Educación Formal:

En un 60% de las ofertas piden profesionales en ingeniería de sistemas, electrónica o telecomunicaciones, incluso en un par de ofertas se requiere personal con especialización. Sin embargo he podido notar como la industria comienza a demandar técnicos o tecnologos debido a que los profesionales en ingeniería por lo general no están dispuestos a realizar turnos rotativos, lo cuál ha generado que la tasa de rotación en este tipo de cargos sea alta.

Personalmente he encontrado en procesos de selección que el personal con menos estudios formales ha desarrollado más habilidades técnicas (habilidades fuertes) que personas que han finalizado estudios de pre-grado y post-grado. Sin embargo el personal que no ha cursado una carrera profesional, por lo general carece de habilidades blandas como hablar en público, crear y sustentar informes, trabajar en equipo, entre otras.

¿Debo titularme en ingeniería para pertenecer al blueteam?

La educación tradicional ha venido perdiendo terreno y han aparecido jugadores importantes como coursera, platzi, edX, Cybrary, PentesterAcademy, Hack The Box, entre otros, con programas o estrategias que ayudan a desarrollar habilidades desde casa, con inversiones realmente bajas y al propio ritmo del estudiante. La mayoría de universidades en Colombia, se han quedado estancadas enseñando los mismos programas, las mismas tecnologías como java, oracle, redes tradicionales. Soy docente desde hace varios años y amo la academia, pero veo que aquí hay oportunidades importantes para innovar como formar a los profesionales que hoy demanda la industria.

Así que mi respuesta corta es no, pasar por la universidad no es algo que hoy marque diferencia en las empresas, las organizaciones modernas buscan talento, gente que sepa hacer, que realmente desarrolle competencias. El gran problema de esto es la discriminación salarial por tener o no un titulo académico y muchos (me incluyo) terminamos en un programa de pre-grado para obtener un salario “justo”.

Rangos salariales:

Las diferencias salariales están muy marcadas por el nivel de escolaridad, lo cuál es un grave error, el salario que más se ofrece en cargos para analista de seguridad, ingeniero SOC, o profesional de respuesta a incidentes está entre los $2’000.000 y los $2’500.000, en la siguiente gráfica se observa la distribución de la oferta salarial en Colombial para el año 2020.

Podemos observar que el salario oscila desde los $900.000 hasta los $3’500.000. ¿Que pasa con esas ofertas de más de $4’000.000? son perfiles específicos que piden para algunos centros de operaciones de seguridad donde exigen post-grado y 3 años de experiencia y se nota que es para cubrir un perfil de una licitación estatal. Algo que pude observar es que el rango 1 ($900.000 – 1’500.000) es el salario ofrecido a técnicos o tecnólogos y de ahí en adelante los salarios ofrecidos son para personal titulado en ingeniería. En varias de las ofertas publicadas no se establece un salario promedio y se deja el famoso texto “salario a convenir” cuando se indaga más por estos salarios a convenir nos encontramos que corresponden en la mayoría de casos a salarios inferiores a los $2’500.000. Definitivamente el nivel de formación académica debe dejar de ser el factor para determinar cuando debe devengar una persona.

Experiencia:

En la gran mayoría de ofertas de empleo se pide experiencia mínima de un año en los siguientes campos:

  • Mesa de ayuda
  • NOC
  • SOC
  • Administración de herramientas de seguridad
  • Auditorías basadas en ISO/IEC 27001 y PCI/DSS
  • SOC
  • NOC

Lo curioso es que en las ofertas de empleo no son claras las funciones que va a desarrollar el candidato ni las habilidades requeridas.

Funciones a desarrollar:

Certificaciones:

Las certificaciones han venido ganando terreno como diferencial a la hora de contratar personal, con base en las ofertas analizadas estas son las certificaciones que demanda la industria en Colombia.

Curiosamente he visto ofertas para cargos de nivel 1 con un año de experiencia donde piden certificaciones como CISSP o CISM, este tipo de certificaciones tiene como requisito tener experiencia demostrable de más de 3 años en dominios específicos. Desafortunadamente en Colombia la certificación de auditor interno ISO/IEC 27001 se ha vuelto el comodín de las empresas, en la gran mayoría la piden solo por seguir una tendencia, sin embargo algo que he discutido con varios colegas, una certificación de auditor interno solo indica que la persona “sabe” desarrollar una auditoría interna basada en una norma, no que la persona sepa de seguridad. Así que un consejo para las empresas “dejen de solicitar como requisito que las personas sean certificadas en 27001” a menos que busquen puntualmente auditores.

Certificaciones como Security+ han venido ganando terreno y en varias empresas con ofertas serias son un plus a la hora de contratar.

Con esto he finalizado el análisis de lo que busca la industria en Colombia, ahora les voy a compartir algo desde mi propia perspectiva para incentivar a las personas a que desarrollen habilidades para trabajar en defensa.

¿Qué es el Blue Team?

Una de las definiciones más precisas para describir lo que hace el equipo azul la mencionó Daniel Miessler en su artículo The Difference Between Red, Blue, and Purple Teams .

El blue team (equipo azul) se refiere al equipo de seguridad interna que defiende a las organizaciones contra adversarios reales o equipos rojos. El equipo rojo es el personal de la empresa que se dedica a probar la efectividad de los controles de seguridad de una empresa emulando las técnicas, tácticas y procedimientos de un adversario real.

Las funciones más comunes que se realizan en este campo son:

  • Monitorear eventos de seguridad: Un integrante del blueteam no solo debe estar pendiente de las alertas que generen los SIEM, el monitoreo de eventos requiere que podamos identificar aquellas anomalías que no son generadas como alertas. Un integrante del equipo azul debe poder analizar eventos generados por diversas fuentes de información como consolas de antivirus, logs de seguridad de sistemas operativos, logs de servidores de aplicaciones web. alertas de IDS, correos electrónicos, logs de firewall y logs de sysmon.
  • Investigar incidentes de seguridad: La investigación de incidentes de seguridad debe ir mucho más allá de la revisión de logs en un correlacionador, investigar incidentes incluye analizar y clasificar el tipo de incidente (triage), establecer mecanismos de contención, recopilar y analizar evidencia, acá toma relevancia dominar el dominio de herramientas tipo Process Monitor, Process Explorer, Wireshark, TCPdump, y comandos nativos del sistema operativo. Conocer muy bien los procesos de adquisición de evidencia de mayor nivel de volatilidad hasta la creación de imagenes forenses. Por último, la investigación de incidentes requiere que podamos identificar la causa raiz del incidente y logremos establecer las medidas de erradicación de la amenaza y la recuperación normal de las operaciones afectadas.
  • Prevenir incidentes de Seguridad: Una de las métricas que utilizan varios centros de operaciones de seguridad es el número de incidentes/alertas gestionados. Personalmente considero que un número alto de incidentes/alertas gestionadas habla mal de la gestión, la misión principal de quienes trabajamos en seguridad debería ser prevenir incidentes, y aquí es donde un integrante de blue team debe estar en la capacidad de detectar debilidades a través de observaciones sencillas en eventos de firewalls, ¿por qué tantas consultas a ese puerto específico? ¿por qué consultas desde x ó y región? ¿por qué hay volumenes de tráfico en horarios poco habituales? ¿por qué hay tráfico saliente hacia x ó y sitio? ¿qué significado tiene el user-agent que aparece en los logs de las aplicaciones web?, debemos ser curiosos y cuestionarnos absolutamente todo, de una observación simple pueden salir estrategias para mitigar un riesgo. En algunos casos el blue team desarrolla escaneos de puertos o identificación de vulnerabilidades. La prevención va más allá de lo técnico, los integrantes del blue team debemos ayudar a mejorar la cultura y la conciencia sobre la seguridad en las empresas, entrenar al personal de TI, a mesa de ayuda, a recursos humanos a las operaciones, al equipo de finanzas es clave, así que debemos ser muy buenos comunicadores y enseñar como detectar un comportamiento sospechoso, como reportarlo y que acciones evitar en cada caso.

Hay otras funciones clave y habilidades que resumiré más adelante.

¿ Por qué trabajar en defensa?

Durante mi carrera profesional he tenido la fortuna de estar en varios bandos de la tecnología y la seguridad soporte técnico / administrador de redes / desarrollador / sysadmin / auditor de seguridad / pentester / forense / respuesta a incidentes / CISO. Lo que mas he disfrutado es trabajar en forense y respuesta a incidentes, materializar un ataque en unas pruebas de intrusión es satisfactorio, pero identificar como se materializó el ataque a través de la investigación es más divertido y satisfactorio. En defensa debemos aprender sobre redes, infraestructura, desarrollo, a investigar, a escribir, a sustentar. Todos los días ocurren incidentes, o por lo menso intentos de incidentes, prevenirlos o detectarlos no es una tarea fácil, tan solo debe existir una ventana abierta para que un adversario tome provecho y haga ver nuestro trabajo realmente mal. Así que es un trabajo desagradecido, un solo fallo y todo lo que pudimos hacer bien se va por la borda, es un trabajo constante, un atacante puede parar para descansar o para disfrutar un fin de semana, pero hay miles o millones de adversarios, por lo que quienes defendemos debemos estar atentos las 24 horas al día, los 7 días a la semana. Aún así es el rol más divertido que he encontrado en mi carrera, también donde más he aprendido.

Para finalizar quiero compartir un par de cosas el plan de carrera y algunos libros que me han ayudado en este rol:

Plan de Carrera:

He desarrollado un plan de carrera para aquellos que quieran o que ya estén trabajando en defensa. Esta versión 1 del plan de carrera contiene información sobre la experiencia laboral a obtener, los conocimientos y competencias a desarrollar y las certificaciones que ayudarán a fortalecer y a demostrar esas competencias.

Plan de Carrera en PDF

Libros que recomiendo:

Fundamentos:

Principiantes

Intermedio

Especialista

Cualquier observación sea positiva o negativa sobre este artículo favor dejar el comentario.

1 Comment

Deja un comentario