Saltar navegación

DEFENSA PROYECTO MANUEL MOISES PINTAG

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 19 de enero de 2024 por Pedro Jose M.

6 visualizaciones

DEFENSA PROYECTO MANUEL MOISES PINTAG

Más información Transcripción

Descargar la transcripción

Buenas tardes, Moisés. Hoy, día 18 de enero, a las cinco y cuarto, estamos convocados a 00:00:00
través de jefatura del Departamento para la defensa del módulo profesional del Proyecto 00:00:10
del Ciclo Formativo de Grado Superior de Administración de Sistemas Informáticos en Red. 00:00:16
Te informo que esta grabación se usará en entorno cerrado de Educamadrid, con fines 00:00:22
educativos y solo estará a disposición de los profesores evaluadores en el aula virtual 00:00:28
para llevar a cabo la evaluación y la calificación de la defensa del proyecto. 00:00:34
En el aula virtual de proyectos, habéis sido informados de los criterios y la rúbrica 00:00:40
de calificación. El orden de la presentación del proyecto es el siguiente. Quince minutos 00:00:45
máximo para defender el proyecto y cinco minutos para preguntas por parte del tribunal. 00:00:52
Dicho esto, tu tiempo de exposición comienza a partir de este momento. Adelante y mucha 00:00:59
suerte. Tienes que compartir, ¿sí? 00:01:06
Vale, entiendo que sí lo ves, ¿no? 00:01:11
Sí, veo... 00:01:14
Bueno, se ve un poco... Un segundo... 00:01:15
Voy a compartir la pantalla, ¿vale? Porque no sé qué ocurre. 00:01:22
Sí, sí. 00:01:25
Y así terminamos antes. 00:01:26
Se ve un poco bizarro, pequeño el documento. 00:01:27
No sé por qué se ve así, déjame ver... Ahora entiendo que se verá mejor, ¿no? 00:01:31
Sí. 00:01:36
Ahí. 00:01:38
Ahí se ve. 00:01:41
Es que he intentado conectarme antes para justamente esto, pero no me dejaba iniciar la grabación. 00:01:42
Ahí más o menos se ve todo bien. Si no, tienes letra mucho más pequeña. 00:01:47
Bueno, es igual. Confírmame, por favor, que no veo la pantalla. 00:01:51
Sí, se ve. 00:01:55
Se ve completo, ¿verdad? 00:01:56
Sí, está en la red de grabación. 00:01:57
Bueno, pues... Voy a poner el inicio. 00:02:00
Bueno, la idea de este proyecto es otorgar a las pequeñas y medianas empresas 00:02:05
un proyecto basado en la gestión de vulnerabilidades, 00:02:15
el cual se ha apoyado con inteligencia artificial. 00:02:24
El contexto... Bueno, este es un poco el programa que he seguido para esta presentación. 00:02:29
El contexto general que se viene viendo en el sector es que las pymes son uno de los principales vectores de ataques 00:02:36
o de ciberataques desde hace mucho tiempo. 00:02:47
Debido a su escasez en temas de constitución de ciberseguridad o en otros casos como también afectación económica. 00:02:50
Algunas carecen de presupuesto, de conocimientos para poder abordar un problema como es actual, 00:03:06
como el de las vulnerabilidades y sus derivados. 00:03:15
Dicho sea de paso, es un eslabón más de toda la cadena de ataques o de amenazas. 00:03:20
Bueno, dicho esto, el objetivo principal es detallar e implementar un servicio 00:03:33
o un sistema de gestión de vulnerabilidades, ¿vale? 00:03:38
Pero con la particularidad que este sea apoyado por inteligencia artificial. 00:03:42
Es decir, nosotros vamos a construir un sistema de gestión de vulnerabilidades 00:03:48
para la cual vamos a necesitar que la inteligencia artificial nos ayude a contextualizar, 00:03:55
a entender y a priorizar que de todos nuestros activos propiamente dichos, 00:04:03
son más relevantes o susceptibles a sufrir un ciberataque. 00:04:15
¿Cómo lo vamos a hacer? ¿Cómo nos va a ayudar? 00:04:22
Pues esta solución integral para la identificación de las vulnerabilidades 00:04:26
se va a centrar específicamente en el RIEM. 00:04:32
Nuestro asistente realizará análisis avanzados y recomendaciones 00:04:37
y a partir de ahí, en base a una matriz de severidad de activos que le hemos dado, 00:04:42
podrá decirnos qué activo es más relevante sobre otro. 00:04:51
En pocas palabras, nos ayudará a realizar todo el ciclo de inventariado de activos, 00:04:59
planificación de análisis, ejecución, priorización, remediación y validación. 00:05:05
Todo el ciclo completo de gestión de vulnerabilidades. 00:05:10
Vale, pues la planificación de la implementación y el despliegue de mantenimiento 00:05:12
se han centrado en una serie de fases que hemos escrito aquí a continuación, 00:05:22
en donde hemos creado un GPT con un bot basado en OpenAI con la aplicación GPT Builder 00:05:28
y paralelamente hemos desplegado un laboratorio con una máquina virtual Kali 00:05:41
en la cual hemos configurado para lanzar esos escaneos. 00:05:50
La idea era emular un entorno de pymes, de pruebas, para poder realizar las validaciones necesarias. 00:05:59
Esta prueba de concepto se ha realizado en VMware, en donde hemos incluido diversos sistemas operativos obsoletos 00:06:10
como Windows XP, máquinas vulnerables como Metas Playable y sistemas operativos como Windows 10, Windows 11, 00:06:22
que son más actuales. 00:06:34
La configuración ha sido establecida en esta prueba de contexto un poco aposta para poder testear estas funcionalidades. 00:06:36
El sistema operativo, perdón, el sistema de escaneo con nuestro asistente. 00:06:51
Hemos elegido la suite de OpenBus de Greenbone, la cual es open source y nos permite con la versión Kali Linux 00:06:56
poder ejecutar estos escaneos y gestionar las vulnerabilidades. 00:07:07
Esta combinación de análisis automático se pretende que una vez vayamos utilizando esto en nuestro día a día 00:07:14
podamos realizar análisis automático con revisiones manuales para descartar los falsos positivos. 00:07:24
En nuestro asistente, utilizando la utilidad de GPT Builder, nos ha permitido poder integrar fuentes como la de NIST, 00:07:35
la base de datos del NIST, integrar informes o feeds de inteligencia de amenazas y tal, 00:07:48
como de campañas relevantes como telefónica y demás. 00:07:54
Y nos permite darle una orientación estratégica a los riesgos y unas recomendaciones para la mitigación de vulnerabilidades. 00:07:58
Aquí la idea era también, además, aparte de darle ese feed, poder integrarle, añadirle la base de conocimiento, 00:08:11
los informes de securización o de bastionado que pone a disposición el CCN CERT, 00:08:23
y que nos dicen cuáles son las buenas prácticas para poder fortificar un sistema operativo o una aplicación en concreto. 00:08:30
Bueno, empezamos con el proceso de instalación. El proceso de instalación es muy simple. 00:08:41
Previamente a esto tenemos que hacer un sudo apt-get update-upgrade para poder actualizar todos los complementos que tenemos en el repositorio. 00:08:46
Posteriormente de esto, empezamos instalando un sudo apt-get install openbus en nuestra máquina Kali. 00:08:57
Se empieza a instalar el servicio y una vez finalizado procedemos a realizar la instalación, 00:09:06
perdón, la puesta en marcha como tal, a iniciar el servicio y demás. 00:09:17
El servicio por debajo utiliza una base de datos SQL, 00:09:24
y empieza a crearnos también los certificados necesarios para poder realizar la ejecución de la aplicación. 00:09:29
Posteriormente, tenemos que verificar la integridad de la información que hemos podido descargar en esta instalación, 00:09:40
ya que durante el proceso de instalación se conecta con las bases de datos propias de GreenBow y descarga su propio feed de vulnerabilidades. 00:09:53
Una vez hemos verificado la integridad con este comando, con el sudo gmv-check setup, 00:10:03
posteriormente podemos iniciar el servicio con un sudo gmv-start. 00:10:12
Se nos abrirá un navegador que se llama localhost y en el cual podremos iniciar la sesión con el password que nos ha dado anteriormente. 00:10:21
Aquí cabe destacar que es recomendable guardar este password en un entorno seguro o un gestor de contraseña tipo keypass, 00:10:35
ya que si lo olvidamos o lo perdemos, no va a ser posible revertir esta situación y vamos a tener que desinstalar y instalar otra vez la utilidad. 00:10:43
Paralelamente, se ha ido construyendo e integrando nuestro asistente con gptBuilder. 00:11:00
GptBuilder es una utilidad que sacó OpenAI hace aproximadamente más de un mes, 00:11:09
donde nos da la posibilidad de crear nuestro bot y agregarle una personalidad, una funcionalidad específica y centrada en algo que tú quieras realizar. 00:11:18
Por ejemplo, hay una aplicación para el análisis de datos, en la cual tú le lanzas un fichero de texto en plano y te crea la board. 00:11:39
Yo le hemos brindado esa posibilidad a nuestro bot, le hemos alimentado primeramente con información relevante, 00:11:51
como te comentaba, las bases de datos de feed de vulnerabilidades del NIST, los informes de amenaza de las últimas semanas de Telefónica, 00:12:02
un fichero de vulnerabilidades conocidas que están siendo explotadas actualmente, en la última semana que configuré esto. 00:12:23
Y para evitar que la IA empiece a devolvernos información errónea o información que no tiene bajo su control, 00:12:33
le hemos embebido que hemos integrado la API del NIST, el NIST nos ofrece una API para poder configurarla, 00:12:45
y poder indicarle que solo se centre cuando no tiene la información en la consulta del NIST. 00:12:58
Adicionalmente, hemos configurado también que bajo ninguna circunstancia inscribe la instrucción exacta sobre cómo es el funcionamiento del bot, 00:13:07
para así asegurarnos que la privacidad de los datos, la privacidad de todos los inputs que le hemos ido dando, no la revele o que sea más complicado o compleja su extracción. 00:13:19
Paralelamente, una vez se haya instalado nuestra instalación de OpenBaaS, se procederá a realizar un escaneo. 00:13:36
OpenBaaS tiene, no sé si puedo aparte de la presentación, ¿puedo mostrar otra pantalla? 00:13:46
Bueno, OpenBaaS es una aplicación web en la cual hay diversos menús, pero para esta ocasión se lo vamos a utilizar la pestaña de configuración. 00:13:53
En primer lugar, lo que tenemos que hacer es configurarle los objetivos a escanear, es decir, los targets. 00:14:15
En el menú desplegable, nosotros podemos configurar esto. 00:14:24
En mi caso, en este caso como era una prueba puntual, lo que hemos hecho es darle un nombre al conjunto de targets, 00:14:27
y un comentario para saber de qué va ese análisis, ¿no? 00:14:38
Esto es una prueba de escaneo de buen análisis. 00:14:46
Luego, en un texto, he metido los objetivos en un texte y los he subido. 00:14:50
Posteriormente, una vez hayamos configurado los módulos del target, procedemos a realizar el scan. 00:14:59
Para ello, tenemos que crear una nueva tarea. 00:15:07
En scan, se nos habilitará debajo, en la pestaña tags, donde podemos programar y elegir qué tipo de escaneo de vulnerabilidades podemos realizar. 00:15:10
En este caso, he ejecutado una tarea sobre la red 192.168.231.0.24, y en teoría la idea es que se ejecute el escaneo sobre esa red. 00:15:21
Le digo qué targets son los que quiero escanear, y selecciono los targets que he seleccionado previamente. 00:15:36
Y le digo que si tiene que añadir los resultados a los activos, le digo que sí, y demás opciones las dejamos por defecto. 00:15:45
El tipo de escáner es open by default, y el tipo de configuración es fail and fast. 00:15:55
A partir de ahí, se crea la siguiente captura de aquí, en donde vemos que ya está configurado nuestro escaneo. 00:16:04
Y aquí se nos habilitará una serie de botones que contienen play, stop, editar y cloud. 00:16:16
Yo en este caso le he dado a play, y aquí, como puedes ver en esta captura, está al 7% y se está realizando el escaneo. 00:16:24
Aquí lo que ocurre es que, al haber puesto una máquina vulnerable como metasportable, que contiene muchas vulnerabilidades, pues me tardó más de lo habitual. 00:16:34
Y bueno, aquí en la captura siguiente ya podemos ver cuándo el escaneo se ha finalizado. 00:16:46
Y me duró aproximadamente unas 5 o 6 horas, para un total de 5, 6, 7 targets. 00:16:55
Y bueno, entiendo que es por el tema de recursos del equipo y demás. 00:17:04
La integración del reporte con nuestro asistente de ciberseguridad. Una vez hemos lanzado el escaneo, podemos descargar el reporte en formato SCV. 00:17:10
Y aquí la idea es que nuestro bot nos ayude a realizar el análisis de vulnerabilidades, análisis de inteligencia de amenazas en los activos, análisis de riesgo, obtención de KPIs y elaboración de un informe de vulnerabilidades. 00:17:30
Una vez le he aportado el informe, perdón, el export en texto SCV, en texto plano, les comento qué es lo que quiero hacer. 00:17:44
Le digo créame un informe de vulnerabilidades y empieza a realizar todo el proceso de elaboración de informes de vulnerabilidades. 00:17:56
Después puedo decirle créame gráficos para una PPT ejecutiva, me crea los diversos gráficos que puede llevar mi PPT. 00:18:05
Y eso es todo. En conclusiones, este asistente representa un enfoque diferente para la gestión de ciberseguridad en las pymes. 00:18:17
Está diseñado para evolucionarlo y adaptarlo considerando entrar a las plataformas en la nube. 00:18:31
Nos hemos apoyado en soluciones open source que nos permite que cualquier pyme pueda tener una solución o un asistente experto en ciberseguridad. 00:18:40
Y con ello minimizar los costes que es lo que realmente les impide acceder a este tipo de soluciones. 00:18:54
Las herramientas de vulnerabilidad son muy costosas y tener un experto de ciberseguridad también. 00:19:01
Esta solución es la ventaja competitiva que nos permite iniciarnos en un ámbito de la ciberseguridad para por lo menos saber cuál es el estado de nuestros activos. 00:19:09
Y saber en todo momento que tenemos diversos activos como páginas web, aplicaciones internas o servidores web. 00:19:22
Servidores que pueden ser potencialmente vulnerables y por lo menos tener controlado y saber cuál es nuestra superficie de ataque real. 00:19:32
Se trata de una infraestructura que puede ser escalable y versátil y que nos pueda proteger contra amenazas. 00:19:41
Existe la posibilidad de poder monetizar este GPT u ofrecer esto como un software como servicio. 00:19:51
Con el objetivo que sea automatizado y con la mínima intervención humana. 00:20:01
¿Alguna duda? 00:20:09
Tenemos algún minutito más y has comentado la posibilidad de presentarme algo fuera de la presentación. 00:20:11
¿Qué es lo que quieres presentar? 00:20:18
Sí. 00:20:20
Te quería presentar. 00:20:22
No sé si has estado viendo. 00:20:26
Sí, la veo. 00:20:28
Bueno, veo. No sé si he puesto el PowerPoint solo. 00:20:29
Vale. 00:20:32
Ahora no veo nada. 00:20:33
Ahora veo las conclusiones del PowerPoint. 00:20:35
Es que no es lo que estoy intentando enseñarte. 00:20:37
Es que puede ser que son las cosas compartidas en el PowerPoint. 00:20:41
Pantalla completa. 00:20:45
Te comparto la pantalla completa y terminamos antes porque... Vale. 00:20:49
La idea es... 00:20:57
Perdona que he cerrado esto. 00:21:01
Vale. 00:21:05
Aquí tengo un reporte de vulnerabilidades que me saqué de Ben Bass. 00:21:09
Una vez lanzamos los escaneos, 00:21:15
esto es todo el reporte que me aparece. 00:21:19
Es decir, cuando un cliente nos solicita un informe a medida, las aplicaciones como Ben Bass o Qualys y tal, 00:21:21
Tenable tienen sus propios informes que son ya predefinidos, preestablecidos por las compañías, 00:21:27
pero nunca o casi nunca se han publicado. 00:21:33
Y eso es lo que yo quería mostrarles. 00:21:37
Hay clientes que nos requieren un informe específico porque quieren de un determinado formato. 00:21:41
Y como analista que he sido de vulnerabilidades, pues esto cuesta tiempo. 00:21:45
Y sobre todo, trabajo en poder dar una versión válida a los clientes sobre qué tipo de informe se ajusta más a sus necesidades. 00:21:49
El objetivo de este trabajo también fue enfocado en ese sentido. 00:21:55
De poder hacer con un simple arrastrado de fichero, 00:21:59
poder decirle a las aplicaciones, 00:22:03
¿Cuál es el tipo de informe que necesitan? 00:22:07
¿Cuál es el tipo de informe que necesitan? 00:22:11
¿Cuál es el tipo de informe que necesitan? 00:22:15
¿Cuál es el tipo de informe que necesitan? 00:22:19
Poder decirle al asistente que nos pueda generar un informe. 00:22:23
Un informe básico, un informe ejecutivo y que con ello 00:22:27
poder crear cualquier tipo de gráfica, 00:22:31
cualquier tipo de análisis 00:22:35
y poder darle 00:22:39
al cliente una solución válida. 00:22:43
En este sentido, en un momento hemos cargado una matriz de riesgo de activos, 00:22:47
es decir, ¿Cuáles de mis activos son más importantes? 00:22:51
Yo tengo 7 activos. ¿Cuáles de los 7 activos son más prioritarios para realizar esta corrección? 00:22:55
Esto me los cruza con un fichero 00:22:59
de vulnerabilidades conocidas que están siendo explotadas en este mes 00:23:03
y posteriormente un informe 00:23:07
de análisis de la situación 00:23:11
en la última semana del estado de la seguridad a nivel general. 00:23:15
Esto me lo cruza y a partir de ahí me tiene que dar 00:23:19
por ejemplo 00:23:27
los activos 00:23:31
vulnerables. 00:23:39
Lo que hace por detrás el asesor es analizar 00:23:49
con Python 00:23:53
analiza la matriz de riesgo y posteriormente 00:23:57
empieza a leer el campo ocultación de riesgo. 00:24:01
Esto es habitual. Se nota que esto recién está 00:24:09
comenzando pero él te da alternativas 00:24:13
aquí lo tengo. 00:24:27
Aquí le comento 00:24:35
que hay una instrucción que le recuerdo que está 00:24:39
construido con una instrucción, realizar informes detallados de vulnerabilidades 00:24:43
y que este es el 00:24:47
tipo de reporte que tiene que realizar. 00:24:51
Le aporto el fichero y le digo 00:24:55
que me cree un informe de vulnerabilidades y me crea 00:24:59
el informe ejecutivo, me da los activos 00:25:03
con más vulnerabilidades, una tabla detallada de vulnerabilidades, 00:25:07
unas recomendaciones de seguridad y 00:25:11
una evaluación de riesgo. Posteriormente le puedo pedir 00:25:15
que realice una tabla sobre las vulnerabilidades que tengo en mis activos. 00:25:19
Es decir, una tabla que yo pueda copiar y pegar y llevar a un correo. 00:25:23
También le puedo decir, créame un dashboard 00:25:27
con la severidad de mis vulnerabilidades, 00:25:31
créame unas métricas y 00:25:35
aquí también le puedo decir que me diga 00:25:39
el listado de las noticias de seguridad más relevantes 00:25:43
durante la última semana. 00:25:47
Aquí, por ejemplo, como analista le pido 00:25:51
que me genere una alerta sobre una vulnerabilidad que acaba de 00:25:55
conocerse su explotabilidad para poder informar 00:25:59
a los equipos pertinentes dentro de una organización 00:26:03
y demás. Le digo, dame una nota sobre este SUV 00:26:07
y me empieza a dar automáticamente toda la información 00:26:11
obtenida del list y me la da en este formato. 00:26:15
Porque antes, anteriormente, yo le he dicho 00:26:19
en la programación del bot como es el formato que quiero. 00:26:23
Esta información la saca directamente del list y 00:26:27
también me saca la referencia de Microsoft 00:26:31
y las recomendaciones. Como analista, 00:26:35
en el pasado esto era consultar 00:26:39
miles de blogs de seguridad, miles 00:26:43
de list, propiamente dicho. 00:26:47
Es decir, la posibilidad de estas herramientas 00:26:51
basadas en inteligencia artificial es que nos permiten 00:26:55
poder controlar 00:26:59
o poder crearte un repositorio común 00:27:03
en el cual tú puedas ir moldeando acorde a tus necesidades. 00:27:07
Por ejemplo, yo lo he hecho en base a un asesor de ciberseguridad, 00:27:11
un asesor de vulnerabilidad, solamente enfocado a vulnerabilidad, pero podríamos hacer 00:27:15
uno de ciberseguridad de verdad que se pueda, que me pueda 00:27:19
subirle todas las, por ejemplo, como comentábamos, a todos los informes de inteligencia 00:27:23
que hace el INCIBE o el 00:27:27
o el CCNSR, el Centro Criptológico Nacional 00:27:31
en donde tenemos todos los actores de amenaza que están 00:27:35
siendo, las amenazas que están siendo actualmente 00:27:39
explotadas actualmente y con eso pues tener, 00:27:43
llevar a otro nivel la seguridad de nuestras pequeñas y medianas 00:27:47
empresas que son las más perjudicadas, que son las que más sufren esto 00:27:51
y que a veces pues no salen ni en prensa ni en nada porque no tienen los medios 00:27:55
y porque probablemente han provocado una gran disrupción en el negocio. 00:27:59
Tiempo de la presentación con bastante. Llevamos ya 00:28:03
28 minutos, así que corto la grabación. 00:28:07
Sí. 00:28:11
Idioma/s:
es
Autor/es:
PEDRO JOSÉ MARTÍNEZ
Subido por:
Pedro Jose M.
Licencia:
Todos los derechos reservados
Visualizaciones:
6
Fecha:
19 de enero de 2024 - 10:03
Visibilidad:
Clave
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
28′ 15″
Relación de aspecto:
1.83:1
Resolución:
1256x688 píxeles
Tamaño:
72.58 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid