0 00:00:00,000 --> 00:00:17,000 En este vídeo vamos a presentar a Emilio Rico, coronel de caballería de la Reserva 1 00:00:18,000 --> 00:00:24,000 Es diplomado en Informática Militar, máster en Dirección de Sistemas de Información y Telecomunicación 2 00:00:31,000 --> 00:00:39,000 Apasionado de la tecnología y la seguridad, ha estado destinado en el Centro de Sistemas y Tecnologías de la Información y las Comunicaciones, el TESDIC 3 00:00:39,000 --> 00:00:49,000 Hemos estado antes comentándolo en el café con nuestro subdirector del Ministerio de Defensa y del Mando Conjunto del Ciberespacio, el MCC 4 00:00:50,000 --> 00:00:55,000 Actualmente es asesor de ciberseguridad en el grupo TRC, que es donde está trabajando actualmente 5 00:00:56,000 --> 00:01:01,000 Y bueno, viene a darnos una charla de Mentirosos Compulsivos sobre ciberseguridad 6 00:01:02,000 --> 00:01:08,000 Espero que os guste a todos y que empiece a calar más a fondo todo el tema de ciberseguridad 7 00:01:09,000 --> 00:01:16,000 No solo a nivel de los técnicos, que sí que están más comprometidos con el tema de la ciberseguridad y lo ven día a día 8 00:01:17,000 --> 00:01:24,000 Sino pues para nuestros mortales que no estamos tan metidos en esos temas, que vayamos haciendo conciencia 9 00:01:25,000 --> 00:01:28,000 Porque al final uno de los eslabones más débiles son los usuarios 10 00:01:28,000 --> 00:01:33,000 Entonces tenemos que tener conciencia de que la ciberseguridad es importante 11 00:01:34,000 --> 00:01:38,000 Y nada más, muchas gracias Alfonso 12 00:01:39,000 --> 00:01:42,000 Muy bien, pues buenos días a todo el mundo 13 00:01:45,000 --> 00:01:49,000 Muchas gracias a Fernando, a Alfonso, a David, que fue el que propuso para dar esta charla 14 00:01:50,000 --> 00:01:53,000 Es un placer la verdad que estar aquí con todos vosotros sin educar a Madrid 15 00:01:53,000 --> 00:01:58,000 Que tampoco lo conocía yo mucho y hablando un poco con la gente me ha sorprendido 16 00:01:59,000 --> 00:02:02,000 De la cantidad de servicios que dais a tanta gente dentro de la comunidad 17 00:02:03,000 --> 00:02:04,000 Me parece que es un trabajo fantástico 18 00:02:05,000 --> 00:02:10,000 Y como decía Alfonso, soy Coronel Adolfo, perdón, soy Coronel La Reserva 19 00:02:11,000 --> 00:02:15,000 Y además ahora últimamente también ejerzo muchas veces de ponente en charlas de ciberseguridad 20 00:02:16,000 --> 00:02:19,000 He estado en Navaja Negra, he estado en la jornada del CCNC 21 00:02:20,000 --> 00:02:23,000 Estuve en Rutes el año pasado y vuelvo a repetir este año otra vez 22 00:02:24,000 --> 00:02:26,000 Con el track de administraciones públicas 23 00:02:27,000 --> 00:02:29,000 O sea que, bueno, más o menos la verdad que estoy entretenido, bastante entretenido 24 00:02:30,000 --> 00:02:33,000 Yo creo que es un tema que es realmente apasionante 25 00:02:34,000 --> 00:02:39,000 Cuando te pones a jugar con estos aspectos que hay dentro de ciberseguridad 26 00:02:40,000 --> 00:02:42,000 En el mundo en el que estamos viviendo ahora mismo, ¿vale? 27 00:02:43,000 --> 00:02:45,000 Fijaros, cuando estaba preparando esta charla 28 00:02:46,000 --> 00:02:48,000 Estuve barajando algunos términos y estuve leyendo cosas 29 00:02:49,000 --> 00:02:53,000 Encontré un término que me gustó mucho y que hacía muchísimo tiempo que no lo encontraba 30 00:02:54,000 --> 00:02:55,000 Que era el Dewell Time 31 00:02:56,000 --> 00:02:59,000 Y Dewell Time lo que quiere decir es tiempo de permanencia 32 00:03:00,000 --> 00:03:03,000 Yo no sé si habéis estado en la parte de desarrollo, en la parte de marketing 33 00:03:04,000 --> 00:03:06,000 En la parte de servicios web, ese término se utiliza mucho 34 00:03:07,000 --> 00:03:10,000 Porque el Dewell Time para los de marketing de páginas web es fundamental 35 00:03:11,000 --> 00:03:15,000 Ellos llevan un control exhaustivo de cuando alguien entra en tu página 36 00:03:16,000 --> 00:03:17,000 Y el tiempo de permanencia de esa página 37 00:03:17,000 --> 00:03:21,000 Porque está claro que cuanto más tiempo permanezcan en tu página 38 00:03:22,000 --> 00:03:23,000 Y más estén navegando 39 00:03:24,000 --> 00:03:26,000 Las probabilidades de que tú les compres un servicio 40 00:03:27,000 --> 00:03:29,000 O un producto, un viaje, ropa, cualquier cosa 41 00:03:30,000 --> 00:03:31,000 Son mayores 42 00:03:32,000 --> 00:03:33,000 Y eso es así 43 00:03:34,000 --> 00:03:35,000 Esto ahora ya lo podemos también utilizar ahora además 44 00:03:36,000 --> 00:03:38,000 En términos también de ciberseguridad, ¿vale? 45 00:03:39,000 --> 00:03:42,000 En términos de ciberseguridad la cosa además ha cambiado mucho en estos años 46 00:03:43,000 --> 00:03:45,000 Fijaros, antes por ejemplo, llegaba un equipo adversario 47 00:03:45,000 --> 00:03:48,000 Te soltaban un ransomware, intentaban detonarlo 48 00:03:49,000 --> 00:03:50,000 Te hacían puré la red y se acabó 49 00:03:51,000 --> 00:03:52,000 Pero eso ahora ya no funciona así 50 00:03:53,000 --> 00:03:54,000 Ahora el adversario lo que hace es 51 00:03:55,000 --> 00:03:57,000 Entra en la red de la manera que pueda 52 00:03:58,000 --> 00:03:59,000 Una vez que está ahí se mueve lateralmente 53 00:04:00,000 --> 00:04:01,000 Escala privilegios 54 00:04:02,000 --> 00:04:03,000 Se dedica a rastrear, a mirar todo lo que tienes 55 00:04:04,000 --> 00:04:06,000 A abrir cajones, a cerrar puertas, a ver lo que hay 56 00:04:07,000 --> 00:04:08,000 Trata de filtrar toda la información 57 00:04:09,000 --> 00:04:11,000 Si puede, lo que hace es extorsionarte 58 00:04:12,000 --> 00:04:14,000 Y luego de premio también te vuelve a caer el ransomware 59 00:04:15,000 --> 00:04:18,000 Y así es como funcionan ahora los grupos APT actuales, ¿vale? 60 00:04:19,000 --> 00:04:20,000 ¿Qué problema tenemos? 61 00:04:21,000 --> 00:04:23,000 Pues el problema es que, aunque parezca mentira 62 00:04:24,000 --> 00:04:26,000 Y cada vez le dediquemos más importancia al tema de la seguridad 63 00:04:27,000 --> 00:04:29,000 La realidad es que en muchas ocasiones estamos perdiendo la batalla 64 00:04:30,000 --> 00:04:33,000 Todavía no están, los informes del 2022 están apareciendo ahora 65 00:04:34,000 --> 00:04:35,000 Así es que la información que os estoy pasando 66 00:04:36,000 --> 00:04:37,000 Son los informes del año pasado 67 00:04:38,000 --> 00:04:39,000 Pero por ejemplo uno interesante que es el de Ponemon 68 00:04:40,000 --> 00:04:41,000 Contratado por IBM 69 00:04:42,000 --> 00:04:43,000 Lo que te dice es que 70 00:04:43,000 --> 00:04:45,000 El tiempo de permanencia de un adversario dentro de tu red 71 00:04:46,000 --> 00:04:47,000 Es de 287 días 72 00:04:48,000 --> 00:04:49,000 Y ya no es que sea mucho 73 00:04:50,000 --> 00:04:52,000 Es que encima es peor que las cifras que teníamos anteriormente 74 00:04:53,000 --> 00:04:57,000 Es decir, en años anteriores las cifras eran de 280, 270 días 75 00:04:58,000 --> 00:04:59,000 O sea, es que estamos perdiendo 76 00:05:00,000 --> 00:05:01,000 No solo estamos perdiendo, eso significa 77 00:05:02,000 --> 00:05:04,000 Que el daño que nos están causando dentro de nuestros sistemas 78 00:05:05,000 --> 00:05:06,000 O a la empresa que lleva este negocio 79 00:05:07,000 --> 00:05:08,000 Se incrementa en un 10% 80 00:05:09,000 --> 00:05:10,000 Fijaros vosotros que además sois técnicos 81 00:05:11,000 --> 00:05:12,000 Y que os dedicáis al tema de sistemas 82 00:05:13,000 --> 00:05:17,000 Si tú tienes un adversario 287 días en la red 83 00:05:18,000 --> 00:05:21,000 Imaginaros la cantidad de backups 84 00:05:22,000 --> 00:05:25,000 En los que posiblemente tienes el malware 85 00:05:26,000 --> 00:05:27,000 O tienes el mecanismo de persistencia 86 00:05:28,000 --> 00:05:29,000 Es decir, tú empiezas a restaurar 87 00:05:30,000 --> 00:05:31,000 Cuando te has dado cuenta del problema 88 00:05:32,000 --> 00:05:33,000 Un backup de hace un mes y no has conseguido nada 89 00:05:34,000 --> 00:05:35,000 Porque el mecanismo de persistencia 90 00:05:36,000 --> 00:05:37,000 Lo vuelves a meter otra vez dentro de tu red 91 00:05:38,000 --> 00:05:40,000 O el exploit que te hayan podido poner 92 00:05:41,000 --> 00:05:42,000 Esto es un problema super duro 93 00:05:43,000 --> 00:05:44,000 Entonces, ¿qué es lo que ocurre? 94 00:05:45,000 --> 00:05:47,000 Yo lo que creo es que en los últimos años 95 00:05:48,000 --> 00:05:49,000 La gente que nos dedicamos a ciberseguridad 96 00:05:50,000 --> 00:05:51,000 Que le hemos dado mucha importancia 97 00:05:52,000 --> 00:05:54,000 A todos los temas, por ejemplo, de protección 98 00:05:55,000 --> 00:05:56,000 Y al tema de resiliencia 99 00:05:57,000 --> 00:05:58,000 Nos hemos equivocado un poco 100 00:05:59,000 --> 00:06:01,000 Cuando tú tienes un framework como el del NIST 101 00:06:02,000 --> 00:06:03,000 Donde tienes cinco funciones de seguridad 102 00:06:04,000 --> 00:06:07,000 No vale que solamente pongas el foco en dos de ellas 103 00:06:08,000 --> 00:06:09,000 Si solo pones en protección 104 00:06:10,000 --> 00:06:11,000 Y pones en recuperación 105 00:06:11,000 --> 00:06:13,000 Estás olvidando otras que son importantes 106 00:06:14,000 --> 00:06:16,000 Como es, por ejemplo, el tema de detección 107 00:06:17,000 --> 00:06:18,000 Y el tema de respuesta 108 00:06:19,000 --> 00:06:20,000 Yo creo que tú tienes que balancear 109 00:06:21,000 --> 00:06:22,000 Todas tus oportunidades 110 00:06:23,000 --> 00:06:24,000 Y poder desarrollar las competencias 111 00:06:25,000 --> 00:06:26,000 En cualquiera de esas cinco funciones 112 00:06:27,000 --> 00:06:29,000 ¿Por qué creo yo que esto está pasando? 113 00:06:30,000 --> 00:06:31,000 Pues veréis 114 00:06:32,000 --> 00:06:33,000 Lo primero es porque el mundo cambia 115 00:06:34,000 --> 00:06:35,000 A una velocidad que es de vértigo 116 00:06:36,000 --> 00:06:37,000 Yo vengo de la parte de arriba 117 00:06:38,000 --> 00:06:40,000 Y estamos ahora ya viviendo en la parte de abajo 118 00:06:41,000 --> 00:06:42,000 Tradicionalmente 119 00:06:43,000 --> 00:06:44,000 ¿Qué era lo que tenían las empresas antes? 120 00:06:45,000 --> 00:06:46,000 Pues antes las empresas tenían 121 00:06:47,000 --> 00:06:48,000 Pues tenían un antivirus 122 00:06:49,000 --> 00:06:50,000 Y tenían un firewall 123 00:06:51,000 --> 00:06:52,000 ¿Y qué es lo que tienen ahora? 124 00:06:53,000 --> 00:06:54,000 Tienen un antivirus y tienen un firewall 125 00:06:55,000 --> 00:06:56,000 Bueno, son Next Generation Firewalls 126 00:06:57,000 --> 00:06:58,000 Me da igual que sean Next Generation 127 00:06:59,000 --> 00:07:00,000 Quiere decir que el paradigma 128 00:07:01,000 --> 00:07:02,000 O la forma en que abordamos los temas de seguridad 129 00:07:03,000 --> 00:07:04,000 Pues en ese sentido tampoco ha cambiado mucho 130 00:07:05,000 --> 00:07:06,000 Fijaros si ha cambiado la cosa 131 00:07:07,000 --> 00:07:08,000 En 1991 132 00:07:08,000 --> 00:07:10,000 Linus Torvald saca su primera versión de Linus 133 00:07:11,000 --> 00:07:12,000 Y el kernel de Linus 134 00:07:13,000 --> 00:07:16,000 Está escrito con 10.235 líneas de código 135 00:07:17,000 --> 00:07:19,000 Ahora mismo cualquier distribución de Linus 136 00:07:20,000 --> 00:07:21,000 Que tú te bajas 137 00:07:22,000 --> 00:07:23,000 No tiene menos de 27 millones 138 00:07:24,000 --> 00:07:25,000 De líneas de código 139 00:07:26,000 --> 00:07:27,000 Son muchas líneas de código 140 00:07:28,000 --> 00:07:29,000 Donde es muy fácil que se pasen cosas 141 00:07:30,000 --> 00:07:31,000 Donde alguien puede encontrar una brecha 142 00:07:32,000 --> 00:07:33,000 Donde se pueden utilizar determinados mecanismos 143 00:07:34,000 --> 00:07:36,000 Para hacer otras cosas distintas 144 00:07:36,000 --> 00:07:37,000 Para las que estaban programadas 145 00:07:38,000 --> 00:07:40,000 ¿Qué más cosas están ocurriendo en los últimos años? 146 00:07:41,000 --> 00:07:42,000 Pues que esto es una locura 147 00:07:43,000 --> 00:07:44,000 Si es que esto ha cambiado un montón 148 00:07:45,000 --> 00:07:46,000 Fijaros ahora con la pandemia 149 00:07:47,000 --> 00:07:48,000 Cogíamos a la gente y la mandábamos a casa 150 00:07:49,000 --> 00:07:50,000 Ahora la volvemos a meter para adentro 151 00:07:51,000 --> 00:07:52,000 Introducimos el tema de los móviles 152 00:07:53,000 --> 00:07:54,000 Introducimos accesos remotos 153 00:07:55,000 --> 00:07:56,000 Yo no sé por ejemplo 154 00:07:57,000 --> 00:07:58,000 Ya me habéis dicho que tenéis prácticamente 155 00:07:59,000 --> 00:08:00,000 Un millón de usuarios 156 00:08:01,000 --> 00:08:02,000 No sé, un millón y pico 157 00:08:03,000 --> 00:08:04,000 Fijaros por ejemplo lo que puede ser 158 00:08:04,000 --> 00:08:05,000 Vamos a renovar los equipos 159 00:08:06,000 --> 00:08:07,000 Cada cinco años aproximadamente 160 00:08:08,000 --> 00:08:09,000 Eso significa renovar tu parque 161 00:08:10,000 --> 00:08:11,000 Pues cada, no lo sé 162 00:08:12,000 --> 00:08:13,000 Si tenéis repartidos por el mundo 163 00:08:14,000 --> 00:08:15,000 Yo no sé cuántos 164 00:08:16,000 --> 00:08:17,000 Lo voy a hacer con cifras más fácil 165 00:08:18,000 --> 00:08:19,000 Las del Ministerio de Defensa por ejemplo 166 00:08:20,000 --> 00:08:21,000 Si tienes 100.000 estaciones de trabajo 167 00:08:22,000 --> 00:08:23,000 Y tienes que renovarlas cada cinco años 168 00:08:24,000 --> 00:08:25,000 Tienes que renovar un parque 169 00:08:26,000 --> 00:08:27,000 Permanentemente del 20% 170 00:08:28,000 --> 00:08:29,000 El 20% de 100.000 son 20.000 equipos 171 00:08:30,000 --> 00:08:31,000 20.000 altas, 20.000 bajas 172 00:08:32,000 --> 00:08:33,000 Todos los días tienes un montón de problemas 173 00:08:34,000 --> 00:08:35,000 Tus inventarios es imposible 174 00:08:36,000 --> 00:08:37,000 Que los tengas al día 175 00:08:38,000 --> 00:08:39,000 Cuando estás utilizando ese tipo de volúmenes 176 00:08:40,000 --> 00:08:41,000 Entonces qué es lo que ocurre 177 00:08:42,000 --> 00:08:43,000 Pues que al final un adversario 178 00:08:44,000 --> 00:08:45,000 Que se tacó la ventura 179 00:08:46,000 --> 00:08:47,000 Mientras mantenga un perfil bajo 180 00:08:48,000 --> 00:08:49,000 Mientras se mueva sigilosamente 181 00:08:50,000 --> 00:08:51,000 Pues va a pasar desapercibido 182 00:08:52,000 --> 00:08:53,000 Porque es difícil de cazarlo 183 00:08:54,000 --> 00:08:55,000 ¿Qué más ocurre? 184 00:08:56,000 --> 00:08:57,000 Ocurre que sí que estamos poniendo 185 00:08:58,000 --> 00:08:59,000 Muchos mecanismos de seguridad 186 00:09:00,000 --> 00:09:01,000 Venga, EDRS, ahora ponemos IDS, IPS 187 00:09:02,000 --> 00:09:03,000 Un montón, más Firewall 188 00:09:04,000 --> 00:09:05,000 Un montón de mecanismos 189 00:09:06,000 --> 00:09:07,000 Que no hay forma de tratarlos 190 00:09:08,000 --> 00:09:09,000 Podríamos hacer una competición 191 00:09:10,000 --> 00:09:11,000 A ver quién genera más eventos 192 00:09:12,000 --> 00:09:13,000 Yo genero 10.000 eventos por segundo 193 00:09:14,000 --> 00:09:15,000 Pues yo 30.000 194 00:09:16,000 --> 00:09:17,000 Es igual 195 00:09:18,000 --> 00:09:19,000 Si el problema es que lo que tenemos que hacer 196 00:09:20,000 --> 00:09:21,000 Es sacar de partido los eventos que generamos 197 00:09:22,000 --> 00:09:23,000 Y sacarle partido de tal manera 198 00:09:24,000 --> 00:09:25,000 Que sí que nos den información 199 00:09:26,000 --> 00:09:27,000 Porque cuando tenemos millones y millones de eventos 200 00:09:28,000 --> 00:09:29,000 El problema es que 201 00:09:30,000 --> 00:09:31,000 Esos eventos que sí que son importantes 202 00:09:32,000 --> 00:09:33,000 Pero que son en una cuantía muy pequeña 203 00:09:34,000 --> 00:09:35,000 En cambio, ¿qué es lo que ocurre? 204 00:09:36,000 --> 00:09:37,000 Que con millones de eventos 205 00:09:38,000 --> 00:09:39,000 Lo que tenemos es que 206 00:09:40,000 --> 00:09:41,000 El personal que está mirando el SIEM 207 00:09:42,000 --> 00:09:43,000 No le da la vida 208 00:09:44,000 --> 00:09:45,000 Es que al final tiene una fatiga 209 00:09:46,000 --> 00:09:47,000 A la hora de estar viendo cosas 210 00:09:48,000 --> 00:09:49,000 Que es imposible que pueda encontrar 211 00:09:50,000 --> 00:09:51,000 Los que de verdadmente le importan 212 00:09:52,000 --> 00:09:53,000 Así es que al final 213 00:09:54,000 --> 00:09:55,000 El Wally no estaba en la otra transparencia 214 00:09:56,000 --> 00:09:57,000 El Wally estaba aquí 215 00:09:58,000 --> 00:09:59,000 Porque se nos ha colado 216 00:10:00,000 --> 00:10:01,000 Es que no hemos podido atender 217 00:10:02,000 --> 00:10:03,000 Lo que de verdad sería importante 218 00:10:04,000 --> 00:10:05,000 Es que no hay involucrado malware 219 00:10:06,000 --> 00:10:07,000 Lo que sí que hay es 220 00:10:08,000 --> 00:10:09,000 Brechas de credenciales 221 00:10:10,000 --> 00:10:11,000 Y con esas brechas de credenciales 222 00:10:12,000 --> 00:10:13,000 Los adversarios entran en tu red 223 00:10:14,000 --> 00:10:15,000 Brechas que se venden en todas partes 224 00:10:16,000 --> 00:10:17,000 Así que los enemigos no hacen un break-in 225 00:10:18,000 --> 00:10:19,000 Hacen un log-in 226 00:10:20,000 --> 00:10:21,000 Y se meten dentro de tu red 227 00:10:22,000 --> 00:10:23,000 Y a partir de ahí 228 00:10:24,000 --> 00:10:25,000 Se están moviendo con técnicas de leaving of the land 229 00:10:26,000 --> 00:10:27,000 Utilizando PowerShell 230 00:10:28,000 --> 00:10:29,000 Utilizando comandos de sistema operativo 231 00:10:30,000 --> 00:10:31,000 Haciendo cosas normales y corrientes 232 00:10:32,000 --> 00:10:33,000 Que no detectan precisamente nuestros sistemas 233 00:10:34,000 --> 00:10:35,000 Nuestros comportamientos 234 00:10:36,000 --> 00:10:37,000 Que un administrador de red 235 00:10:38,000 --> 00:10:39,000 Con lo cual te estás perdiendo un montón de ellos 236 00:10:40,000 --> 00:10:41,000 Ahora, leaks de información y de credenciales 237 00:10:42,000 --> 00:10:43,000 Es todos los días 238 00:10:44,000 --> 00:10:45,000 Y aparecen a millones 239 00:10:46,000 --> 00:10:47,000 Así es que yo creo que estamos perdiendo la partida 240 00:10:48,000 --> 00:10:49,000 Y en ese sentido sí, la estamos perdiendo 241 00:10:50,000 --> 00:10:51,000 Fijaros 242 00:10:52,000 --> 00:10:53,000 ¿Cuántas veces, cuántas veces 243 00:10:54,000 --> 00:10:55,000 Alguno de vosotros, yo lo he hecho 244 00:10:56,000 --> 00:10:57,000 ¿Cuántas veces hemos dicho 245 00:10:58,000 --> 00:10:59,000 Nosotros tenemos que hacerlo siempre bien 246 00:11:00,000 --> 00:11:01,000 Porque si no lo hacemos bien 247 00:11:02,000 --> 00:11:03,000 El otro con una vez que fallemos 248 00:11:04,000 --> 00:11:05,000 Lo hemos hecho, por lo menos lo habéis oído 249 00:11:06,000 --> 00:11:07,000 Y lo que yo quiero deciros 250 00:11:08,000 --> 00:11:09,000 Es que eso se puede alterar 251 00:11:10,000 --> 00:11:11,000 Podemos hacerlo al revés 252 00:11:12,000 --> 00:11:13,000 Que sean ellos 253 00:11:14,000 --> 00:11:15,000 Los que tienen que hacerlo siempre, siempre bien 254 00:11:16,000 --> 00:11:17,000 Porque el día que no lo hagan bien 255 00:11:18,000 --> 00:11:19,000 Ese día les cazaremos 256 00:11:20,000 --> 00:11:22,000 Y entonces ya podremos dedicarnos 257 00:11:23,000 --> 00:11:24,000 A mover todos los mecanismos 258 00:11:25,000 --> 00:11:26,000 Todos los procedimientos que nosotros conozcamos 259 00:11:27,000 --> 00:11:28,000 Para sacarlo a patadas de la red 260 00:11:29,000 --> 00:11:30,000 ¿De acuerdo? 261 00:11:31,000 --> 00:11:32,000 Eso se puede hacer 262 00:11:32,000 --> 00:11:33,000 Esto es otra cosa 263 00:11:34,000 --> 00:11:35,000 Que también me gusta siempre contar 264 00:11:36,000 --> 00:11:37,000 Que a mí me gusta mucho 265 00:11:38,000 --> 00:11:39,000 Hacer un back to the basic 266 00:11:40,000 --> 00:11:41,000 A los orígenes de las cosas 267 00:11:42,000 --> 00:11:43,000 Que son importantes, fijaros 268 00:11:44,000 --> 00:11:45,000 Todos los que estamos aquí 269 00:11:46,000 --> 00:11:47,000 En mayor o menor medida 270 00:11:48,000 --> 00:11:49,000 Somos responsables 271 00:11:50,000 --> 00:11:51,000 De la gestión del riesgo 272 00:11:52,000 --> 00:11:53,000 De nuestras empresas 273 00:11:54,000 --> 00:11:55,000 Y esta es la definición 274 00:11:56,000 --> 00:11:57,000 Que a mí más me gusta 275 00:11:58,000 --> 00:11:59,000 De la definición del riesgo 276 00:11:59,000 --> 00:12:00,000 Es la vulnerabilidad 277 00:12:01,000 --> 00:12:02,000 Más o menos grande 278 00:12:03,000 --> 00:12:04,000 Que pueda ser explotada por una amenaza 279 00:12:05,000 --> 00:12:06,000 Conocida o desconocida 280 00:12:07,000 --> 00:12:08,000 Generándote un determinado nivel de impacto 281 00:12:09,000 --> 00:12:10,000 ¿Vale? 282 00:12:11,000 --> 00:12:12,000 Es aceptable esa definición 283 00:12:13,000 --> 00:12:14,000 ¿Qué es lo que pasa? 284 00:12:15,000 --> 00:12:16,000 Pues que nosotros las vulnerabilidades 285 00:12:17,000 --> 00:12:18,000 De nuestros sistemas las conocemos 286 00:12:19,000 --> 00:12:20,000 O deberíamos conocerlas 287 00:12:21,000 --> 00:12:22,000 Porque están publicadas 288 00:12:23,000 --> 00:12:24,000 Nosotros podemos entrar en varios sistemas 289 00:12:25,000 --> 00:12:26,000 De vulnerability 290 00:12:27,000 --> 00:12:28,000 Y te dicen que vulnerabilidades 291 00:12:29,000 --> 00:12:30,000 ¿Qué pasaría? 292 00:12:31,000 --> 00:12:32,000 Si en un momento dado 293 00:12:33,000 --> 00:12:34,000 Pueden explotar una de esas vulnerabilidades 294 00:12:35,000 --> 00:12:36,000 ¿Vale? 295 00:12:37,000 --> 00:12:38,000 También conocemos el impacto 296 00:12:39,000 --> 00:12:40,000 Que supondría 297 00:12:41,000 --> 00:12:42,000 El que uno de nuestros sistemas 298 00:12:43,000 --> 00:12:44,000 Se viniera abajo 299 00:12:45,000 --> 00:12:46,000 Bien porque no funciona 300 00:12:47,000 --> 00:12:48,000 O bien porque alguien lo está comprometiendo 301 00:12:49,000 --> 00:12:50,000 Así es que lo que sí que podemos hacer 302 00:12:51,000 --> 00:12:52,000 Es averiguar 303 00:12:53,000 --> 00:12:54,000 ¿Cuáles aquellos de nuestros sistemas 304 00:12:55,000 --> 00:12:56,000 De información que son más o menos vulnerables 305 00:12:57,000 --> 00:12:58,000 Además nos suponen 306 00:12:59,000 --> 00:13:00,000 ¿Qué prioridad tenemos nosotros 307 00:13:01,000 --> 00:13:02,000 Que asignar a determinados activos 308 00:13:03,000 --> 00:13:04,000 Para dedicarlos 309 00:13:05,000 --> 00:13:06,000 Ya que no podemos dedicarnos al 100% a ellos 310 00:13:07,000 --> 00:13:08,000 Poder dedicarles por lo menos 311 00:13:09,000 --> 00:13:10,000 A los que son más importantes 312 00:13:11,000 --> 00:13:12,000 Pero ¿qué ocurre con el tema de las amenazas? 313 00:13:13,000 --> 00:13:14,000 Porque el tema de las amenazas 314 00:13:15,000 --> 00:13:16,000 Mucha gente no lo conoce 315 00:13:17,000 --> 00:13:18,000 Es que no sabemos realmente 316 00:13:19,000 --> 00:13:20,000 Quienes son nuestros enemigos 317 00:13:21,000 --> 00:13:22,000 Quien es el que está intentando entrar 318 00:13:23,000 --> 00:13:24,000 Entonces sería muy interesante 319 00:13:25,000 --> 00:13:26,000 Que todos tuviéramos una idea 320 00:13:27,000 --> 00:13:28,000 Más o menos general 321 00:13:29,000 --> 00:13:30,000 Que ya se empieza a ver 322 00:13:31,000 --> 00:13:32,000 Prácticamente en casi todas las empresas 323 00:13:33,000 --> 00:13:34,000 ¿Qué nos va a permitir eso? 324 00:13:35,000 --> 00:13:36,000 Eso nos va a permitir saber 325 00:13:37,000 --> 00:13:38,000 ¿Qué vulnerables son más atractivos 326 00:13:39,000 --> 00:13:40,000 Para nuestras amenazas 327 00:13:41,000 --> 00:13:42,000 ¿Qué impacto? 328 00:13:43,000 --> 00:13:44,000 Porque ¿qué capacidad tienen esas amenazas 329 00:13:45,000 --> 00:13:46,000 Para actuar sobre esos activos 330 00:13:47,000 --> 00:13:48,000 Y generarnos un impacto 331 00:13:49,000 --> 00:13:50,000 Y en definitiva al final 332 00:13:51,000 --> 00:13:52,000 Saber cuáles son nuestras prioridades 333 00:13:53,000 --> 00:13:54,000 A la hora de defender 334 00:13:55,000 --> 00:13:56,000 Si no podemos hacerlo con todo 335 00:13:57,000 --> 00:13:58,000 ¿De acuerdo? 336 00:13:59,000 --> 00:14:00,000 Bueno, vamos a seguir 337 00:14:01,000 --> 00:14:02,000 Hablando de muchas cosas 338 00:14:03,000 --> 00:14:04,000 Pero la verdad 339 00:14:05,000 --> 00:14:06,000 Es que lo único que hacemos es 340 00:14:07,000 --> 00:14:08,000 Llenar nuestros firewalls de basurilla 341 00:14:09,000 --> 00:14:10,000 Con un montón de IPs 342 00:14:11,000 --> 00:14:12,000 Que tuvieron sentido en el momento del ataque 343 00:14:13,000 --> 00:14:14,000 Pero que probablemente ya no se vuelven a utilizar 344 00:14:15,000 --> 00:14:16,000 Porque ya las hemos bloqueado 345 00:14:17,000 --> 00:14:18,000 Y el enemigo ya no los utiliza 346 00:14:19,000 --> 00:14:20,000 Y lo mismo con los dominios 347 00:14:21,000 --> 00:14:22,000 De mando y control en nuestros proxys 348 00:14:23,000 --> 00:14:24,000 ¡Hala! Ponen listas negras y listas blancas 349 00:14:25,000 --> 00:14:26,000 No, no, lo que tenemos que hacer 350 00:14:27,000 --> 00:14:28,000 Es actuar sobre las TTPs 351 00:14:29,000 --> 00:14:30,000 ¿Vale? 352 00:14:31,000 --> 00:14:32,000 Esas tácticas y técnicas 353 00:14:33,000 --> 00:14:34,000 Son las que tenemos que actuar 354 00:14:35,000 --> 00:14:36,000 Así es que, fijaros 355 00:14:37,000 --> 00:14:38,000 Si normalmente siempre nos dedicamos 356 00:14:39,000 --> 00:14:40,000 A hacer defensas 357 00:14:41,000 --> 00:14:42,000 Que son muy reactivas 358 00:14:43,000 --> 00:14:44,000 Porque al final todos los mecanismos de protección 359 00:14:45,000 --> 00:14:46,000 Y todos los mecanismos de resiliencia 360 00:14:47,000 --> 00:14:48,000 Son proactivos 361 00:14:49,000 --> 00:14:50,000 Por eso vienen ahora 362 00:14:51,000 --> 00:14:52,000 Y vienen muy bien a funcionar 363 00:14:53,000 --> 00:14:54,000 Todas las técnicas de defensa activa 364 00:14:55,000 --> 00:14:56,000 Porque lo que hacen es cambiar el paradigma 365 00:14:57,000 --> 00:14:58,000 Dejar de ser reactivos 366 00:14:59,000 --> 00:15:00,000 Y deja de funcionar 367 00:15:01,000 --> 00:15:02,000 ¿Vale? 368 00:15:03,000 --> 00:15:04,000 ¿Qué es lo que hacen estas técnicas? 369 00:15:05,000 --> 00:15:06,000 Básicamente lo que tratamos es de lo siguiente 370 00:15:07,000 --> 00:15:08,000 Al enemigo ponérselo más difícil 371 00:15:09,000 --> 00:15:10,000 Que le cueste mucho más entrar 372 00:15:11,000 --> 00:15:12,000 Además que tenga que ir más lento en su avance 373 00:15:13,000 --> 00:15:14,000 Dirigirlo hacia zonas de nuestros despliegues 374 00:15:15,000 --> 00:15:16,000 Donde, bueno 375 00:15:17,000 --> 00:15:18,000 No nos va a causar tanto impacto 376 00:15:19,000 --> 00:15:20,000 Y al final tratar de desgastarlo 377 00:15:21,000 --> 00:15:22,000 Tened en cuenta que al final el adversario 378 00:15:23,000 --> 00:15:24,000 Es como nosotros, también tiene familia 379 00:15:25,000 --> 00:15:26,000 Le gusta disfrutar los fines de semana 380 00:15:27,000 --> 00:15:28,000 Le gusta pasar las noches en su casa 381 00:15:29,000 --> 00:15:30,000 Lo que hace es al final aburrirlo 382 00:15:31,000 --> 00:15:32,000 Que no pueda entrar 383 00:15:33,000 --> 00:15:34,000 O sea que al final el ROI suyo 384 00:15:35,000 --> 00:15:36,000 No sea rentable 385 00:15:37,000 --> 00:15:38,000 Es decir, la inversión que tiene que hacer 386 00:15:39,000 --> 00:15:40,000 Para poder atacarnos 387 00:15:41,000 --> 00:15:42,000 Que no le compense de ninguna de las maneras 388 00:15:43,000 --> 00:15:44,000 ¿Me explico? 389 00:15:45,000 --> 00:15:46,000 Esto va a seguir ocurriendo 390 00:15:47,000 --> 00:15:48,000 Atacantes vamos a tener 391 00:15:49,000 --> 00:15:50,000 ¿Vale? Atacantes vamos a tener 392 00:15:51,000 --> 00:15:52,000 Porque siempre es más fácil romper que construir 393 00:15:53,000 --> 00:15:54,000 Porque siempre hay gente 394 00:15:55,000 --> 00:15:56,000 Que en su mentalidad es mucho mejor 395 00:15:57,000 --> 00:15:58,000 Conseguir las cosas de una manera fácil 396 00:15:59,000 --> 00:16:00,000 ¿Vale? 397 00:16:01,000 --> 00:16:02,000 Nunca ganes por la fuerza 398 00:16:03,000 --> 00:16:04,000 Lo que puedes salir 399 00:16:05,000 --> 00:16:06,000 Lo que puedes conseguir 400 00:16:07,000 --> 00:16:08,000 O lo que puedes ganar con él 401 00:16:09,000 --> 00:16:10,000 Él decía con la mentira 402 00:16:11,000 --> 00:16:12,000 A efectos de la conferencia 403 00:16:13,000 --> 00:16:14,000 Mejor queda con el engaño 404 00:16:15,000 --> 00:16:16,000 Eso es lo que va a ocurrir 405 00:16:17,000 --> 00:16:18,000 Y con el engaño, de verdad 406 00:16:19,000 --> 00:16:20,000 Es que llevamos viviendo 407 00:16:21,000 --> 00:16:22,000 Desde el principio de los tiempos 408 00:16:23,000 --> 00:16:24,000 Vivimos en el mundo donde el engaño 409 00:16:25,000 --> 00:16:26,000 Existe desde que el hombre es hombre 410 00:16:27,000 --> 00:16:28,000 La mujer es la mujer 411 00:16:29,000 --> 00:16:30,000 Y el hombre es el espíritu 412 00:16:31,000 --> 00:16:32,000 ¿Vale? 413 00:16:33,000 --> 00:16:34,000 A partir de entonces hay además 414 00:16:35,000 --> 00:16:36,000 A lo largo de la historia nos ha dado 415 00:16:37,000 --> 00:16:38,000 Por muchísimos ejemplos 416 00:16:39,000 --> 00:16:40,000 Algunos muy chulos 417 00:16:41,000 --> 00:16:42,000 Este de aquí, este también mola un montón 418 00:16:43,000 --> 00:16:44,000 Engañar a tu adversario 419 00:16:45,000 --> 00:16:46,000 Esto es una técnica militar 420 00:16:47,000 --> 00:16:48,000 Pero es una técnica que se utiliza en todas partes 421 00:16:49,000 --> 00:16:50,000 Hay gente 422 00:16:51,000 --> 00:16:52,000 Que es que nace para engañar 423 00:16:53,000 --> 00:16:54,000 O sea, es que lo lleva en la sangre 424 00:16:55,000 --> 00:16:56,000 Es que le gusta 425 00:16:57,000 --> 00:16:58,000 Es que si a partir de ahora 426 00:16:59,000 --> 00:17:00,000 Puede engañar a todo el mundo 427 00:17:01,000 --> 00:17:02,000 Todo lo que pueda 428 00:17:03,000 --> 00:17:04,000 Porque funciona así 429 00:17:05,000 --> 00:17:06,000 Porque va en la condición humana 430 00:17:07,000 --> 00:17:08,000 ¿Vale? 431 00:17:09,000 --> 00:17:10,000 Voy a perder solamente dos minutos 432 00:17:11,000 --> 00:17:12,000 De todas formas en contaros 433 00:17:13,000 --> 00:17:14,000 Una de las cosas que más me gusta 434 00:17:15,000 --> 00:17:16,000 Yo creo que es este de aquí, a ver 435 00:17:17,000 --> 00:17:18,000 Mirad 436 00:17:19,000 --> 00:17:20,000 En 1944 437 00:17:21,000 --> 00:17:22,000 Cuando estaba la Segunda Guerra Mundial 438 00:17:23,000 --> 00:17:24,000 Funcionando 439 00:17:25,000 --> 00:17:26,000 Los americanos y los ingleses 440 00:17:27,000 --> 00:17:28,000 Se unieron 441 00:17:29,000 --> 00:17:30,000 Y contemplaba escenarios 442 00:17:31,000 --> 00:17:32,000 En el norte de África, en Italia 443 00:17:33,000 --> 00:17:34,000 En el sur de Francia, en Noruega 444 00:17:35,000 --> 00:17:36,000 Pero la más importante de todas las campañas 445 00:17:37,000 --> 00:17:38,000 Es una que se hizo en Inglaterra 446 00:17:39,000 --> 00:17:40,000 ¿Vale? 447 00:17:41,000 --> 00:17:42,000 Esa fue una campaña que era fortitude 448 00:17:43,000 --> 00:17:44,000 Y eso se desplegó en Endover 449 00:17:45,000 --> 00:17:46,000 Fijaros 450 00:17:47,000 --> 00:17:48,000 Los americanos desplegaron ahí 451 00:17:49,000 --> 00:17:50,000 Un grupo de ejército 452 00:17:51,000 --> 00:17:52,000 Se llamaba el FUSAJ 453 00:17:53,000 --> 00:17:54,000 El First US Army 454 00:17:55,000 --> 00:17:56,000 Algo así, United States Army Group 455 00:17:57,000 --> 00:17:58,000 El FUSAJ 456 00:17:59,000 --> 00:18:00,000 Lo que tenía eran 457 00:18:01,000 --> 00:18:02,000 Carpinteros, fonzaneros, pintores 458 00:18:03,000 --> 00:18:04,000 Artistas 459 00:18:05,000 --> 00:18:06,000 Gente con una imaginación bárbara 460 00:18:07,000 --> 00:18:08,000 Y lo que sí que tenía era 461 00:18:09,000 --> 00:18:10,000 Un regimiento de transmisiones 462 00:18:11,000 --> 00:18:12,000 Que estaba reforzado 463 00:18:13,000 --> 00:18:14,000 Porque tenían que hacer simular 464 00:18:15,000 --> 00:18:16,000 Las comunicaciones de radio 465 00:18:17,000 --> 00:18:18,000 De lo que sería el volumen 466 00:18:19,000 --> 00:18:20,000 De todo un grupo de ejércitos 467 00:18:21,000 --> 00:18:22,000 ¿Vale? 468 00:18:23,000 --> 00:18:24,000 ¿Cuál era la misión de esta gente? 469 00:18:25,000 --> 00:18:26,000 La misión de esta gente era hacer crear a los alemanes 470 00:18:27,000 --> 00:18:28,000 Que el desembarco se produciría 471 00:18:29,000 --> 00:18:30,000 Prácticamente en ese sitio 472 00:18:31,000 --> 00:18:32,000 Fijaros, la misión de este grupo 473 00:18:33,000 --> 00:18:34,000 Solamente era conseguir 474 00:18:35,000 --> 00:18:36,000 48 horas 475 00:18:37,000 --> 00:18:38,000 48 horas de ventaja 476 00:18:39,000 --> 00:18:40,000 A lo que sería el desembarco real 477 00:18:41,000 --> 00:18:42,000 Desembarco real, sabéis que se hizo 478 00:18:43,000 --> 00:18:44,000 Luego después en las playas de Normandía 479 00:18:45,000 --> 00:18:46,000 Unos 350 kilómetros 480 00:18:47,000 --> 00:18:48,000 Un poco más al sur y un poco más al oeste 481 00:18:49,000 --> 00:18:50,000 Consiguieron prácticamente 6 semanas 482 00:18:51,000 --> 00:18:52,000 Cuando se produjo el desembarco 483 00:18:53,000 --> 00:18:54,000 Los alemanes dijeron 484 00:18:55,000 --> 00:18:56,000 Eso es una trampa 485 00:18:57,000 --> 00:18:58,000 El desembarco de verdad va a venir 486 00:18:59,000 --> 00:19:00,000 Que lo mantuvieron durante tanto tiempo 487 00:19:01,000 --> 00:19:02,000 Que 6 semanas más tarde 488 00:19:03,000 --> 00:19:04,000 Claro, la playa estaba completamente consolidada 489 00:19:05,000 --> 00:19:06,000 Y diariamente descargaban miles de hombres 490 00:19:07,000 --> 00:19:08,000 Toneladas de mercancías 491 00:19:09,000 --> 00:19:10,000 De apoyos, de municiones 492 00:19:11,000 --> 00:19:12,000 De todo tipo logístico 493 00:19:13,000 --> 00:19:14,000 Hasta que ya llegó un momento 494 00:19:15,000 --> 00:19:16,000 Los alemanes no fueron capaces 495 00:19:17,000 --> 00:19:18,000 De desplegar o de mover las reservas 496 00:19:19,000 --> 00:19:20,000 Y al final consolidaron la playa 497 00:19:21,000 --> 00:19:22,000 Y por ahí pudimos colarnos 498 00:19:23,000 --> 00:19:24,000 Eso funcionó así 499 00:19:25,000 --> 00:19:26,000 ¿Y por qué cuento todas estas cosas? 500 00:19:27,000 --> 00:19:28,000 Fijaros, nada de estas cosas 501 00:19:29,000 --> 00:19:30,000 Pero es que cuando estamos hablando 502 00:19:31,000 --> 00:19:32,000 De defensa activa 503 00:19:33,000 --> 00:19:34,000 De lo que estamos hablando 504 00:19:35,000 --> 00:19:36,000 No es tanto de herramientas 505 00:19:37,000 --> 00:19:38,000 No estamos hablando tanto 506 00:19:39,000 --> 00:19:40,000 De tecnologías ni de productos 507 00:19:41,000 --> 00:19:42,000 Estamos hablando de intenciones 508 00:19:43,000 --> 00:19:44,000 Y eso es lo importante 509 00:19:45,000 --> 00:19:46,000 Para el que crea que todas estas cosas 510 00:19:47,000 --> 00:19:48,000 Esto es chau chau de viejo 511 00:19:49,000 --> 00:19:50,000 Y esto ocurrió hace 80 años 512 00:19:51,000 --> 00:19:52,000 En la guerra mundial, madre mía 513 00:19:53,000 --> 00:19:54,000 No, no, no, en la última versión 514 00:19:55,000 --> 00:19:56,000 Que han sacado los rusos de su doctrina 515 00:19:57,000 --> 00:19:58,000 Se sigue contemplando un concepto 516 00:19:59,000 --> 00:20:00,000 De excepción que a nivel militar 517 00:20:01,000 --> 00:20:02,000 Siguen siendo importantes 518 00:20:03,000 --> 00:20:04,000 Y animan a todos los oficiales 519 00:20:05,000 --> 00:20:06,000 O jefes de unidad 520 00:20:07,000 --> 00:20:08,000 A que lo practiquen 521 00:20:09,000 --> 00:20:10,000 Como un mecanismo válido 522 00:20:11,000 --> 00:20:12,000 Y un método para poder conseguir 523 00:20:13,000 --> 00:20:14,000 Y alcanzar determinados objetivos 524 00:20:15,000 --> 00:20:16,000 ¿Vale? 525 00:20:17,000 --> 00:20:18,000 Y por si alguno no se fía 526 00:20:19,000 --> 00:20:20,000 Pues que sepáis también 527 00:20:21,000 --> 00:20:22,000 Que por ejemplo en el 2019 528 00:20:23,000 --> 00:20:24,000 Los británicos dentro de su escuela 529 00:20:25,000 --> 00:20:26,000 De ciberdefensa 530 00:20:27,000 --> 00:20:28,000 Crearon lo que es el 531 00:20:29,000 --> 00:20:30,000 Instituto Nacional de Derechos Humanos 532 00:20:31,000 --> 00:20:32,000 De Londres 533 00:20:33,000 --> 00:20:34,000 Y precisamente de lo que tratan es eso 534 00:20:35,000 --> 00:20:36,000 De desarrollar mecanismos 535 00:20:37,000 --> 00:20:38,000 Métodos, plataformas 536 00:20:39,000 --> 00:20:40,000 Cosas para poder engañar 537 00:20:41,000 --> 00:20:42,000 A los adversarios 538 00:20:43,000 --> 00:20:44,000 Y permitirles o impedirles 539 00:20:45,000 --> 00:20:46,000 El acceso a tus redes 540 00:20:47,000 --> 00:20:48,000 O por lo menos a las zonas 541 00:20:49,000 --> 00:20:50,000 Importantes de tu red 542 00:20:51,000 --> 00:20:52,000 Donde te pueden estar haciendo daño 543 00:20:53,000 --> 00:20:54,000 ¿Vale? 544 00:20:55,000 --> 00:20:56,000 O sea que esto está 545 00:20:57,000 --> 00:20:58,000 No solo es que sea antiguo 546 00:20:59,000 --> 00:21:00,000 Nadie conoce la red mejor que vosotros 547 00:21:01,000 --> 00:21:02,000 Nadie 548 00:21:03,000 --> 00:21:04,000 La habéis pensado vosotros 549 00:21:05,000 --> 00:21:06,000 La habéis dibujado vosotros 550 00:21:07,000 --> 00:21:08,000 Habéis hecho vosotros vuestra propia arquitectura 551 00:21:09,000 --> 00:21:10,000 Sabéis dónde está cada una de las piezas 552 00:21:11,000 --> 00:21:12,000 Esto es como cuando juegas un partido 553 00:21:13,000 --> 00:21:14,000 Y lo estás jugando en tu cancha 554 00:21:15,000 --> 00:21:16,000 No puedes perder 555 00:21:17,000 --> 00:21:18,000 Fijaros 556 00:21:19,000 --> 00:21:20,000 Que un adversario es 557 00:21:21,000 --> 00:21:22,000 Un adversario debería ser como el becario 558 00:21:23,000 --> 00:21:24,000 Que acaba de llegar a la empresa 559 00:21:25,000 --> 00:21:26,000 El becario que ha llegado a la empresa 560 00:21:27,000 --> 00:21:28,000 El primer día no sabe ni dónde está el cuarto de baño 561 00:21:29,000 --> 00:21:30,000 O tres horas 562 00:21:31,000 --> 00:21:32,000 Porque no sabe dónde está la fotocopiadora 563 00:21:33,000 --> 00:21:34,000 Ni te puede traer los cafés 564 00:21:35,000 --> 00:21:36,000 Él puede preguntar 565 00:21:37,000 --> 00:21:38,000 Pero el adversario no 566 00:21:39,000 --> 00:21:40,000 Lo tiene que averiguar solo 567 00:21:41,000 --> 00:21:42,000 Así es que lo que tienes que hacer es 568 00:21:43,000 --> 00:21:44,000 Impedirle a ese becario que acaba de entrar en tu red 569 00:21:45,000 --> 00:21:46,000 Que la conozca mejor que tú 570 00:21:47,000 --> 00:21:48,000 ¿Me explico? 571 00:21:49,000 --> 00:21:50,000 ¿Alguien ha visto el truco de esta transparencia? 572 00:21:52,000 --> 00:21:53,000 Estaba ahí desde el principio 573 00:21:54,000 --> 00:21:55,000 Ese es el snipper 574 00:21:56,000 --> 00:21:58,000 Que tienes que tener dentro de tu sistema de información 575 00:21:59,000 --> 00:22:00,000 Y al final lo que tú tienes que hacer es 576 00:22:01,000 --> 00:22:02,000 Convertir a tu adversario en el target 577 00:22:03,000 --> 00:22:05,000 No ser tú el target del adversario 578 00:22:06,000 --> 00:22:07,000 Por eso digo que es importante 579 00:22:08,000 --> 00:22:09,000 Que seamos nosotros los que recuperemos la iniciativa 580 00:22:10,000 --> 00:22:11,000 Y podamos empezar a pelear 581 00:22:12,000 --> 00:22:13,000 En otras condiciones dentro de nuestra red 582 00:22:14,000 --> 00:22:15,000 ¿Vale? 583 00:22:16,000 --> 00:22:17,000 Y ahora vamos a entrar a explicar exactamente 584 00:22:18,000 --> 00:22:19,000 Qué es esto de la defensa activa 585 00:22:20,000 --> 00:22:21,000 Veréis 586 00:22:22,000 --> 00:22:23,000 Básicamente lo que tenemos que tener es como siempre 587 00:22:24,000 --> 00:22:25,000 Un plan, una estrategia 588 00:22:26,000 --> 00:22:27,000 En este caso la estrategia la vamos a llamar campañas 589 00:22:28,000 --> 00:22:29,000 Tenemos que saber qué es lo que queremos hacer 590 00:22:30,000 --> 00:22:31,000 Para lo cual es muy importante 591 00:22:32,000 --> 00:22:33,000 Tener inteligencia de ciber amenazas 592 00:22:34,000 --> 00:22:35,000 De saber a qué es lo que nos estamos enfrentando 593 00:22:36,000 --> 00:22:37,000 A partir de ahí 594 00:22:38,000 --> 00:22:39,000 Podremos desplegar determinados servicios 595 00:22:40,000 --> 00:22:41,000 O determinadas herramientas 596 00:22:42,000 --> 00:22:43,000 Que son las que pensamos 597 00:22:44,000 --> 00:22:45,000 Que van a ser de interés para nuestro adversario 598 00:22:46,000 --> 00:22:47,000 Él va a tratar de llegar a ellas 599 00:22:48,000 --> 00:22:49,000 Pero por si acaso no llegan 600 00:22:50,000 --> 00:22:51,000 Lo importante debe ser 601 00:22:52,000 --> 00:22:53,000 Dejarle algunos señuelos 602 00:22:54,000 --> 00:22:55,000 Dejarle algunas migas de pan 603 00:22:55,000 --> 00:22:56,000 De las zonas que para nosotros interesen más 604 00:22:57,000 --> 00:22:58,000 ¿Vale? 605 00:22:59,000 --> 00:23:00,000 Esa es la parte maligna 606 00:23:01,000 --> 00:23:02,000 Que vamos a hacer dentro de esta actividad 607 00:23:03,000 --> 00:23:04,000 Alguno dirá 608 00:23:05,000 --> 00:23:06,000 Ya están hablando de HoneyNets 609 00:23:07,000 --> 00:23:08,000 Y HoneyPot 610 00:23:09,000 --> 00:23:10,000 Eso es más viejo 611 00:23:11,000 --> 00:23:12,000 Sí, claro, HoneyNets y HoneyPot 612 00:23:13,000 --> 00:23:14,000 Eso es muy viejo 613 00:23:15,000 --> 00:23:16,000 Lo que antiguamente se desplegaba 614 00:23:17,000 --> 00:23:18,000 No es lo que yo vengo a contaros 615 00:23:19,000 --> 00:23:20,000 Fijaros que antes 616 00:23:21,000 --> 00:23:22,000 Las Honey que se montaban normalmente 617 00:23:22,000 --> 00:23:23,000 Eran servicios muy concretos 618 00:23:24,000 --> 00:23:25,000 ¿Vale? 619 00:23:26,000 --> 00:23:27,000 Eran solamente a lo mejor 620 00:23:28,000 --> 00:23:29,000 Uno de una base de datos 621 00:23:30,000 --> 00:23:31,000 Servicios que además no tenían nada que ver 622 00:23:32,000 --> 00:23:33,000 Con lo que luego después 623 00:23:34,000 --> 00:23:35,000 Tú desplegabas en la red 624 00:23:36,000 --> 00:23:37,000 Con lo cual ahí aparecía una inconsistencia 625 00:23:38,000 --> 00:23:39,000 Vamos a ver, si este señor tiene todo en Java 626 00:23:40,000 --> 00:23:41,000 ¿Qué pinta aquí un servicio extraño? 627 00:23:42,000 --> 00:23:43,000 Era raro 628 00:23:44,000 --> 00:23:45,000 Eran servicios que además 629 00:23:46,000 --> 00:23:47,000 No tenían prácticamente ningún volumen 630 00:23:48,000 --> 00:23:49,000 No había tráfico 631 00:23:50,000 --> 00:23:51,000 El adversario llegaba y decía 632 00:23:52,000 --> 00:23:53,000 Interaccionando 633 00:23:54,000 --> 00:23:55,000 Al final tenía una pinta de señuelo 634 00:23:56,000 --> 00:23:57,000 Que no podía con ella 635 00:23:58,000 --> 00:23:59,000 Tenía muchos más problemas 636 00:24:00,000 --> 00:24:01,000 Tenía problemas porque esto normalmente 637 00:24:02,000 --> 00:24:03,000 Desplegaba afuera 638 00:24:04,000 --> 00:24:05,000 Y eso no nos interesa 639 00:24:06,000 --> 00:24:07,000 Nosotros queremos detectar a nuestro enemigo 640 00:24:08,000 --> 00:24:09,000 Cuando lo tenemos dentro 641 00:24:10,000 --> 00:24:11,000 Tenía más problemas 642 00:24:12,000 --> 00:24:13,000 Y es que muchos de esos servicios 643 00:24:14,000 --> 00:24:15,000 Encima eran vulnerables 644 00:24:16,000 --> 00:24:17,000 Con lo cual lo que estaba 645 00:24:18,000 --> 00:24:19,000 Era ofreciéndole una plataforma al adversario 646 00:24:20,000 --> 00:24:21,000 Desde la que luego después 647 00:24:22,000 --> 00:24:23,000 Se volvían para algo 648 00:24:24,000 --> 00:24:25,000 Pero realmente no es como funciona ahora 649 00:24:26,000 --> 00:24:27,000 Yo esto ha evolucionado un montón 650 00:24:28,000 --> 00:24:29,000 Fijaros, ha ido evolucionando 651 00:24:30,000 --> 00:24:31,000 Que desde los Honey Pop de los años 90 652 00:24:32,000 --> 00:24:33,000 O en los años 98 653 00:24:34,000 --> 00:24:35,000 Hemos pasado a Honines, por Honey Token 654 00:24:36,000 --> 00:24:37,000 Versiones nuevas distintas 655 00:24:38,000 --> 00:24:39,000 A lo que son las plataformas de decepción 656 00:24:40,000 --> 00:24:41,000 Eso es otra cosa diferente 657 00:24:42,000 --> 00:24:43,000 Mirad 658 00:24:44,000 --> 00:24:45,000 Una plataforma de decepción de verdad 659 00:24:46,000 --> 00:24:47,000 Tiene que ser distinta 660 00:24:48,000 --> 00:24:49,000 Tiene que basarse en los mismos servicios 661 00:24:50,000 --> 00:24:51,000 Y en los datos 662 00:24:52,000 --> 00:24:53,000 Para que el otro no se vuelva loco 663 00:24:54,000 --> 00:24:55,000 Diciendo, pero que me estás contando, ¿sabes? 664 00:24:56,000 --> 00:24:57,000 Debe cubrir todo nuestro entorno 665 00:24:58,000 --> 00:24:59,000 Porque lo que no cubramos 666 00:25:00,000 --> 00:25:01,000 ¿Qué es lo que va a ocurrir? 667 00:25:02,000 --> 00:25:03,000 Ahí se va a alojar, se va a alojar el adversario 668 00:25:04,000 --> 00:25:05,000 A verlo después como lo sacas 669 00:25:06,000 --> 00:25:07,000 O sea, es que tenemos que cubrir 670 00:25:08,000 --> 00:25:09,000 Todo lo que es nuestra red 671 00:25:10,000 --> 00:25:11,000 Tiene que ser flexible 672 00:25:12,000 --> 00:25:13,000 Tenemos que en un momento dado 673 00:25:14,000 --> 00:25:15,000 Dependiendo de cuál es el curso de acción 674 00:25:16,000 --> 00:25:17,000 Que tienen los distintos adversarios 675 00:25:18,000 --> 00:25:19,000 Nosotros poder tomar unas medidas o tomar otras 676 00:25:20,000 --> 00:25:21,000 Tiene que ser escalable 677 00:25:22,000 --> 00:25:23,000 Tiene que ser un sistema artificial 678 00:25:24,000 --> 00:25:25,000 Que piense por nosotros 679 00:25:26,000 --> 00:25:27,000 Y tenga ya programadas determinadas métodos 680 00:25:28,000 --> 00:25:29,000 O determinados procedimientos 681 00:25:30,000 --> 00:25:31,000 Con arreglo a lo que esté pasando 682 00:25:32,000 --> 00:25:33,000 Tiene que ser inteligente 683 00:25:34,000 --> 00:25:35,000 Y nos tiene que proporcionar inteligencia a nosotros 684 00:25:36,000 --> 00:25:37,000 Para conocer mejor cuál es el adversario 685 00:25:38,000 --> 00:25:39,000 Que tenemos delante 686 00:25:40,000 --> 00:25:41,000 Tiene que integrarse además con nuestras plataformas 687 00:25:42,000 --> 00:25:43,000 Con nuestros firewalls, con nuestros proxys 688 00:25:44,000 --> 00:25:45,000 Con los CDRs 689 00:25:46,000 --> 00:25:47,000 Para que si en un momento vea alguna cosa 690 00:25:48,000 --> 00:25:49,000 Pueda tomar decisiones inteligentes 691 00:25:50,000 --> 00:25:51,000 Y bloquear o contener o aislar 692 00:25:52,000 --> 00:25:53,000 Lo interesante es que lo que no puede ser 693 00:25:54,000 --> 00:25:55,000 Es que nos introduzca más riesgos 694 00:25:56,000 --> 00:25:57,000 Que ya tenemos bastantes 695 00:25:58,000 --> 00:25:59,000 Esto no puede ser un problema 696 00:26:00,000 --> 00:26:01,000 Tiene que ser una solución 697 00:26:02,000 --> 00:26:03,000 ¿Componentes que puede tener una solución de este estilo? 698 00:26:04,000 --> 00:26:05,000 Una solución ya profesional 699 00:26:06,000 --> 00:26:07,000 Pues obviamente lo que tiene es 700 00:26:08,000 --> 00:26:09,000 Componentes, si tú estás trabajando en la nube 701 00:26:10,000 --> 00:26:11,000 Tiene que tener componentes para la nube 702 00:26:12,000 --> 00:26:13,000 Tiene que tener componentes también 703 00:26:14,000 --> 00:26:15,000 De Thread Intelligent 704 00:26:16,000 --> 00:26:17,000 Para nosotros poder multiplicar las capacidades 705 00:26:18,000 --> 00:26:19,000 Las posibilidades que tenemos 706 00:26:20,000 --> 00:26:21,000 A nivel de servers, lo que tú tengas 707 00:26:22,000 --> 00:26:23,000 Servidores para poder alojar 708 00:26:24,000 --> 00:26:25,000 Un directorio activo, un LDAP 709 00:26:26,000 --> 00:26:27,000 Cualquier cosa de esas 710 00:26:28,000 --> 00:26:29,000 A nivel de network, tengo que ser capaz 711 00:26:30,000 --> 00:26:31,000 De reproducir switches, de reproducir routers 712 00:26:32,000 --> 00:26:33,000 Cualquier cosa 713 00:26:34,000 --> 00:26:35,000 ¿Qué tenemos en la red? 714 00:26:36,000 --> 00:26:37,000 Endpoint, por supuesto 715 00:26:38,000 --> 00:26:39,000 Pues entonces tendremos que tener 716 00:26:40,000 --> 00:26:41,000 Todos los modelos de endpoint 717 00:26:42,000 --> 00:26:43,000 Que podemos en un momento simular 718 00:26:44,000 --> 00:26:45,000 Lo mismo con la gente 719 00:26:46,000 --> 00:26:47,000 La gente también es parte activa de la red 720 00:26:48,000 --> 00:26:49,000 Sus credenciales, sus correos, sus llaves 721 00:26:50,000 --> 00:26:51,000 Todo lo que podamos utilizar 722 00:26:52,000 --> 00:26:53,000 Los datos necesarios 723 00:26:54,000 --> 00:26:55,000 Al punto al que a nosotros nos interesa 724 00:26:56,000 --> 00:26:57,000 ¿Vale? 725 00:26:58,000 --> 00:26:59,000 Al final, esto tienes que controlarlo 726 00:27:00,000 --> 00:27:01,000 Tienes que tenerlo automatizado 727 00:27:02,000 --> 00:27:03,000 Y sobre todo lo que nos tiene que dar 728 00:27:04,000 --> 00:27:05,000 Son muchos datos de telemetría 729 00:27:06,000 --> 00:27:07,000 Para tener visibilidad de lo que está ocurriendo 730 00:27:08,000 --> 00:27:09,000 Y además con tiempo suficiente 731 00:27:10,000 --> 00:27:11,000 Y además durante mucho tiempo 732 00:27:12,000 --> 00:27:13,000 ¿Vale? 733 00:27:14,000 --> 00:27:15,000 Más cosas 734 00:27:16,000 --> 00:27:17,000 Imaginaos lo que sería 735 00:27:18,000 --> 00:27:19,000 El tener que hacer tú eso manualmente 736 00:27:20,000 --> 00:27:21,000 Manualmente 737 00:27:22,000 --> 00:27:23,000 Tengo que logarme en mi sistema 738 00:27:24,000 --> 00:27:25,000 Tengo que aparentar que trabajo un poco 739 00:27:26,000 --> 00:27:27,000 Entrar en esta aplicación 740 00:27:28,000 --> 00:27:29,000 En esta base de datos 741 00:27:30,000 --> 00:27:31,000 Hacer rellenar este formulario 742 00:27:32,000 --> 00:27:33,000 Ahora voy a navegar un rato 743 00:27:34,000 --> 00:27:35,000 Me voy al marca, me voy al no sé qué 744 00:27:36,000 --> 00:27:37,000 Eso tienes que estar reproduciéndolo cada 20 minutos 745 00:27:38,000 --> 00:27:39,000 Y tienes que estar reproduciéndole las 8 horas del día 746 00:27:40,000 --> 00:27:41,000 Y eso día a día 747 00:27:42,000 --> 00:27:43,000 Así es que lo que necesitamos es 748 00:27:44,000 --> 00:27:45,000 Un sistema que lo que nos permita es 749 00:27:46,000 --> 00:27:47,000 Añadir un servicio 750 00:27:48,000 --> 00:27:49,000 Seleccionar un comportamiento 751 00:27:50,000 --> 00:27:51,000 Añadir las credenciales 752 00:27:52,000 --> 00:27:53,000 Y eso además nos va a permitir 753 00:27:54,000 --> 00:27:55,000 Que a lo largo de una campaña 754 00:27:56,000 --> 00:27:57,000 Y viendo cómo se comporta un adversario 755 00:27:58,000 --> 00:27:59,000 Tú tengas información suficiente 756 00:28:00,000 --> 00:28:01,000 Para poder influenciar sobre él 757 00:28:02,000 --> 00:28:03,000 ¿Qué es lo que te gusta? 758 00:28:04,000 --> 00:28:05,000 ¿A mí me gustan las bases de datos? 759 00:28:06,000 --> 00:28:07,000 Por otra parte, que te voy a dar bases de datos 760 00:28:08,000 --> 00:28:09,000 ¿Vale? 761 00:28:10,000 --> 00:28:11,000 Para que vayamos trabajando con ellos 762 00:28:12,000 --> 00:28:13,000 ¿Cómo sería un despliegue? 763 00:28:14,000 --> 00:28:15,000 Pues el despliegue es que tienes 764 00:28:16,000 --> 00:28:17,000 Que tener muchas cosas durante todo 765 00:28:18,000 --> 00:28:19,000 O sea, prácticamente 766 00:28:20,000 --> 00:28:21,000 En toda tu red tiene que haber cosas 767 00:28:22,000 --> 00:28:23,000 Simplemente dentro de sistemas reales 768 00:28:24,000 --> 00:28:25,000 Poner piezas 769 00:28:26,000 --> 00:28:27,000 Dentro de todos estos mecanismos 770 00:28:28,000 --> 00:28:29,000 Imaginaros que vosotros fuerais 771 00:28:30,000 --> 00:28:31,000 El dueño de seguridad de Carrefour 772 00:28:32,000 --> 00:28:33,000 Y que hay un tío que roba coches 773 00:28:34,000 --> 00:28:35,000 Pues si quieres ponerle trampas 774 00:28:36,000 --> 00:28:37,000 Pues vas a tener que poner no una 775 00:28:38,000 --> 00:28:39,000 Tendrás que poner unas cuantas 776 00:28:40,000 --> 00:28:41,000 Porque aunque solo sea por temas probabilísticos 777 00:28:42,000 --> 00:28:43,000 Tienes que hacer un despliegue de trampas 778 00:28:44,000 --> 00:28:45,000 Lo suficientemente razonable 779 00:28:46,000 --> 00:28:47,000 Como para que al final puedas 780 00:28:48,000 --> 00:28:49,000 Capturar al adversario en alguna de ellas 781 00:28:50,000 --> 00:28:51,000 ¿Vale? 782 00:28:52,000 --> 00:28:53,000 Pero lo importante es 783 00:28:54,000 --> 00:28:55,000 ¿Cuáles son los beneficios que vamos a obtener? 784 00:28:56,000 --> 00:28:57,000 Pensar que lo que vamos a hacer es 785 00:28:58,000 --> 00:28:59,000 Que vamos a detectar todas las amenazas 786 00:29:00,000 --> 00:29:01,000 Que son de alto riesgo 787 00:29:02,000 --> 00:29:03,000 Cuando digo de alto riesgo estoy hablando 788 00:29:04,000 --> 00:29:05,000 De grupos APT 789 00:29:06,000 --> 00:29:07,000 Que son los realmente que son peligrosos 790 00:29:08,000 --> 00:29:09,000 Pensar que si alguien 791 00:29:10,000 --> 00:29:11,000 Está utilizando una credencial 792 00:29:12,000 --> 00:29:13,000 Que solo yo conozco que existe 793 00:29:14,000 --> 00:29:15,000 Eso pasa a ser un evento 794 00:29:16,000 --> 00:29:17,000 De máxima importancia 795 00:29:18,000 --> 00:29:19,000 Eso pasa a ser un evento 796 00:29:20,000 --> 00:29:21,000 Que no es un falso positivo 797 00:29:22,000 --> 00:29:23,000 Que es un problema 798 00:29:24,000 --> 00:29:25,000 Y tengo algo que me lo estoy alertando 799 00:29:26,000 --> 00:29:27,000 Esto minimiza la tasa de falsos positivos 800 00:29:28,000 --> 00:29:29,000 Completa la visibilidad por supuesto 801 00:29:30,000 --> 00:29:31,000 Y además cubre completamente 802 00:29:32,000 --> 00:29:33,000 Todo lo que es el Kill Chain 803 00:29:34,000 --> 00:29:35,000 De ataques de las diferentes ATPs 804 00:29:36,000 --> 00:29:37,000 Porque fijaros 805 00:29:38,000 --> 00:29:39,000 De lo que estamos hablando además 806 00:29:40,000 --> 00:29:41,000 Son grupos organizados 807 00:29:42,000 --> 00:29:43,000 Que lo que hacen es seguir esta secuencia 808 00:29:44,000 --> 00:29:45,000 Y la secuencia es 809 00:29:46,000 --> 00:29:47,000 De 7 pasos de la Kill Chain 810 00:29:48,000 --> 00:29:49,000 Y además sabemos perfectamente 811 00:29:50,000 --> 00:29:51,000 Que nuestra actuación debería ser 812 00:29:52,000 --> 00:29:53,000 Más fácil es parar 813 00:29:54,000 --> 00:29:55,000 Menor va a ser el impacto 814 00:29:56,000 --> 00:29:57,000 Al que nos va a someter 815 00:29:58,000 --> 00:29:59,000 Y nuestro trabajo va a ser mucho más fácil 816 00:30:00,000 --> 00:30:01,000 En cada una de las 7 fases 817 00:30:02,000 --> 00:30:03,000 Nosotros podemos desplegar 818 00:30:04,000 --> 00:30:05,000 Y utilizar técnicas de decepción 819 00:30:06,000 --> 00:30:07,000 Por ejemplo en la parte de reconocimiento 820 00:30:08,000 --> 00:30:09,000 Podemos engañar al enemigo 821 00:30:10,000 --> 00:30:11,000 Es decir que tenemos una superficie 822 00:30:12,000 --> 00:30:13,000 De ataque diferente 823 00:30:14,000 --> 00:30:15,000 A la que nosotros realmente 824 00:30:16,000 --> 00:30:17,000 Estamos exponiendo hacia internet 825 00:30:18,000 --> 00:30:19,000 Podemos redirigirlo a zonas de la red 826 00:30:20,000 --> 00:30:21,000 Que no sean tan comprometidas 827 00:30:22,000 --> 00:30:23,000 ¿Vale? 828 00:30:24,000 --> 00:30:25,000 ¿Qué podemos hacerlo? 829 00:30:26,000 --> 00:30:27,000 Pues en la emprega lo mismo 830 00:30:28,000 --> 00:30:29,000 Desviar la entrega 831 00:30:30,000 --> 00:30:31,000 Podemos engañarle 832 00:30:32,000 --> 00:30:33,000 ¿Qué más podemos hacer? 833 00:30:34,000 --> 00:30:35,000 Obfuscar parte de la información 834 00:30:36,000 --> 00:30:37,000 Que en un momento podamos ofrecerle 835 00:30:38,000 --> 00:30:39,000 O que él nos pueda comprometer 836 00:30:40,000 --> 00:30:41,000 Podemos interferir dentro de sus operaciones 837 00:30:42,000 --> 00:30:43,000 Y desde luego en casos de mando y control 838 00:30:44,000 --> 00:30:45,000 Lo que tendríamos que tratar es 839 00:30:46,000 --> 00:30:47,000 Por lo menos tratar de retrasar 840 00:30:48,000 --> 00:30:49,000 Cada una de sus actividades 841 00:30:50,000 --> 00:30:51,000 Cada una de estas temas 842 00:30:52,000 --> 00:30:53,000 Aquí estamos utilizando siempre 843 00:30:54,000 --> 00:30:55,000 Tres matrices 844 00:30:56,000 --> 00:30:57,000 Las matrices de Mitre 845 00:30:58,000 --> 00:30:59,000 Que no solamente es la de ataque 846 00:31:00,000 --> 00:31:01,000 O sea Mitre tiene bastantes más matrices 847 00:31:02,000 --> 00:31:03,000 Y no solamente la de ataque 848 00:31:04,000 --> 00:31:05,000 ¿Vale? 849 00:31:06,000 --> 00:31:07,000 Estas son matrices que están 850 00:31:08,000 --> 00:31:09,000 Pensadas para defensores 851 00:31:10,000 --> 00:31:11,000 Pero están hechas desde el punto de vista 852 00:31:12,000 --> 00:31:13,000 De los atacantes 853 00:31:14,000 --> 00:31:15,000 Así es que si supiéramos realmente 854 00:31:16,000 --> 00:31:17,000 Cuáles son las amenazas que nosotros tenemos 855 00:31:18,000 --> 00:31:19,000 Sabríamos en qué tácticas y técnicas 856 00:31:20,000 --> 00:31:21,000 Son ellos expertos 857 00:31:22,000 --> 00:31:23,000 A este oso le gustan estas tácticas 858 00:31:24,000 --> 00:31:25,000 Vamos a utilizar estos 859 00:31:26,000 --> 00:31:27,000 Y vamos a ver qué mecanismos 860 00:31:28,000 --> 00:31:29,000 Tenemos para poder impedir su entrada 861 00:31:30,000 --> 00:31:31,000 Estas tácticas 862 00:31:32,000 --> 00:31:33,000 Estas tácticas de ataque 863 00:31:34,000 --> 00:31:35,000 O estas técnicas de ataque 864 00:31:36,000 --> 00:31:37,000 Se relacionan muy bien con otra de las matrices 865 00:31:38,000 --> 00:31:39,000 Que ha sacado Mitre 866 00:31:40,000 --> 00:31:41,000 Que no sé si la conocéis 867 00:31:42,000 --> 00:31:43,000 Que es la matriz de Defend 868 00:31:44,000 --> 00:31:45,000 Esa matriz tiene aproximadamente 869 00:31:46,000 --> 00:31:47,000 Ahora mismo dos años 870 00:31:48,000 --> 00:31:49,000 Y esta sí que es una matriz 871 00:31:50,000 --> 00:31:51,000 Para defensores 872 00:31:52,000 --> 00:31:53,000 Esa matriz tiene 873 00:31:54,000 --> 00:31:55,000 Técnicas importantes 874 00:31:56,000 --> 00:31:57,000 Como son toda la parte de bastionado 875 00:31:58,000 --> 00:31:59,000 De todos los equipos 876 00:32:00,000 --> 00:32:01,000 Toda la parte de detección 877 00:32:02,000 --> 00:32:03,000 La parte de aislamiento 878 00:32:04,000 --> 00:32:05,000 Pero fijaros 879 00:32:06,000 --> 00:32:07,000 Es que ya la propia Mitre 880 00:32:08,000 --> 00:32:09,000 Está dedicando todo un apartado 881 00:32:10,000 --> 00:32:11,000 De tácticas para todo lo que son 882 00:32:12,000 --> 00:32:13,000 Técnicas activas y técnicas de decepción 883 00:32:14,000 --> 00:32:15,000 Enteras 884 00:32:16,000 --> 00:32:17,000 Este también es muy chulo 885 00:32:18,000 --> 00:32:19,000 Pero no vamos a 886 00:32:20,000 --> 00:32:21,000 Hay otra más especializada 887 00:32:22,000 --> 00:32:23,000 Para todo lo que son 888 00:32:24,000 --> 00:32:25,000 Técnicas activas 889 00:32:26,000 --> 00:32:27,000 De defensa activa 890 00:32:28,000 --> 00:32:29,000 Y técnicas de decepción 891 00:32:30,000 --> 00:32:31,000 Fijaros que lo que tiene es 892 00:32:32,000 --> 00:32:33,000 Como dos tácticas en los extremos 893 00:32:34,000 --> 00:32:35,000 Que son las estratégicas 894 00:32:36,000 --> 00:32:37,000 Esta primera que es 895 00:32:38,000 --> 00:32:39,000 Todo lo que es para elaborar 896 00:32:40,000 --> 00:32:41,000 Preparar cuál va a ser tu estrategia 897 00:32:42,000 --> 00:32:43,000 Para pensar cómo van a ser las campañas 898 00:32:44,000 --> 00:32:45,000 Y la última 899 00:32:46,000 --> 00:32:47,000 Que es un poco para retroalimentar el sistema 900 00:32:48,000 --> 00:32:49,000 Y la próxima vez poder hacerlo mejor 901 00:32:50,000 --> 00:32:51,000 Con el intercambio de pelea 902 00:32:52,000 --> 00:32:53,000 Voy a tratar de descubrirte 903 00:32:54,000 --> 00:32:55,000 Dentro de mi red 904 00:32:56,000 --> 00:32:57,000 La de afectar 905 00:32:58,000 --> 00:32:59,000 Que es para poder interferir 906 00:33:00,000 --> 00:33:01,000 En todas aquellas cosas 907 00:33:02,000 --> 00:33:03,000 Que me estás haciendo 908 00:33:04,000 --> 00:33:05,000 Y fijaros que hay una táctica 909 00:33:06,000 --> 00:33:07,000 Que era elicit 910 00:33:08,000 --> 00:33:09,000 Yo no sabía que quería decir elicit 911 00:33:10,000 --> 00:33:11,000 Elicit quiere decir provocar 912 00:33:12,000 --> 00:33:13,000 Quiere decir sonsacar 913 00:33:14,000 --> 00:33:15,000 Y todas esas son tácticas 914 00:33:16,000 --> 00:33:17,000 Preparadas precisamente 915 00:33:18,000 --> 00:33:19,000 Para poder tomar ventajas 916 00:33:20,000 --> 00:33:21,000 Sobre los distintos adversarios 917 00:33:22,000 --> 00:33:23,000 Dependiendo del nivel 918 00:33:24,000 --> 00:33:25,000 De sofisticación 919 00:33:26,000 --> 00:33:27,000 De cada uno de nuestros adversarios 920 00:33:28,000 --> 00:33:29,000 O incluso la sofisticación nuestra 921 00:33:30,000 --> 00:33:31,000 Incluso también 922 00:33:32,000 --> 00:33:33,000 Del nivel de madurez que nosotros tengamos 923 00:33:34,000 --> 00:33:35,000 Dentro de nuestra organización 924 00:33:36,000 --> 00:33:37,000 Podemos ir a distintos modelos de defensa activa 925 00:33:38,000 --> 00:33:39,000 ¿Vale? 926 00:33:40,000 --> 00:33:41,000 Unos que sean simplemente detecciones básicas 927 00:33:42,000 --> 00:33:43,000 Hasta que vayamos a un modelo 928 00:33:44,000 --> 00:33:45,000 Donde de verdad 929 00:33:46,000 --> 00:33:47,000 Estemos en continuo enfrentamiento 930 00:33:48,000 --> 00:33:49,000 Con el adversario en un mano a mano 931 00:33:50,000 --> 00:33:51,000 Eso se puede hacer 932 00:33:53,000 --> 00:33:54,000 Yo os sugiero las siguientes 933 00:33:55,000 --> 00:33:56,000 Por ejemplo, una cosa que sería fácil de hacer 934 00:33:57,000 --> 00:33:58,000 Todos los que estéis aquí en el sistema 935 00:33:59,000 --> 00:34:00,000 ¿Qué es lo que estoy haciendo con esta sentencia? 936 00:34:01,000 --> 00:34:02,000 Estoy levantando un listener en un servidor 937 00:34:03,000 --> 00:34:04,000 Lo que estoy haciendo es levantar un netcat 938 00:34:05,000 --> 00:34:06,000 Estoy dando persistencia 939 00:34:07,000 --> 00:34:08,000 Para que cuando alguien conecte conmigo 940 00:34:09,000 --> 00:34:10,000 Yo lo pueda registrar 941 00:34:11,000 --> 00:34:12,000 Y para que además no aborte la comunicación 942 00:34:13,000 --> 00:34:14,000 Y lo que hago es que 943 00:34:15,000 --> 00:34:16,000 Desvío esa comunicación 944 00:34:17,000 --> 00:34:18,000 Y dejo registro dentro de un TXC 945 00:34:19,000 --> 00:34:20,000 ¿Problema que tiene? 946 00:34:20,000 --> 00:34:21,000 Yo ya prácticamente no tengo ninguna 947 00:34:22,000 --> 00:34:23,000 Pero estoy alertado, ¿eh? 948 00:34:24,000 --> 00:34:25,000 Eso ya es bastante importante 949 00:34:26,000 --> 00:34:27,000 Saber que en un momento dado 950 00:34:28,000 --> 00:34:29,000 Alguien ha tocado en ese puerto 951 00:34:30,000 --> 00:34:31,000 Eso ya es decir, ¡ostras! 952 00:34:32,000 --> 00:34:33,000 Jefe, tenemos un problema 953 00:34:34,000 --> 00:34:35,000 Alguien está enredando dentro de nuestra red 954 00:34:36,000 --> 00:34:37,000 Eso se puede hacer 955 00:34:38,000 --> 00:34:39,000 Esto es básicamente, esto es muy sencillo 956 00:34:40,000 --> 00:34:41,000 Lo puede hacer cualquier administrador de sistema 957 00:34:42,000 --> 00:34:43,000 Vamos a hacer algo más complicado 958 00:34:44,000 --> 00:34:45,000 Podemos hacer, por ejemplo 959 00:34:46,000 --> 00:34:47,000 Repartir una serie de credenciales 960 00:34:48,000 --> 00:34:49,000 Y lo podemos tener tanto en repositorios públicos 961 00:34:50,000 --> 00:34:51,000 En repositorios propios de la unidad 962 00:34:52,000 --> 00:34:53,000 O en repositorios incluso internos 963 00:34:54,000 --> 00:34:55,000 Dentro de la propia organización 964 00:34:56,000 --> 00:34:57,000 Y ahí podemos tener nuestras credenciales 965 00:34:58,000 --> 00:34:59,000 ¿Qué es lo que hay que tener? 966 00:35:00,000 --> 00:35:01,000 Lo que hay que tener es, vamos a ver 967 00:35:02,000 --> 00:35:03,000 Cuando un adversario se encuentra 968 00:35:04,000 --> 00:35:05,000 Un usuario y un login 969 00:35:06,000 --> 00:35:07,000 Antes, no sé, antes se corta una mano 970 00:35:08,000 --> 00:35:09,000 Que no utilizarlos 971 00:35:10,000 --> 00:35:11,000 Para eso los tiene, para probarlos 972 00:35:12,000 --> 00:35:13,000 Así es que lo que tenemos que hacer 973 00:35:14,000 --> 00:35:15,000 Es tenerlo preparado 974 00:35:16,000 --> 00:35:17,000 Una regla en un WAF 975 00:35:18,000 --> 00:35:19,000 O tener directamente programado cualquier cosa 976 00:35:20,000 --> 00:35:21,000 Para evitar que se ha utilizado 977 00:35:22,000 --> 00:35:23,000 Una contraseña y un usuario 978 00:35:24,000 --> 00:35:25,000 Que nosotros hemos puesto específicamente 979 00:35:26,000 --> 00:35:27,000 Para comprometer a un adversario 980 00:35:28,000 --> 00:35:29,000 Eso debería cantar en nuestras organizaciones 981 00:35:30,000 --> 00:35:31,000 E inmediatamente saltarnos una lenta 982 00:35:32,000 --> 00:35:33,000 Y por lo menos tenemos 983 00:35:34,000 --> 00:35:35,000 No tenemos visibilidad 984 00:35:36,000 --> 00:35:37,000 Pero tenemos detección 985 00:35:38,000 --> 00:35:39,000 Y eso también es importante 986 00:35:40,000 --> 00:35:41,000 Si miráis recursos en internet 987 00:35:42,000 --> 00:35:43,000 Vais a encontrar cosas chulas 988 00:35:44,000 --> 00:35:45,000 Por ejemplo, Kararitokens tiene una página web 989 00:35:46,000 --> 00:35:47,000 Donde tienes un montón de ejemplos 990 00:35:48,000 --> 00:35:49,000 Que tú te puedes descargar 991 00:35:50,000 --> 00:35:51,000 Tu página, tu página tú lo instalas 992 00:35:52,000 --> 00:35:53,000 Y se acabó 993 00:35:54,000 --> 00:35:55,000 ¿Qué hace este Javascript? 994 00:35:56,000 --> 00:35:57,000 Lo que hace es lo siguiente 995 00:35:58,000 --> 00:35:59,000 Y es que si alguien clona tu página 996 00:36:00,000 --> 00:36:01,000 Y la monta en otro sitio 997 00:36:02,000 --> 00:36:03,000 Normalmente con la intención 998 00:36:04,000 --> 00:36:05,000 De capturar credenciales 999 00:36:06,000 --> 00:36:07,000 ¿Qué es lo que pasa? 1000 00:36:08,000 --> 00:36:09,000 Que cuando alguien pide esa página 1001 00:36:10,000 --> 00:36:11,000 El Javascript comprueba 1002 00:36:12,000 --> 00:36:13,000 Y si la página no se encuentra 1003 00:36:14,000 --> 00:36:15,000 Alojada en el dominio 1004 00:36:16,000 --> 00:36:17,000 Donde debería estar 1005 00:36:18,000 --> 00:36:19,000 Inmediatamente le salta una alarma 1006 00:36:20,000 --> 00:36:21,000 Dice que ha clonado tu página 1007 00:36:22,000 --> 00:36:23,000 Se está utilizando en cualquier otro sitio 1008 00:36:24,000 --> 00:36:25,000 Y eso demuestra un interés real 1009 00:36:26,000 --> 00:36:27,000 De alguien por tu organización 1010 00:36:28,000 --> 00:36:29,000 Así que todo esto también es interesante 1011 00:36:30,000 --> 00:36:32,000 Ahora, si de verdad lo que tenemos es un problema 1012 00:36:33,000 --> 00:36:34,000 Y lo que tenemos es un adversario 1013 00:36:35,000 --> 00:36:36,000 Como Dios manda 1014 00:36:37,000 --> 00:36:38,000 Todas estas cosas no van a valer 1015 00:36:39,000 --> 00:36:40,000 Para eso tienes que montar 1016 00:36:41,000 --> 00:36:42,000 Una plataforma de excepción profesional 1017 00:36:43,000 --> 00:36:44,000 De las que ya existen 4 o 5 en el mercado 1018 00:36:45,000 --> 00:36:46,000 Que son bastante interesantes 1019 00:36:47,000 --> 00:36:48,000 ¿Qué es lo que tienes que hacer? 1020 00:36:48,000 --> 00:36:49,000 Un plan, tenemos que tener un propósito 1021 00:36:50,000 --> 00:36:51,000 Deberíamos tener 1022 00:36:52,000 --> 00:36:53,000 Y yo cada vez insisto más 1023 00:36:54,000 --> 00:36:55,000 En tener inteligencia de amenazas para tu organización 1024 00:36:56,000 --> 00:36:57,000 Tener una historia 1025 00:36:58,000 --> 00:36:59,000 Porque las historias es lo que va a permitir 1026 00:37:00,000 --> 00:37:01,000 Que nosotros enganchemos a nuestro adversario 1027 00:37:02,000 --> 00:37:03,000 Y organizarnos un plan 1028 00:37:04,000 --> 00:37:05,000 Y una vez que lo tengamos 1029 00:37:06,000 --> 00:37:07,000 Pues eso es así, preparamos el plan 1030 00:37:08,000 --> 00:37:09,000 Lo ejecutamos, monitorizamos 1031 00:37:10,000 --> 00:37:11,000 Qué es lo que estamos haciendo 1032 00:37:12,000 --> 00:37:13,000 Y luego después lo vamos mejorando 1033 00:37:14,000 --> 00:37:15,000 Vamos a hacer una propuesta 1034 00:37:16,000 --> 00:37:17,000 Por ejemplo, el plan 1035 00:37:18,000 --> 00:37:19,000 Es defender las joyas de la corona 1036 00:37:20,000 --> 00:37:21,000 Que en este caso va a ser 1037 00:37:22,000 --> 00:37:23,000 Nuestro director de activo 1038 00:37:24,000 --> 00:37:25,000 ¿Qué hemos dicho que tenemos que hacer? 1039 00:37:26,000 --> 00:37:27,000 Lo primero es pensar un plan 1040 00:37:28,000 --> 00:37:29,000 Un plan de esos que en cuanto 1041 00:37:30,000 --> 00:37:31,000 Se lo enseñes al adversario 1042 00:37:32,000 --> 00:37:33,000 Entra al trapo, claro 1043 00:37:34,000 --> 00:37:35,000 Lo que no puedes hacer es este plan 1044 00:37:36,000 --> 00:37:37,000 Este plan es un desastre 1045 00:37:38,000 --> 00:37:39,000 Porque nadie va a caer en una trampa de estas 1046 00:37:40,000 --> 00:37:41,000 Tiene que ser algo 1047 00:37:42,000 --> 00:37:43,000 Que es que el adversario lo vea 1048 00:37:44,000 --> 00:37:45,000 Y diga, esta es la mía 1049 00:37:46,000 --> 00:37:47,000 Ahora sí que sí 1050 00:37:48,000 --> 00:37:49,000 Como un campeón 1051 00:37:50,000 --> 00:37:51,000 Como un toro de lidia 1052 00:37:52,000 --> 00:37:53,000 Para adentro le va 1053 00:37:54,000 --> 00:37:55,000 ¿Qué es lo siguiente que tenemos que hacer? 1054 00:37:56,000 --> 00:37:57,000 Lo siguiente que tenemos que hacer es 1055 00:37:58,000 --> 00:37:59,000 Si yo sé cuáles son las tácticas y técnicas 1056 00:38:00,000 --> 00:38:01,000 Que están afectas al director de activo 1057 00:38:02,000 --> 00:38:03,000 Y además sé cuál es mi amenaza 1058 00:38:04,000 --> 00:38:05,000 Podemos hacer una selección 1059 00:38:06,000 --> 00:38:07,000 De cuáles van a ser las tácticas y técnicas 1060 00:38:08,000 --> 00:38:09,000 Que ese adversario va a emplear 1061 00:38:10,000 --> 00:38:11,000 Y una vez que tengamos 1062 00:38:12,000 --> 00:38:13,000 Cada una de esas identificadas 1063 00:38:14,000 --> 00:38:15,000 Cada una de esas tácticas y técnicas 1064 00:38:16,000 --> 00:38:17,000 Nos vamos a las otras matrices 1065 00:38:18,000 --> 00:38:19,000 Si va a utilizar esta táctica 1066 00:38:20,000 --> 00:38:21,000 Lógicamente si va a utilizar 1067 00:38:22,000 --> 00:38:23,000 Una táctica de persistencia 1068 00:38:24,000 --> 00:38:25,000 Pues asociados a persistencia 1069 00:38:26,000 --> 00:38:27,000 En atac 1070 00:38:28,000 --> 00:38:29,000 Tienes estas cuatro sub técnicas 1071 00:38:30,000 --> 00:38:31,000 Y a su vez esas cuatro sub técnicas 1072 00:38:32,000 --> 00:38:33,000 Deberían ser mitigadas 1073 00:38:34,000 --> 00:38:35,000 Con estos temas, otras actividades 1074 00:38:36,000 --> 00:38:37,000 Que te proponen en defend 1075 00:38:38,000 --> 00:38:39,000 O que te proponen en engage 1076 00:38:40,000 --> 00:38:41,000 ¿Vale? Ya las tenemos 1077 00:38:42,000 --> 00:38:43,000 Así es que ya más o menos 1078 00:38:44,000 --> 00:38:45,000 Sabemos cómo vamos a funcionar 1079 00:38:46,000 --> 00:38:47,000 Lo siguiente es preparar el decorado 1080 00:38:48,000 --> 00:38:49,000 De cuáles son los activos 1081 00:38:50,000 --> 00:38:51,000 Que tú vas a estar 1082 00:38:52,000 --> 00:38:53,000 Van a participar en todo este escenario 1083 00:38:54,000 --> 00:38:55,000 Y en toda esta película 1084 00:38:56,000 --> 00:38:57,000 Que estamos montando 1085 00:38:58,000 --> 00:38:59,000 ¿Vale? Que servidores, que estaciones de trabajo 1086 00:39:00,000 --> 00:39:01,000 Que red, que no sé 1087 00:39:02,000 --> 00:39:03,000 Como tengáis organizado 1088 00:39:04,000 --> 00:39:05,000 Eso ya no lo sé 1089 00:39:06,000 --> 00:39:07,000 Más o menos esto vendría a ser lo siguiente 1090 00:39:08,000 --> 00:39:09,000 Es, yo cojo un director de activo 1091 00:39:10,000 --> 00:39:11,000 Podría ser, ¿eh? 1092 00:39:12,000 --> 00:39:13,000 Dicen mira voy a crear una serie 1093 00:39:14,000 --> 00:39:15,000 De unidades organizativas 1094 00:39:16,000 --> 00:39:17,000 Eso es gratis, eso es barato 1095 00:39:18,000 --> 00:39:19,000 ¿Vale? ¿Qué tengo que crear? 1096 00:39:20,000 --> 00:39:21,000 Empiezo a montar mecanismo de defensa activa 1097 00:39:22,000 --> 00:39:23,000 Me creo elementos tipo PC 1098 00:39:24,000 --> 00:39:25,000 Meto ahí las contraseñas de los usuarios 1099 00:39:26,000 --> 00:39:27,000 Inyecto contraseñas y usuarios 1100 00:39:28,000 --> 00:39:29,000 En los procesos LSA 1101 00:39:30,000 --> 00:39:31,000 Cualquier cosa de estas, ¿vale? 1102 00:39:32,000 --> 00:39:33,000 ¿Qué más voy a montar? Voy a montar un servidor 1103 00:39:34,000 --> 00:39:35,000 Y en ese servidor voy a tener 1104 00:39:36,000 --> 00:39:37,000 Unas carpetas compartidas 1105 00:39:38,000 --> 00:39:39,000 Solo para todo el tema de excepción 1106 00:39:40,000 --> 00:39:41,000 El resto de la gente ni siquiera los va a ver 1107 00:39:42,000 --> 00:39:43,000 Dentro de esas campañas 1108 00:39:44,000 --> 00:39:45,000 Sí que voy a tener una serie de documentos 1109 00:39:46,000 --> 00:39:47,000 Más elementos que vienen 1110 00:39:48,000 --> 00:39:49,000 Organizados para que en el momento 1111 00:39:50,000 --> 00:39:51,000 En que alguien abra 1112 00:39:52,000 --> 00:39:53,000 A mí me salte una alarma, ¿vale? 1113 00:39:54,000 --> 00:39:55,000 Cosas que ya lleva implícita 1114 00:39:56,000 --> 00:39:57,000 La plataforma dentro 1115 00:39:58,000 --> 00:39:59,000 ¿Y qué es lo que espero que ocurra? 1116 00:40:00,000 --> 00:40:01,000 ¿Qué ocurra? Bueno, lo que esperamos que ocurra 1117 00:40:02,000 --> 00:40:03,000 Es que el usuario entre 1118 00:40:04,000 --> 00:40:05,000 O encuentre esas contraseñas 1119 00:40:06,000 --> 00:40:07,000 Y las trate de utilizar 1120 00:40:08,000 --> 00:40:09,000 Imagínonos que tú entras con una contraseña 1121 00:40:10,000 --> 00:40:11,000 Válida de un usuario 1122 00:40:12,000 --> 00:40:13,000 Válida porque es que es parte 1123 00:40:14,000 --> 00:40:15,000 De una unidad organizativa nuestra 1124 00:40:16,000 --> 00:40:17,000 ¿Qué va a ocurrir? 1125 00:40:18,000 --> 00:40:19,000 ¿Qué va a hacer? 1126 00:40:20,000 --> 00:40:21,000 Esto se pone ya emocionante 1127 00:40:22,000 --> 00:40:23,000 ¿Qué va a hacer? 1128 00:40:24,000 --> 00:40:25,000 Entrar en esos drivers de red 1129 00:40:26,000 --> 00:40:27,000 ¿Qué es lo que va a hacer? 1130 00:40:28,000 --> 00:40:29,000 Ver qué documentos hay 1131 00:40:30,000 --> 00:40:31,000 Va a abrir los documentos 1132 00:40:32,000 --> 00:40:33,000 Va a ver lo que tiene 1133 00:40:34,000 --> 00:40:35,000 Y aquí al final 1134 00:40:36,000 --> 00:40:37,000 En cada uno de estos pasos 1135 00:40:38,000 --> 00:40:39,000 Esto va a ir generando 1136 00:40:40,000 --> 00:40:41,000 Y reportando una serie de alertas 1137 00:40:42,000 --> 00:40:43,000 A tu sistema de control 1138 00:40:44,000 --> 00:40:45,000 O donde estás gestionando 1139 00:40:46,000 --> 00:40:47,000 Todo el tema de excepción 1140 00:40:48,000 --> 00:40:49,000 Tienes detección 1141 00:40:50,000 --> 00:40:51,000 Tienes visibilidad 1142 00:40:52,000 --> 00:40:53,000 Tienes telemetría para poder pararlo 1143 00:40:54,000 --> 00:40:55,000 Así es que, en definitiva 1144 00:40:56,000 --> 00:40:57,000 Ya casi un poco terminando 1145 00:40:58,000 --> 00:40:59,000 Hay que aprender de la historia 1146 00:41:00,000 --> 00:41:01,000 Napoleón decía eso 1147 00:41:02,000 --> 00:41:03,000 Si tu enemigo está metiendo la pata 1148 00:41:04,000 --> 00:41:05,000 Déjale que siga metiendo la pata 1149 00:41:06,000 --> 00:41:07,000 Anímale, ¿vale? 1150 00:41:08,000 --> 00:41:09,000 Vas por buen camino, chaval 1151 00:41:10,000 --> 00:41:11,000 Para adentro, ¿vale? 1152 00:41:12,000 --> 00:41:13,000 La forma que nosotros podemos tener 1153 00:41:14,000 --> 00:41:15,000 De controlar a ese adversario 1154 00:41:16,000 --> 00:41:17,000 Que está intentando entrar 1155 00:41:18,000 --> 00:41:19,000 Nuestra red debería ser un poco 1156 00:41:20,000 --> 00:41:21,000 Como la casa de los horrores 1157 00:41:22,000 --> 00:41:23,000 Para el adversario 1158 00:41:24,000 --> 00:41:25,000 Cuando entra, ¿vale? 1159 00:41:26,000 --> 00:41:27,000 ¿Qué es lo que tenemos que hacer? 1160 00:41:28,000 --> 00:41:29,000 La defensa activa, ya os digo 1161 00:41:30,000 --> 00:41:31,000 Esto ya no está tan centrado en herramientas 1162 00:41:32,000 --> 00:41:33,000 Está centrado en intenciones 1163 00:41:34,000 --> 00:41:35,000 En las ganas que tenemos 1164 00:41:36,000 --> 00:41:37,000 De llevar nosotros la iniciativa 1165 00:41:38,000 --> 00:41:39,000 Y ser los que estemos mandando 1166 00:41:40,000 --> 00:41:41,000 En nuestra red, en nuestra cancha, ¿vale? 1167 00:41:42,000 --> 00:41:43,000 Al final, pensar que lo que tenemos que hacer 1168 00:41:44,000 --> 00:41:45,000 Es comportamientos muchísimo más proactivos 1169 00:41:46,000 --> 00:41:47,000 Y no los reactivos 1170 00:41:48,000 --> 00:41:49,000 Si es que de alguna manera 1171 00:41:50,000 --> 00:41:51,000 Los sistemas estos de defensa activa 1172 00:41:52,000 --> 00:41:53,000 Te dan más detección 1173 00:41:54,000 --> 00:41:55,000 Te dan más visibilidad 1174 00:41:56,000 --> 00:41:57,000 Que no son lo mismo, ¿eh? 1175 00:41:58,000 --> 00:41:59,000 Son cosas distintas 1176 00:42:00,000 --> 00:42:01,000 Además eliminas todos los falsos positivos 1177 00:42:02,000 --> 00:42:03,000 Cuando estamos hablando de este tipo de cosas 1178 00:42:04,000 --> 00:42:05,000 Y esto sí que se va a poner ya de marcha 1179 00:42:06,000 --> 00:42:07,000 En todos los sistemas 1180 00:42:08,000 --> 00:42:09,000 En todos los centros de operaciones de seguridad 1181 00:42:10,000 --> 00:42:11,000 Los Next Generation 1182 00:42:12,000 --> 00:42:13,000 Ahora sí, ahora sí que son Next Generation 1183 00:42:14,000 --> 00:42:15,000 No los Firewall y los SOC, ¿de acuerdo? 1184 00:42:16,000 --> 00:42:17,000 Así es que 1185 00:42:18,000 --> 00:42:19,000 Una cosa más 1186 00:42:20,000 --> 00:42:21,000 Por muy buenas que penséis 1187 00:42:22,000 --> 00:42:23,000 Que son vuestras defensas 1188 00:42:24,000 --> 00:42:25,000 Siempre va a haber alguien 1189 00:42:26,000 --> 00:42:27,000 Que se pasee por encima de ellas 1190 00:42:28,000 --> 00:42:29,000 Así es que lo que tienes que hacer es 1191 00:42:30,000 --> 00:42:31,000 Con tu gente, con tus tácticas 1192 00:42:32,000 --> 00:42:33,000 Con tus procedimientos 1193 00:42:34,000 --> 00:42:35,000 Convertirte en un gato 1194 00:42:36,000 --> 00:42:37,000 Mucho más grande 1195 00:42:38,000 --> 00:42:39,000 Que el adversario que te está atacando 1196 00:42:40,000 --> 00:42:41,000 ¿Vale? 1197 00:42:42,000 --> 00:42:43,000 Y nada más, muchas gracias 1198 00:42:48,000 --> 00:42:52,000 Subtítulos realizados por la comunidad de Amara.org