Activa JavaScript para disfrutar de los vídeos de la Mediateca.

Ciberjueves de EducaMadrid: "Mentirosos Compulsivos" Emilio Rico Ruiz

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 1 de marzo de 2023 por EducaMadrid

57 visualizaciones

Más información Transcripción

Descargar la transcripción

En este vídeo vamos a presentar a Emilio Rico, coronel de caballería de la Reserva 00:00:00

Es diplomado en Informática Militar, máster en Dirección de Sistemas de Información y Telecomunicación 00:00:18

Apasionado de la tecnología y la seguridad, ha estado destinado en el Centro de Sistemas y Tecnologías de la Información y las Comunicaciones, el TESDIC 00:00:31

Hemos estado antes comentándolo en el café con nuestro subdirector del Ministerio de Defensa y del Mando Conjunto del Ciberespacio, el MCC 00:00:39

Actualmente es asesor de ciberseguridad en el grupo TRC, que es donde está trabajando actualmente 00:00:50

Y bueno, viene a darnos una charla de Mentirosos Compulsivos sobre ciberseguridad 00:00:56

Espero que os guste a todos y que empiece a calar más a fondo todo el tema de ciberseguridad 00:01:02

No solo a nivel de los técnicos, que sí que están más comprometidos con el tema de la ciberseguridad y lo ven día a día 00:01:09

Sino pues para nuestros mortales que no estamos tan metidos en esos temas, que vayamos haciendo conciencia 00:01:17

Porque al final uno de los eslabones más débiles son los usuarios 00:01:25

Entonces tenemos que tener conciencia de que la ciberseguridad es importante 00:01:28

Y nada más, muchas gracias Alfonso 00:01:34

Muy bien, pues buenos días a todo el mundo 00:01:39

Muchas gracias a Fernando, a Alfonso, a David, que fue el que propuso para dar esta charla 00:01:45

Es un placer la verdad que estar aquí con todos vosotros sin educar a Madrid 00:01:50

Que tampoco lo conocía yo mucho y hablando un poco con la gente me ha sorprendido 00:01:53

De la cantidad de servicios que dais a tanta gente dentro de la comunidad 00:01:59

Me parece que es un trabajo fantástico 00:02:03

Y como decía Alfonso, soy Coronel Adolfo, perdón, soy Coronel La Reserva 00:02:05

Y además ahora últimamente también ejerzo muchas veces de ponente en charlas de ciberseguridad 00:02:11

He estado en Navaja Negra, he estado en la jornada del CCNC 00:02:16

Estuve en Rutes el año pasado y vuelvo a repetir este año otra vez 00:02:20

Con el track de administraciones públicas 00:02:24

O sea que, bueno, más o menos la verdad que estoy entretenido, bastante entretenido 00:02:27

Yo creo que es un tema que es realmente apasionante 00:02:30

Cuando te pones a jugar con estos aspectos que hay dentro de ciberseguridad 00:02:34

En el mundo en el que estamos viviendo ahora mismo, ¿vale? 00:02:40

Fijaros, cuando estaba preparando esta charla 00:02:43

Estuve barajando algunos términos y estuve leyendo cosas 00:02:46

Encontré un término que me gustó mucho y que hacía muchísimo tiempo que no lo encontraba 00:02:49

Que era el Dewell Time 00:02:54

Y Dewell Time lo que quiere decir es tiempo de permanencia 00:02:56

Yo no sé si habéis estado en la parte de desarrollo, en la parte de marketing 00:03:00

En la parte de servicios web, ese término se utiliza mucho 00:03:04

Porque el Dewell Time para los de marketing de páginas web es fundamental 00:03:07

Ellos llevan un control exhaustivo de cuando alguien entra en tu página 00:03:11

Y el tiempo de permanencia de esa página 00:03:16

Porque está claro que cuanto más tiempo permanezcan en tu página 00:03:17

Y más estén navegando 00:03:22

Las probabilidades de que tú les compres un servicio 00:03:24

O un producto, un viaje, ropa, cualquier cosa 00:03:27

Son mayores 00:03:30

Y eso es así 00:03:32

Esto ahora ya lo podemos también utilizar ahora además 00:03:34

En términos también de ciberseguridad, ¿vale? 00:03:36

En términos de ciberseguridad la cosa además ha cambiado mucho en estos años 00:03:39

Fijaros, antes por ejemplo, llegaba un equipo adversario 00:03:43

Te soltaban un ransomware, intentaban detonarlo 00:03:45

Te hacían puré la red y se acabó 00:03:49

Pero eso ahora ya no funciona así 00:03:51

Ahora el adversario lo que hace es 00:03:53

Entra en la red de la manera que pueda 00:03:55

Una vez que está ahí se mueve lateralmente 00:03:58

Escala privilegios 00:04:00

Se dedica a rastrear, a mirar todo lo que tienes 00:04:02

A abrir cajones, a cerrar puertas, a ver lo que hay 00:04:04

Trata de filtrar toda la información 00:04:07

Si puede, lo que hace es extorsionarte 00:04:09

Y luego de premio también te vuelve a caer el ransomware 00:04:12

Y así es como funcionan ahora los grupos APT actuales, ¿vale? 00:04:15

¿Qué problema tenemos? 00:04:19

Pues el problema es que, aunque parezca mentira 00:04:21

Y cada vez le dediquemos más importancia al tema de la seguridad 00:04:24

La realidad es que en muchas ocasiones estamos perdiendo la batalla 00:04:27

Todavía no están, los informes del 2022 están apareciendo ahora 00:04:30

Así es que la información que os estoy pasando 00:04:34

Son los informes del año pasado 00:04:36

Pero por ejemplo uno interesante que es el de Ponemon 00:04:38

Contratado por IBM 00:04:40

Lo que te dice es que 00:04:42

El tiempo de permanencia de un adversario dentro de tu red 00:04:43

Es de 287 días 00:04:46

Y ya no es que sea mucho 00:04:48

Es que encima es peor que las cifras que teníamos anteriormente 00:04:50

Es decir, en años anteriores las cifras eran de 280, 270 días 00:04:53

O sea, es que estamos perdiendo 00:04:58

No solo estamos perdiendo, eso significa 00:05:00

Que el daño que nos están causando dentro de nuestros sistemas 00:05:02

O a la empresa que lleva este negocio 00:05:05

Se incrementa en un 10% 00:05:07

Fijaros vosotros que además sois técnicos 00:05:09

Y que os dedicáis al tema de sistemas 00:05:11

Si tú tienes un adversario 287 días en la red 00:05:13

Imaginaros la cantidad de backups 00:05:18

En los que posiblemente tienes el malware 00:05:22

O tienes el mecanismo de persistencia 00:05:26

Es decir, tú empiezas a restaurar 00:05:28

Cuando te has dado cuenta del problema 00:05:30

Un backup de hace un mes y no has conseguido nada 00:05:32

Porque el mecanismo de persistencia 00:05:34

Lo vuelves a meter otra vez dentro de tu red 00:05:36

O el exploit que te hayan podido poner 00:05:38

Esto es un problema super duro 00:05:41

Entonces, ¿qué es lo que ocurre? 00:05:43

Yo lo que creo es que en los últimos años 00:05:45

La gente que nos dedicamos a ciberseguridad 00:05:48

Que le hemos dado mucha importancia 00:05:50

A todos los temas, por ejemplo, de protección 00:05:52

Y al tema de resiliencia 00:05:55

Nos hemos equivocado un poco 00:05:57

Cuando tú tienes un framework como el del NIST 00:05:59

Donde tienes cinco funciones de seguridad 00:06:02

No vale que solamente pongas el foco en dos de ellas 00:06:04

Si solo pones en protección 00:06:08

Y pones en recuperación 00:06:10

Estás olvidando otras que son importantes 00:06:11

Como es, por ejemplo, el tema de detección 00:06:14

Y el tema de respuesta 00:06:17

Yo creo que tú tienes que balancear 00:06:19

Todas tus oportunidades 00:06:21

Y poder desarrollar las competencias 00:06:23

En cualquiera de esas cinco funciones 00:06:25

¿Por qué creo yo que esto está pasando? 00:06:27

Pues veréis 00:06:30

Lo primero es porque el mundo cambia 00:06:32

A una velocidad que es de vértigo 00:06:34

Yo vengo de la parte de arriba 00:06:36

Y estamos ahora ya viviendo en la parte de abajo 00:06:38

Tradicionalmente 00:06:41

¿Qué era lo que tenían las empresas antes? 00:06:43

Pues antes las empresas tenían 00:06:45

Pues tenían un antivirus 00:06:47

Y tenían un firewall 00:06:49

¿Y qué es lo que tienen ahora? 00:06:51

Tienen un antivirus y tienen un firewall 00:06:53

Bueno, son Next Generation Firewalls 00:06:55

Me da igual que sean Next Generation 00:06:57

Quiere decir que el paradigma 00:06:59

O la forma en que abordamos los temas de seguridad 00:07:01

Pues en ese sentido tampoco ha cambiado mucho 00:07:03

Fijaros si ha cambiado la cosa 00:07:05

En 1991 00:07:07

Linus Torvald saca su primera versión de Linus 00:07:08

Y el kernel de Linus 00:07:11

Está escrito con 10.235 líneas de código 00:07:13

Ahora mismo cualquier distribución de Linus 00:07:17

Que tú te bajas 00:07:20

No tiene menos de 27 millones 00:07:22

De líneas de código 00:07:24

Son muchas líneas de código 00:07:26

Donde es muy fácil que se pasen cosas 00:07:28

Donde alguien puede encontrar una brecha 00:07:30

Donde se pueden utilizar determinados mecanismos 00:07:32

Para hacer otras cosas distintas 00:07:34

Para las que estaban programadas 00:07:36

¿Qué más cosas están ocurriendo en los últimos años? 00:07:38

Pues que esto es una locura 00:07:41

Si es que esto ha cambiado un montón 00:07:43

Fijaros ahora con la pandemia 00:07:45

Cogíamos a la gente y la mandábamos a casa 00:07:47

Ahora la volvemos a meter para adentro 00:07:49

Introducimos el tema de los móviles 00:07:51

Introducimos accesos remotos 00:07:53

Yo no sé por ejemplo 00:07:55

Ya me habéis dicho que tenéis prácticamente 00:07:57

Un millón de usuarios 00:07:59

No sé, un millón y pico 00:08:01

Fijaros por ejemplo lo que puede ser 00:08:03

Vamos a renovar los equipos 00:08:04

Cada cinco años aproximadamente 00:08:06

Eso significa renovar tu parque 00:08:08

Pues cada, no lo sé 00:08:10

Si tenéis repartidos por el mundo 00:08:12

Yo no sé cuántos 00:08:14

Lo voy a hacer con cifras más fácil 00:08:16

Las del Ministerio de Defensa por ejemplo 00:08:18

Si tienes 100.000 estaciones de trabajo 00:08:20

Y tienes que renovarlas cada cinco años 00:08:22

Tienes que renovar un parque 00:08:24

Permanentemente del 20% 00:08:26

El 20% de 100.000 son 20.000 equipos 00:08:28

20.000 altas, 20.000 bajas 00:08:30

Todos los días tienes un montón de problemas 00:08:32

Tus inventarios es imposible 00:08:34

Que los tengas al día 00:08:36

Cuando estás utilizando ese tipo de volúmenes 00:08:38

Entonces qué es lo que ocurre 00:08:40

Pues que al final un adversario 00:08:42

Que se tacó la ventura 00:08:44

Mientras mantenga un perfil bajo 00:08:46

Mientras se mueva sigilosamente 00:08:48

Pues va a pasar desapercibido 00:08:50

Porque es difícil de cazarlo 00:08:52

¿Qué más ocurre? 00:08:54

Ocurre que sí que estamos poniendo 00:08:56

Muchos mecanismos de seguridad 00:08:58

Venga, EDRS, ahora ponemos IDS, IPS 00:09:00

Un montón, más Firewall 00:09:02

Un montón de mecanismos 00:09:04

Que no hay forma de tratarlos 00:09:06

Podríamos hacer una competición 00:09:08

A ver quién genera más eventos 00:09:10

Yo genero 10.000 eventos por segundo 00:09:12

Pues yo 30.000 00:09:14

Es igual 00:09:16

Si el problema es que lo que tenemos que hacer 00:09:18

Es sacar de partido los eventos que generamos 00:09:20

Y sacarle partido de tal manera 00:09:22

Que sí que nos den información 00:09:24

Porque cuando tenemos millones y millones de eventos 00:09:26

El problema es que 00:09:28

Esos eventos que sí que son importantes 00:09:30

Pero que son en una cuantía muy pequeña 00:09:32

En cambio, ¿qué es lo que ocurre? 00:09:34

Que con millones de eventos 00:09:36

Lo que tenemos es que 00:09:38

El personal que está mirando el SIEM 00:09:40

No le da la vida 00:09:42

Es que al final tiene una fatiga 00:09:44

A la hora de estar viendo cosas 00:09:46

Que es imposible que pueda encontrar 00:09:48

Los que de verdadmente le importan 00:09:50

Así es que al final 00:09:52

El Wally no estaba en la otra transparencia 00:09:54

El Wally estaba aquí 00:09:56

Porque se nos ha colado 00:09:58

Es que no hemos podido atender 00:10:00

Lo que de verdad sería importante 00:10:02

Es que no hay involucrado malware 00:10:04

Lo que sí que hay es 00:10:06

Brechas de credenciales 00:10:08

Y con esas brechas de credenciales 00:10:10

Los adversarios entran en tu red 00:10:12

Brechas que se venden en todas partes 00:10:14

Así que los enemigos no hacen un break-in 00:10:16

Hacen un log-in 00:10:18

Y se meten dentro de tu red 00:10:20

Y a partir de ahí 00:10:22

Se están moviendo con técnicas de leaving of the land 00:10:24

Utilizando PowerShell 00:10:26

Utilizando comandos de sistema operativo 00:10:28

Haciendo cosas normales y corrientes 00:10:30

Que no detectan precisamente nuestros sistemas 00:10:32

Nuestros comportamientos 00:10:34

Que un administrador de red 00:10:36

Con lo cual te estás perdiendo un montón de ellos 00:10:38

Ahora, leaks de información y de credenciales 00:10:40

Es todos los días 00:10:42

Y aparecen a millones 00:10:44

Así es que yo creo que estamos perdiendo la partida 00:10:46

Y en ese sentido sí, la estamos perdiendo 00:10:48

Fijaros 00:10:50

¿Cuántas veces, cuántas veces 00:10:52

Alguno de vosotros, yo lo he hecho 00:10:54

¿Cuántas veces hemos dicho 00:10:56

Nosotros tenemos que hacerlo siempre bien 00:10:58

Porque si no lo hacemos bien 00:11:00

El otro con una vez que fallemos 00:11:02

Lo hemos hecho, por lo menos lo habéis oído 00:11:04

Y lo que yo quiero deciros 00:11:06

Es que eso se puede alterar 00:11:08

Podemos hacerlo al revés 00:11:10

Que sean ellos 00:11:12

Los que tienen que hacerlo siempre, siempre bien 00:11:14

Porque el día que no lo hagan bien 00:11:16

Ese día les cazaremos 00:11:18

Y entonces ya podremos dedicarnos 00:11:20

A mover todos los mecanismos 00:11:23

Todos los procedimientos que nosotros conozcamos 00:11:25

Para sacarlo a patadas de la red 00:11:27

¿De acuerdo? 00:11:29

Eso se puede hacer 00:11:31

Esto es otra cosa 00:11:32

Que también me gusta siempre contar 00:11:34

Que a mí me gusta mucho 00:11:36

Hacer un back to the basic 00:11:38

A los orígenes de las cosas 00:11:40

Que son importantes, fijaros 00:11:42

Todos los que estamos aquí 00:11:44

En mayor o menor medida 00:11:46

Somos responsables 00:11:48

De la gestión del riesgo 00:11:50

De nuestras empresas 00:11:52

Y esta es la definición 00:11:54

Que a mí más me gusta 00:11:56

De la definición del riesgo 00:11:58

Es la vulnerabilidad 00:11:59

Más o menos grande 00:12:01

Que pueda ser explotada por una amenaza 00:12:03

Conocida o desconocida 00:12:05

Generándote un determinado nivel de impacto 00:12:07

¿Vale? 00:12:09

Es aceptable esa definición 00:12:11

¿Qué es lo que pasa? 00:12:13

Pues que nosotros las vulnerabilidades 00:12:15

De nuestros sistemas las conocemos 00:12:17

O deberíamos conocerlas 00:12:19

Porque están publicadas 00:12:21

Nosotros podemos entrar en varios sistemas 00:12:23

De vulnerability 00:12:25

Y te dicen que vulnerabilidades 00:12:27

¿Qué pasaría? 00:12:29

Si en un momento dado 00:12:31

Pueden explotar una de esas vulnerabilidades 00:12:33

¿Vale? 00:12:35

También conocemos el impacto 00:12:37

Que supondría 00:12:39

El que uno de nuestros sistemas 00:12:41

Se viniera abajo 00:12:43

Bien porque no funciona 00:12:45

O bien porque alguien lo está comprometiendo 00:12:47

Así es que lo que sí que podemos hacer 00:12:49

Es averiguar 00:12:51

¿Cuáles aquellos de nuestros sistemas 00:12:53

De información que son más o menos vulnerables 00:12:55

Además nos suponen 00:12:57

¿Qué prioridad tenemos nosotros 00:12:59

Que asignar a determinados activos 00:13:01

Para dedicarlos 00:13:03

Ya que no podemos dedicarnos al 100% a ellos 00:13:05

Poder dedicarles por lo menos 00:13:07

A los que son más importantes 00:13:09

Pero ¿qué ocurre con el tema de las amenazas? 00:13:11

Porque el tema de las amenazas 00:13:13

Mucha gente no lo conoce 00:13:15

Es que no sabemos realmente 00:13:17

Quienes son nuestros enemigos 00:13:19

Quien es el que está intentando entrar 00:13:21

Entonces sería muy interesante 00:13:23

Que todos tuviéramos una idea 00:13:25

Más o menos general 00:13:27

Que ya se empieza a ver 00:13:29

Prácticamente en casi todas las empresas 00:13:31

¿Qué nos va a permitir eso? 00:13:33

Eso nos va a permitir saber 00:13:35

¿Qué vulnerables son más atractivos 00:13:37

Para nuestras amenazas 00:13:39

¿Qué impacto? 00:13:41

Porque ¿qué capacidad tienen esas amenazas 00:13:43

Para actuar sobre esos activos 00:13:45

Y generarnos un impacto 00:13:47

Y en definitiva al final 00:13:49

Saber cuáles son nuestras prioridades 00:13:51

A la hora de defender 00:13:53

Si no podemos hacerlo con todo 00:13:55

¿De acuerdo? 00:13:57

Bueno, vamos a seguir 00:13:59

Hablando de muchas cosas 00:14:01

Pero la verdad 00:14:03

Es que lo único que hacemos es 00:14:05

Llenar nuestros firewalls de basurilla 00:14:07

Con un montón de IPs 00:14:09

Que tuvieron sentido en el momento del ataque 00:14:11

Pero que probablemente ya no se vuelven a utilizar 00:14:13

Porque ya las hemos bloqueado 00:14:15

Y el enemigo ya no los utiliza 00:14:17

Y lo mismo con los dominios 00:14:19

De mando y control en nuestros proxys 00:14:21

¡Hala! Ponen listas negras y listas blancas 00:14:23

No, no, lo que tenemos que hacer 00:14:25

Es actuar sobre las TTPs 00:14:27

¿Vale? 00:14:29

Esas tácticas y técnicas 00:14:31

Son las que tenemos que actuar 00:14:33

Así es que, fijaros 00:14:35

Si normalmente siempre nos dedicamos 00:14:37

A hacer defensas 00:14:39

Que son muy reactivas 00:14:41

Porque al final todos los mecanismos de protección 00:14:43

Y todos los mecanismos de resiliencia 00:14:45

Son proactivos 00:14:47

Por eso vienen ahora 00:14:49

Y vienen muy bien a funcionar 00:14:51

Todas las técnicas de defensa activa 00:14:53

Porque lo que hacen es cambiar el paradigma 00:14:55

Dejar de ser reactivos 00:14:57

Y deja de funcionar 00:14:59

¿Vale? 00:15:01

¿Qué es lo que hacen estas técnicas? 00:15:03

Básicamente lo que tratamos es de lo siguiente 00:15:05

Al enemigo ponérselo más difícil 00:15:07

Que le cueste mucho más entrar 00:15:09

Además que tenga que ir más lento en su avance 00:15:11

Dirigirlo hacia zonas de nuestros despliegues 00:15:13

Donde, bueno 00:15:15

No nos va a causar tanto impacto 00:15:17

Y al final tratar de desgastarlo 00:15:19

Tened en cuenta que al final el adversario 00:15:21

Es como nosotros, también tiene familia 00:15:23

Le gusta disfrutar los fines de semana 00:15:25

Le gusta pasar las noches en su casa 00:15:27

Lo que hace es al final aburrirlo 00:15:29

Que no pueda entrar 00:15:31

O sea que al final el ROI suyo 00:15:33

No sea rentable 00:15:35

Es decir, la inversión que tiene que hacer 00:15:37

Para poder atacarnos 00:15:39

Que no le compense de ninguna de las maneras 00:15:41

¿Me explico? 00:15:43

Esto va a seguir ocurriendo 00:15:45

Atacantes vamos a tener 00:15:47

¿Vale? Atacantes vamos a tener 00:15:49

Porque siempre es más fácil romper que construir 00:15:51

Porque siempre hay gente 00:15:53

Que en su mentalidad es mucho mejor 00:15:55

Conseguir las cosas de una manera fácil 00:15:57

¿Vale? 00:15:59

Nunca ganes por la fuerza 00:16:01

Lo que puedes salir 00:16:03

Lo que puedes conseguir 00:16:05

O lo que puedes ganar con él 00:16:07

Él decía con la mentira 00:16:09

A efectos de la conferencia 00:16:11

Mejor queda con el engaño 00:16:13

Eso es lo que va a ocurrir 00:16:15

Y con el engaño, de verdad 00:16:17

Es que llevamos viviendo 00:16:19

Desde el principio de los tiempos 00:16:21

Vivimos en el mundo donde el engaño 00:16:23

Existe desde que el hombre es hombre 00:16:25

La mujer es la mujer 00:16:27

Y el hombre es el espíritu 00:16:29

¿Vale? 00:16:31

A partir de entonces hay además 00:16:33

A lo largo de la historia nos ha dado 00:16:35

Por muchísimos ejemplos 00:16:37

Algunos muy chulos 00:16:39

Este de aquí, este también mola un montón 00:16:41

Engañar a tu adversario 00:16:43

Esto es una técnica militar 00:16:45

Pero es una técnica que se utiliza en todas partes 00:16:47

Hay gente 00:16:49

Que es que nace para engañar 00:16:51

O sea, es que lo lleva en la sangre 00:16:53

Es que le gusta 00:16:55

Es que si a partir de ahora 00:16:57

Puede engañar a todo el mundo 00:16:59

Todo lo que pueda 00:17:01

Porque funciona así 00:17:03

Porque va en la condición humana 00:17:05

¿Vale? 00:17:07

Voy a perder solamente dos minutos 00:17:09

De todas formas en contaros 00:17:11

Una de las cosas que más me gusta 00:17:13

Yo creo que es este de aquí, a ver 00:17:15

Mirad 00:17:17

En 1944 00:17:19

Cuando estaba la Segunda Guerra Mundial 00:17:21

Funcionando 00:17:23

Los americanos y los ingleses 00:17:25

Se unieron 00:17:27

Y contemplaba escenarios 00:17:29

En el norte de África, en Italia 00:17:31

En el sur de Francia, en Noruega 00:17:33

Pero la más importante de todas las campañas 00:17:35

Es una que se hizo en Inglaterra 00:17:37

¿Vale? 00:17:39

Esa fue una campaña que era fortitude 00:17:41

Y eso se desplegó en Endover 00:17:43

Fijaros 00:17:45

Los americanos desplegaron ahí 00:17:47

Un grupo de ejército 00:17:49

Se llamaba el FUSAJ 00:17:51

El First US Army 00:17:53

Algo así, United States Army Group 00:17:55

El FUSAJ 00:17:57

Lo que tenía eran 00:17:59

Carpinteros, fonzaneros, pintores 00:18:01

Artistas 00:18:03

Gente con una imaginación bárbara 00:18:05

Y lo que sí que tenía era 00:18:07

Un regimiento de transmisiones 00:18:09

Que estaba reforzado 00:18:11

Porque tenían que hacer simular 00:18:13

Las comunicaciones de radio 00:18:15

De lo que sería el volumen 00:18:17

De todo un grupo de ejércitos 00:18:19

¿Vale? 00:18:21

¿Cuál era la misión de esta gente? 00:18:23

La misión de esta gente era hacer crear a los alemanes 00:18:25

Que el desembarco se produciría 00:18:27

Prácticamente en ese sitio 00:18:29

Fijaros, la misión de este grupo 00:18:31

Solamente era conseguir 00:18:33

48 horas 00:18:35

48 horas de ventaja 00:18:37

A lo que sería el desembarco real 00:18:39

Desembarco real, sabéis que se hizo 00:18:41

Luego después en las playas de Normandía 00:18:43

Unos 350 kilómetros 00:18:45

Un poco más al sur y un poco más al oeste 00:18:47

Consiguieron prácticamente 6 semanas 00:18:49

Cuando se produjo el desembarco 00:18:51

Los alemanes dijeron 00:18:53

Eso es una trampa 00:18:55

El desembarco de verdad va a venir 00:18:57

Que lo mantuvieron durante tanto tiempo 00:18:59

Que 6 semanas más tarde 00:19:01

Claro, la playa estaba completamente consolidada 00:19:03

Y diariamente descargaban miles de hombres 00:19:05

Toneladas de mercancías 00:19:07

De apoyos, de municiones 00:19:09

De todo tipo logístico 00:19:11

Hasta que ya llegó un momento 00:19:13

Los alemanes no fueron capaces 00:19:15

De desplegar o de mover las reservas 00:19:17

Y al final consolidaron la playa 00:19:19

Y por ahí pudimos colarnos 00:19:21

Eso funcionó así 00:19:23

¿Y por qué cuento todas estas cosas? 00:19:25

Fijaros, nada de estas cosas 00:19:27

Pero es que cuando estamos hablando 00:19:29

De defensa activa 00:19:31

De lo que estamos hablando 00:19:33

No es tanto de herramientas 00:19:35

No estamos hablando tanto 00:19:37

De tecnologías ni de productos 00:19:39

Estamos hablando de intenciones 00:19:41

Y eso es lo importante 00:19:43

Para el que crea que todas estas cosas 00:19:45

Esto es chau chau de viejo 00:19:47

Y esto ocurrió hace 80 años 00:19:49

En la guerra mundial, madre mía 00:19:51

No, no, no, en la última versión 00:19:53

Que han sacado los rusos de su doctrina 00:19:55

Se sigue contemplando un concepto 00:19:57

De excepción que a nivel militar 00:19:59

Siguen siendo importantes 00:20:01

Y animan a todos los oficiales 00:20:03

O jefes de unidad 00:20:05

A que lo practiquen 00:20:07

Como un mecanismo válido 00:20:09

Y un método para poder conseguir 00:20:11

Y alcanzar determinados objetivos 00:20:13

¿Vale? 00:20:15

Y por si alguno no se fía 00:20:17

Pues que sepáis también 00:20:19

Que por ejemplo en el 2019 00:20:21

Los británicos dentro de su escuela 00:20:23

De ciberdefensa 00:20:25

Crearon lo que es el 00:20:27

Instituto Nacional de Derechos Humanos 00:20:29

De Londres 00:20:31

Y precisamente de lo que tratan es eso 00:20:33

De desarrollar mecanismos 00:20:35

Métodos, plataformas 00:20:37

Cosas para poder engañar 00:20:39

A los adversarios 00:20:41

Y permitirles o impedirles 00:20:43

El acceso a tus redes 00:20:45

O por lo menos a las zonas 00:20:47

Importantes de tu red 00:20:49

Donde te pueden estar haciendo daño 00:20:51

¿Vale? 00:20:53

O sea que esto está 00:20:55

No solo es que sea antiguo 00:20:57

Nadie conoce la red mejor que vosotros 00:20:59

Nadie 00:21:01

La habéis pensado vosotros 00:21:03

La habéis dibujado vosotros 00:21:05

Habéis hecho vosotros vuestra propia arquitectura 00:21:07

Sabéis dónde está cada una de las piezas 00:21:09

Esto es como cuando juegas un partido 00:21:11

Y lo estás jugando en tu cancha 00:21:13

No puedes perder 00:21:15

Fijaros 00:21:17

Que un adversario es 00:21:19

Un adversario debería ser como el becario 00:21:21

Que acaba de llegar a la empresa 00:21:23

El becario que ha llegado a la empresa 00:21:25

El primer día no sabe ni dónde está el cuarto de baño 00:21:27

O tres horas 00:21:29

Porque no sabe dónde está la fotocopiadora 00:21:31

Ni te puede traer los cafés 00:21:33

Él puede preguntar 00:21:35

Pero el adversario no 00:21:37

Lo tiene que averiguar solo 00:21:39

Así es que lo que tienes que hacer es 00:21:41

Impedirle a ese becario que acaba de entrar en tu red 00:21:43

Que la conozca mejor que tú 00:21:45

¿Me explico? 00:21:47

¿Alguien ha visto el truco de esta transparencia? 00:21:49

Estaba ahí desde el principio 00:21:52

Ese es el snipper 00:21:54

Que tienes que tener dentro de tu sistema de información 00:21:56

Y al final lo que tú tienes que hacer es 00:21:59

Convertir a tu adversario en el target 00:22:01

No ser tú el target del adversario 00:22:03

Por eso digo que es importante 00:22:06

Que seamos nosotros los que recuperemos la iniciativa 00:22:08

Y podamos empezar a pelear 00:22:10

En otras condiciones dentro de nuestra red 00:22:12

¿Vale? 00:22:14

Y ahora vamos a entrar a explicar exactamente 00:22:16

Qué es esto de la defensa activa 00:22:18

Veréis 00:22:20

Básicamente lo que tenemos que tener es como siempre 00:22:22

Un plan, una estrategia 00:22:24

En este caso la estrategia la vamos a llamar campañas 00:22:26

Tenemos que saber qué es lo que queremos hacer 00:22:28

Para lo cual es muy importante 00:22:30

Tener inteligencia de ciber amenazas 00:22:32

De saber a qué es lo que nos estamos enfrentando 00:22:34

A partir de ahí 00:22:36

Podremos desplegar determinados servicios 00:22:38

O determinadas herramientas 00:22:40

Que son las que pensamos 00:22:42

Que van a ser de interés para nuestro adversario 00:22:44

Él va a tratar de llegar a ellas 00:22:46

Pero por si acaso no llegan 00:22:48

Lo importante debe ser 00:22:50

Dejarle algunos señuelos 00:22:52

Dejarle algunas migas de pan 00:22:54

De las zonas que para nosotros interesen más 00:22:55

¿Vale? 00:22:57

Esa es la parte maligna 00:22:59

Que vamos a hacer dentro de esta actividad 00:23:01

Alguno dirá 00:23:03

Ya están hablando de HoneyNets 00:23:05

Y HoneyPot 00:23:07

Eso es más viejo 00:23:09

Sí, claro, HoneyNets y HoneyPot 00:23:11

Eso es muy viejo 00:23:13

Lo que antiguamente se desplegaba 00:23:15

No es lo que yo vengo a contaros 00:23:17

Fijaros que antes 00:23:19

Las Honey que se montaban normalmente 00:23:21

Eran servicios muy concretos 00:23:22

¿Vale? 00:23:24

Eran solamente a lo mejor 00:23:26

Uno de una base de datos 00:23:28

Servicios que además no tenían nada que ver 00:23:30

Con lo que luego después 00:23:32

Tú desplegabas en la red 00:23:34

Con lo cual ahí aparecía una inconsistencia 00:23:36

Vamos a ver, si este señor tiene todo en Java 00:23:38

¿Qué pinta aquí un servicio extraño? 00:23:40

Era raro 00:23:42

Eran servicios que además 00:23:44

No tenían prácticamente ningún volumen 00:23:46

No había tráfico 00:23:48

El adversario llegaba y decía 00:23:50

Interaccionando 00:23:52

Al final tenía una pinta de señuelo 00:23:54

Que no podía con ella 00:23:56

Tenía muchos más problemas 00:23:58

Tenía problemas porque esto normalmente 00:24:00

Desplegaba afuera 00:24:02

Y eso no nos interesa 00:24:04

Nosotros queremos detectar a nuestro enemigo 00:24:06

Cuando lo tenemos dentro 00:24:08

Tenía más problemas 00:24:10

Y es que muchos de esos servicios 00:24:12

Encima eran vulnerables 00:24:14

Con lo cual lo que estaba 00:24:16

Era ofreciéndole una plataforma al adversario 00:24:18

Desde la que luego después 00:24:20

Se volvían para algo 00:24:22

Pero realmente no es como funciona ahora 00:24:24

Yo esto ha evolucionado un montón 00:24:26

Fijaros, ha ido evolucionando 00:24:28

Que desde los Honey Pop de los años 90 00:24:30

O en los años 98 00:24:32

Hemos pasado a Honines, por Honey Token 00:24:34

Versiones nuevas distintas 00:24:36

A lo que son las plataformas de decepción 00:24:38

Eso es otra cosa diferente 00:24:40

Mirad 00:24:42

Una plataforma de decepción de verdad 00:24:44

Tiene que ser distinta 00:24:46

Tiene que basarse en los mismos servicios 00:24:48

Y en los datos 00:24:50

Para que el otro no se vuelva loco 00:24:52

Diciendo, pero que me estás contando, ¿sabes? 00:24:54

Debe cubrir todo nuestro entorno 00:24:56

Porque lo que no cubramos 00:24:58

¿Qué es lo que va a ocurrir? 00:25:00

Ahí se va a alojar, se va a alojar el adversario 00:25:02

A verlo después como lo sacas 00:25:04

O sea, es que tenemos que cubrir 00:25:06

Todo lo que es nuestra red 00:25:08

Tiene que ser flexible 00:25:10

Tenemos que en un momento dado 00:25:12

Dependiendo de cuál es el curso de acción 00:25:14

Que tienen los distintos adversarios 00:25:16

Nosotros poder tomar unas medidas o tomar otras 00:25:18

Tiene que ser escalable 00:25:20

Tiene que ser un sistema artificial 00:25:22

Que piense por nosotros 00:25:24

Y tenga ya programadas determinadas métodos 00:25:26

O determinados procedimientos 00:25:28

Con arreglo a lo que esté pasando 00:25:30

Tiene que ser inteligente 00:25:32

Y nos tiene que proporcionar inteligencia a nosotros 00:25:34

Para conocer mejor cuál es el adversario 00:25:36

Que tenemos delante 00:25:38

Tiene que integrarse además con nuestras plataformas 00:25:40

Con nuestros firewalls, con nuestros proxys 00:25:42

Con los CDRs 00:25:44

Para que si en un momento vea alguna cosa 00:25:46

Pueda tomar decisiones inteligentes 00:25:48

Y bloquear o contener o aislar 00:25:50

Lo interesante es que lo que no puede ser 00:25:52

Es que nos introduzca más riesgos 00:25:54

Que ya tenemos bastantes 00:25:56

Esto no puede ser un problema 00:25:58

Tiene que ser una solución 00:26:00

¿Componentes que puede tener una solución de este estilo? 00:26:02

Una solución ya profesional 00:26:04

Pues obviamente lo que tiene es 00:26:06

Componentes, si tú estás trabajando en la nube 00:26:08

Tiene que tener componentes para la nube 00:26:10

Tiene que tener componentes también 00:26:12

De Thread Intelligent 00:26:14

Para nosotros poder multiplicar las capacidades 00:26:16

Las posibilidades que tenemos 00:26:18

A nivel de servers, lo que tú tengas 00:26:20

Servidores para poder alojar 00:26:22

Un directorio activo, un LDAP 00:26:24

Cualquier cosa de esas 00:26:26

A nivel de network, tengo que ser capaz 00:26:28

De reproducir switches, de reproducir routers 00:26:30

Cualquier cosa 00:26:32

¿Qué tenemos en la red? 00:26:34

Endpoint, por supuesto 00:26:36

Pues entonces tendremos que tener 00:26:38

Todos los modelos de endpoint 00:26:40

Que podemos en un momento simular 00:26:42

Lo mismo con la gente 00:26:44

La gente también es parte activa de la red 00:26:46

Sus credenciales, sus correos, sus llaves 00:26:48

Todo lo que podamos utilizar 00:26:50

Los datos necesarios 00:26:52

Al punto al que a nosotros nos interesa 00:26:54

¿Vale? 00:26:56

Al final, esto tienes que controlarlo 00:26:58

Tienes que tenerlo automatizado 00:27:00

Y sobre todo lo que nos tiene que dar 00:27:02

Son muchos datos de telemetría 00:27:04

Para tener visibilidad de lo que está ocurriendo 00:27:06

Y además con tiempo suficiente 00:27:08

Y además durante mucho tiempo 00:27:10

¿Vale? 00:27:12

Más cosas 00:27:14

Imaginaos lo que sería 00:27:16

El tener que hacer tú eso manualmente 00:27:18

Manualmente 00:27:20

Tengo que logarme en mi sistema 00:27:22

Tengo que aparentar que trabajo un poco 00:27:24

Entrar en esta aplicación 00:27:26

En esta base de datos 00:27:28

Hacer rellenar este formulario 00:27:30

Ahora voy a navegar un rato 00:27:32

Me voy al marca, me voy al no sé qué 00:27:34

Eso tienes que estar reproduciéndolo cada 20 minutos 00:27:36

Y tienes que estar reproduciéndole las 8 horas del día 00:27:38

Y eso día a día 00:27:40

Así es que lo que necesitamos es 00:27:42

Un sistema que lo que nos permita es 00:27:44

Añadir un servicio 00:27:46

Seleccionar un comportamiento 00:27:48

Añadir las credenciales 00:27:50

Y eso además nos va a permitir 00:27:52

Que a lo largo de una campaña 00:27:54

Y viendo cómo se comporta un adversario 00:27:56

Tú tengas información suficiente 00:27:58

Para poder influenciar sobre él 00:28:00

¿Qué es lo que te gusta? 00:28:02

¿A mí me gustan las bases de datos? 00:28:04

Por otra parte, que te voy a dar bases de datos 00:28:06

¿Vale? 00:28:08

Para que vayamos trabajando con ellos 00:28:10

¿Cómo sería un despliegue? 00:28:12

Pues el despliegue es que tienes 00:28:14

Que tener muchas cosas durante todo 00:28:16

O sea, prácticamente 00:28:18

En toda tu red tiene que haber cosas 00:28:20

Simplemente dentro de sistemas reales 00:28:22

Poner piezas 00:28:24

Dentro de todos estos mecanismos 00:28:26

Imaginaros que vosotros fuerais 00:28:28

El dueño de seguridad de Carrefour 00:28:30

Y que hay un tío que roba coches 00:28:32

Pues si quieres ponerle trampas 00:28:34

Pues vas a tener que poner no una 00:28:36

Tendrás que poner unas cuantas 00:28:38

Porque aunque solo sea por temas probabilísticos 00:28:40

Tienes que hacer un despliegue de trampas 00:28:42

Lo suficientemente razonable 00:28:44

Como para que al final puedas 00:28:46

Capturar al adversario en alguna de ellas 00:28:48

¿Vale? 00:28:50

Pero lo importante es 00:28:52

¿Cuáles son los beneficios que vamos a obtener? 00:28:54

Pensar que lo que vamos a hacer es 00:28:56

Que vamos a detectar todas las amenazas 00:28:58

Que son de alto riesgo 00:29:00

Cuando digo de alto riesgo estoy hablando 00:29:02

De grupos APT 00:29:04

Que son los realmente que son peligrosos 00:29:06

Pensar que si alguien 00:29:08

Está utilizando una credencial 00:29:10

Que solo yo conozco que existe 00:29:12

Eso pasa a ser un evento 00:29:14

De máxima importancia 00:29:16

Eso pasa a ser un evento 00:29:18

Que no es un falso positivo 00:29:20

Que es un problema 00:29:22

Y tengo algo que me lo estoy alertando 00:29:24

Esto minimiza la tasa de falsos positivos 00:29:26

Completa la visibilidad por supuesto 00:29:28

Y además cubre completamente 00:29:30

Todo lo que es el Kill Chain 00:29:32

De ataques de las diferentes ATPs 00:29:34

Porque fijaros 00:29:36

De lo que estamos hablando además 00:29:38

Son grupos organizados 00:29:40

Que lo que hacen es seguir esta secuencia 00:29:42

Y la secuencia es 00:29:44

De 7 pasos de la Kill Chain 00:29:46

Y además sabemos perfectamente 00:29:48

Que nuestra actuación debería ser 00:29:50

Más fácil es parar 00:29:52

Menor va a ser el impacto 00:29:54

Al que nos va a someter 00:29:56

Y nuestro trabajo va a ser mucho más fácil 00:29:58

En cada una de las 7 fases 00:30:00

Nosotros podemos desplegar 00:30:02

Y utilizar técnicas de decepción 00:30:04

Por ejemplo en la parte de reconocimiento 00:30:06

Podemos engañar al enemigo 00:30:08

Es decir que tenemos una superficie 00:30:10

De ataque diferente 00:30:12

A la que nosotros realmente 00:30:14

Estamos exponiendo hacia internet 00:30:16

Podemos redirigirlo a zonas de la red 00:30:18

Que no sean tan comprometidas 00:30:20

¿Vale? 00:30:22

¿Qué podemos hacerlo? 00:30:24

Pues en la emprega lo mismo 00:30:26

Desviar la entrega 00:30:28

Podemos engañarle 00:30:30

¿Qué más podemos hacer? 00:30:32

Obfuscar parte de la información 00:30:34

Que en un momento podamos ofrecerle 00:30:36

O que él nos pueda comprometer 00:30:38

Podemos interferir dentro de sus operaciones 00:30:40

Y desde luego en casos de mando y control 00:30:42

Lo que tendríamos que tratar es 00:30:44

Por lo menos tratar de retrasar 00:30:46

Cada una de sus actividades 00:30:48

Cada una de estas temas 00:30:50

Aquí estamos utilizando siempre 00:30:52

Tres matrices 00:30:54

Las matrices de Mitre 00:30:56

Que no solamente es la de ataque 00:30:58

O sea Mitre tiene bastantes más matrices 00:31:00

Y no solamente la de ataque 00:31:02

¿Vale? 00:31:04

Estas son matrices que están 00:31:06

Pensadas para defensores 00:31:08

Pero están hechas desde el punto de vista 00:31:10

De los atacantes 00:31:12

Así es que si supiéramos realmente 00:31:14

Cuáles son las amenazas que nosotros tenemos 00:31:16

Sabríamos en qué tácticas y técnicas 00:31:18

Son ellos expertos 00:31:20

A este oso le gustan estas tácticas 00:31:22

Vamos a utilizar estos 00:31:24

Y vamos a ver qué mecanismos 00:31:26

Tenemos para poder impedir su entrada 00:31:28

Estas tácticas 00:31:30

Estas tácticas de ataque 00:31:32

O estas técnicas de ataque 00:31:34

Se relacionan muy bien con otra de las matrices 00:31:36

Que ha sacado Mitre 00:31:38

Que no sé si la conocéis 00:31:40

Que es la matriz de Defend 00:31:42

Esa matriz tiene aproximadamente 00:31:44

Ahora mismo dos años 00:31:46

Y esta sí que es una matriz 00:31:48

Para defensores 00:31:50

Esa matriz tiene 00:31:52

Técnicas importantes 00:31:54

Como son toda la parte de bastionado 00:31:56

De todos los equipos 00:31:58

Toda la parte de detección 00:32:00

La parte de aislamiento 00:32:02

Pero fijaros 00:32:04

Es que ya la propia Mitre 00:32:06

Está dedicando todo un apartado 00:32:08

De tácticas para todo lo que son 00:32:10

Técnicas activas y técnicas de decepción 00:32:12

Enteras 00:32:14

Este también es muy chulo 00:32:16

Pero no vamos a 00:32:18

Hay otra más especializada 00:32:20

Para todo lo que son 00:32:22

Técnicas activas 00:32:24

De defensa activa 00:32:26

Y técnicas de decepción 00:32:28

Fijaros que lo que tiene es 00:32:30

Como dos tácticas en los extremos 00:32:32

Que son las estratégicas 00:32:34

Esta primera que es 00:32:36

Todo lo que es para elaborar 00:32:38

Preparar cuál va a ser tu estrategia 00:32:40

Para pensar cómo van a ser las campañas 00:32:42

Y la última 00:32:44

Que es un poco para retroalimentar el sistema 00:32:46

Y la próxima vez poder hacerlo mejor 00:32:48

Con el intercambio de pelea 00:32:50

Voy a tratar de descubrirte 00:32:52

Dentro de mi red 00:32:54

La de afectar 00:32:56

Que es para poder interferir 00:32:58

En todas aquellas cosas 00:33:00

Que me estás haciendo 00:33:02

Y fijaros que hay una táctica 00:33:04

Que era elicit 00:33:06

Yo no sabía que quería decir elicit 00:33:08

Elicit quiere decir provocar 00:33:10

Quiere decir sonsacar 00:33:12

Y todas esas son tácticas 00:33:14

Preparadas precisamente 00:33:16

Para poder tomar ventajas 00:33:18

Sobre los distintos adversarios 00:33:20

Dependiendo del nivel 00:33:22

De sofisticación 00:33:24

De cada uno de nuestros adversarios 00:33:26

O incluso la sofisticación nuestra 00:33:28

Incluso también 00:33:30

Del nivel de madurez que nosotros tengamos 00:33:32

Dentro de nuestra organización 00:33:34

Podemos ir a distintos modelos de defensa activa 00:33:36

¿Vale? 00:33:38

Unos que sean simplemente detecciones básicas 00:33:40

Hasta que vayamos a un modelo 00:33:42

Donde de verdad 00:33:44

Estemos en continuo enfrentamiento 00:33:46

Con el adversario en un mano a mano 00:33:48

Eso se puede hacer 00:33:50

Yo os sugiero las siguientes 00:33:53

Por ejemplo, una cosa que sería fácil de hacer 00:33:55

Todos los que estéis aquí en el sistema 00:33:57

¿Qué es lo que estoy haciendo con esta sentencia? 00:33:59

Estoy levantando un listener en un servidor 00:34:01

Lo que estoy haciendo es levantar un netcat 00:34:03

Estoy dando persistencia 00:34:05

Para que cuando alguien conecte conmigo 00:34:07

Yo lo pueda registrar 00:34:09

Y para que además no aborte la comunicación 00:34:11

Y lo que hago es que 00:34:13

Desvío esa comunicación 00:34:15

Y dejo registro dentro de un TXC 00:34:17

¿Problema que tiene? 00:34:19

Yo ya prácticamente no tengo ninguna 00:34:20

Pero estoy alertado, ¿eh? 00:34:22

Eso ya es bastante importante 00:34:24

Saber que en un momento dado 00:34:26

Alguien ha tocado en ese puerto 00:34:28

Eso ya es decir, ¡ostras! 00:34:30

Jefe, tenemos un problema 00:34:32

Alguien está enredando dentro de nuestra red 00:34:34

Eso se puede hacer 00:34:36

Esto es básicamente, esto es muy sencillo 00:34:38

Lo puede hacer cualquier administrador de sistema 00:34:40

Vamos a hacer algo más complicado 00:34:42

Podemos hacer, por ejemplo 00:34:44

Repartir una serie de credenciales 00:34:46

Y lo podemos tener tanto en repositorios públicos 00:34:48

En repositorios propios de la unidad 00:34:50

O en repositorios incluso internos 00:34:52

Dentro de la propia organización 00:34:54

Y ahí podemos tener nuestras credenciales 00:34:56

¿Qué es lo que hay que tener? 00:34:58

Lo que hay que tener es, vamos a ver 00:35:00

Cuando un adversario se encuentra 00:35:02

Un usuario y un login 00:35:04

Antes, no sé, antes se corta una mano 00:35:06

Que no utilizarlos 00:35:08

Para eso los tiene, para probarlos 00:35:10

Así es que lo que tenemos que hacer 00:35:12

Es tenerlo preparado 00:35:14

Una regla en un WAF 00:35:16

O tener directamente programado cualquier cosa 00:35:18

Para evitar que se ha utilizado 00:35:20

Una contraseña y un usuario 00:35:22

Que nosotros hemos puesto específicamente 00:35:24

Para comprometer a un adversario 00:35:26

Eso debería cantar en nuestras organizaciones 00:35:28

E inmediatamente saltarnos una lenta 00:35:30

Y por lo menos tenemos 00:35:32

No tenemos visibilidad 00:35:34

Pero tenemos detección 00:35:36

Y eso también es importante 00:35:38

Si miráis recursos en internet 00:35:40

Vais a encontrar cosas chulas 00:35:42

Por ejemplo, Kararitokens tiene una página web 00:35:44

Donde tienes un montón de ejemplos 00:35:46

Que tú te puedes descargar 00:35:48

Tu página, tu página tú lo instalas 00:35:50

Y se acabó 00:35:52

¿Qué hace este Javascript? 00:35:54

Lo que hace es lo siguiente 00:35:56

Y es que si alguien clona tu página 00:35:58

Y la monta en otro sitio 00:36:00

Normalmente con la intención 00:36:02

De capturar credenciales 00:36:04

¿Qué es lo que pasa? 00:36:06

Que cuando alguien pide esa página 00:36:08

El Javascript comprueba 00:36:10

Y si la página no se encuentra 00:36:12

Alojada en el dominio 00:36:14

Donde debería estar 00:36:16

Inmediatamente le salta una alarma 00:36:18

Dice que ha clonado tu página 00:36:20

Se está utilizando en cualquier otro sitio 00:36:22

Y eso demuestra un interés real 00:36:24

De alguien por tu organización 00:36:26

Así que todo esto también es interesante 00:36:28

Ahora, si de verdad lo que tenemos es un problema 00:36:30

Y lo que tenemos es un adversario 00:36:33

Como Dios manda 00:36:35

Todas estas cosas no van a valer 00:36:37

Para eso tienes que montar 00:36:39

Una plataforma de excepción profesional 00:36:41

De las que ya existen 4 o 5 en el mercado 00:36:43

Que son bastante interesantes 00:36:45

¿Qué es lo que tienes que hacer? 00:36:47

Un plan, tenemos que tener un propósito 00:36:48

Deberíamos tener 00:36:50

Y yo cada vez insisto más 00:36:52

En tener inteligencia de amenazas para tu organización 00:36:54

Tener una historia 00:36:56

Porque las historias es lo que va a permitir 00:36:58

Que nosotros enganchemos a nuestro adversario 00:37:00

Y organizarnos un plan 00:37:02

Y una vez que lo tengamos 00:37:04

Pues eso es así, preparamos el plan 00:37:06

Lo ejecutamos, monitorizamos 00:37:08

Qué es lo que estamos haciendo 00:37:10

Y luego después lo vamos mejorando 00:37:12

Vamos a hacer una propuesta 00:37:14

Por ejemplo, el plan 00:37:16

Es defender las joyas de la corona 00:37:18

Que en este caso va a ser 00:37:20

Nuestro director de activo 00:37:22

¿Qué hemos dicho que tenemos que hacer? 00:37:24

Lo primero es pensar un plan 00:37:26

Un plan de esos que en cuanto 00:37:28

Se lo enseñes al adversario 00:37:30

Entra al trapo, claro 00:37:32

Lo que no puedes hacer es este plan 00:37:34

Este plan es un desastre 00:37:36

Porque nadie va a caer en una trampa de estas 00:37:38

Tiene que ser algo 00:37:40

Que es que el adversario lo vea 00:37:42

Y diga, esta es la mía 00:37:44

Ahora sí que sí 00:37:46

Como un campeón 00:37:48

Como un toro de lidia 00:37:50

Para adentro le va 00:37:52

¿Qué es lo siguiente que tenemos que hacer? 00:37:54

Lo siguiente que tenemos que hacer es 00:37:56

Si yo sé cuáles son las tácticas y técnicas 00:37:58

Que están afectas al director de activo 00:38:00

Y además sé cuál es mi amenaza 00:38:02

Podemos hacer una selección 00:38:04

De cuáles van a ser las tácticas y técnicas 00:38:06

Que ese adversario va a emplear 00:38:08

Y una vez que tengamos 00:38:10

Cada una de esas identificadas 00:38:12

Cada una de esas tácticas y técnicas 00:38:14

Nos vamos a las otras matrices 00:38:16

Si va a utilizar esta táctica 00:38:18

Lógicamente si va a utilizar 00:38:20

Una táctica de persistencia 00:38:22

Pues asociados a persistencia 00:38:24

En atac 00:38:26

Tienes estas cuatro sub técnicas 00:38:28

Y a su vez esas cuatro sub técnicas 00:38:30

Deberían ser mitigadas 00:38:32

Con estos temas, otras actividades 00:38:34

Que te proponen en defend 00:38:36

O que te proponen en engage 00:38:38

¿Vale? Ya las tenemos 00:38:40

Así es que ya más o menos 00:38:42

Sabemos cómo vamos a funcionar 00:38:44

Lo siguiente es preparar el decorado 00:38:46

De cuáles son los activos 00:38:48

Que tú vas a estar 00:38:50

Van a participar en todo este escenario 00:38:52

Y en toda esta película 00:38:54

Que estamos montando 00:38:56

¿Vale? Que servidores, que estaciones de trabajo 00:38:58

Que red, que no sé 00:39:00

Como tengáis organizado 00:39:02

Eso ya no lo sé 00:39:04

Más o menos esto vendría a ser lo siguiente 00:39:06

Es, yo cojo un director de activo 00:39:08

Podría ser, ¿eh? 00:39:10

Dicen mira voy a crear una serie 00:39:12

De unidades organizativas 00:39:14

Eso es gratis, eso es barato 00:39:16

¿Vale? ¿Qué tengo que crear? 00:39:18

Empiezo a montar mecanismo de defensa activa 00:39:20

Me creo elementos tipo PC 00:39:22

Meto ahí las contraseñas de los usuarios 00:39:24

Inyecto contraseñas y usuarios 00:39:26

En los procesos LSA 00:39:28

Cualquier cosa de estas, ¿vale? 00:39:30

¿Qué más voy a montar? Voy a montar un servidor 00:39:32

Y en ese servidor voy a tener 00:39:34

Unas carpetas compartidas 00:39:36

Solo para todo el tema de excepción 00:39:38

El resto de la gente ni siquiera los va a ver 00:39:40

Dentro de esas campañas 00:39:42

Sí que voy a tener una serie de documentos 00:39:44

Más elementos que vienen 00:39:46

Organizados para que en el momento 00:39:48

En que alguien abra 00:39:50

A mí me salte una alarma, ¿vale? 00:39:52

Cosas que ya lleva implícita 00:39:54

La plataforma dentro 00:39:56

¿Y qué es lo que espero que ocurra? 00:39:58

¿Qué ocurra? Bueno, lo que esperamos que ocurra 00:40:00

Es que el usuario entre 00:40:02

O encuentre esas contraseñas 00:40:04

Y las trate de utilizar 00:40:06

Imagínonos que tú entras con una contraseña 00:40:08

Válida de un usuario 00:40:10

Válida porque es que es parte 00:40:12

De una unidad organizativa nuestra 00:40:14

¿Qué va a ocurrir? 00:40:16

¿Qué va a hacer? 00:40:18

Esto se pone ya emocionante 00:40:20

¿Qué va a hacer? 00:40:22

Entrar en esos drivers de red 00:40:24

¿Qué es lo que va a hacer? 00:40:26

Ver qué documentos hay 00:40:28

Va a abrir los documentos 00:40:30

Va a ver lo que tiene 00:40:32

Y aquí al final 00:40:34

En cada uno de estos pasos 00:40:36

Esto va a ir generando 00:40:38

Y reportando una serie de alertas 00:40:40

A tu sistema de control 00:40:42

O donde estás gestionando 00:40:44

Todo el tema de excepción 00:40:46

Tienes detección 00:40:48

Tienes visibilidad 00:40:50

Tienes telemetría para poder pararlo 00:40:52

Así es que, en definitiva 00:40:54

Ya casi un poco terminando 00:40:56

Hay que aprender de la historia 00:40:58

Napoleón decía eso 00:41:00

Si tu enemigo está metiendo la pata 00:41:02

Déjale que siga metiendo la pata 00:41:04

Anímale, ¿vale? 00:41:06

Vas por buen camino, chaval 00:41:08

Para adentro, ¿vale? 00:41:10

La forma que nosotros podemos tener 00:41:12

De controlar a ese adversario 00:41:14

Que está intentando entrar 00:41:16

Nuestra red debería ser un poco 00:41:18

Como la casa de los horrores 00:41:20

Para el adversario 00:41:22

Cuando entra, ¿vale? 00:41:24

¿Qué es lo que tenemos que hacer? 00:41:26

La defensa activa, ya os digo 00:41:28

Esto ya no está tan centrado en herramientas 00:41:30

Está centrado en intenciones 00:41:32

En las ganas que tenemos 00:41:34

De llevar nosotros la iniciativa 00:41:36

Y ser los que estemos mandando 00:41:38

En nuestra red, en nuestra cancha, ¿vale? 00:41:40

Al final, pensar que lo que tenemos que hacer 00:41:42

Es comportamientos muchísimo más proactivos 00:41:44

Y no los reactivos 00:41:46

Si es que de alguna manera 00:41:48

Los sistemas estos de defensa activa 00:41:50

Te dan más detección 00:41:52

Te dan más visibilidad 00:41:54

Que no son lo mismo, ¿eh? 00:41:56

Son cosas distintas 00:41:58

Además eliminas todos los falsos positivos 00:42:00

Cuando estamos hablando de este tipo de cosas 00:42:02

Y esto sí que se va a poner ya de marcha 00:42:04

En todos los sistemas 00:42:06

En todos los centros de operaciones de seguridad 00:42:08

Los Next Generation 00:42:10

Ahora sí, ahora sí que son Next Generation 00:42:12

No los Firewall y los SOC, ¿de acuerdo? 00:42:14

Así es que 00:42:16

Una cosa más 00:42:18

Por muy buenas que penséis 00:42:20

Que son vuestras defensas 00:42:22

Siempre va a haber alguien 00:42:24

Que se pasee por encima de ellas 00:42:26

Así es que lo que tienes que hacer es 00:42:28

Con tu gente, con tus tácticas 00:42:30

Con tus procedimientos 00:42:32

Convertirte en un gato 00:42:34

Mucho más grande 00:42:36

Que el adversario que te está atacando 00:42:38

¿Vale? 00:42:40

Y nada más, muchas gracias 00:42:42

Subtítulos realizados por la comunidad de Amara.org 00:42:48

Subido por:: EducaMadrid
Visualizaciones:: 57
Fecha:: 1 de marzo de 2023 - 9:55
Visibilidad:: Público
Duración:: 42′ 57″
Relación de aspecto:: 1.78:1
Resolución:: 1280x720 píxeles
Tamaño:: 567.12 MBytes

Del mismo autor…

Vídeo resumen "Proteínas, enzimas y vitaminas" Biología 2º Bachillerato
Contenido educativo. subido por Carlos B. 07′ 30″ - hace 20 minutos - Idioma: - 3 visualizaciones
Vídeo resumen "Lípidos" Biología 2º de Bachillerato
Contenido educativo. subido por Carlos B. 08′ 16″ - hace 45 minutos - Idioma: - 2 visualizaciones
Vídeo resumen "Glúcidos", Biología 2º Bachillerato
Contenido educativo. subido por Carlos B. 06′ 31″ - hace una hora - Idioma: - 4 visualizaciones
Vídeo resumen "Anabolismo", Biología 2º de Bachillerato
Contenido educativo. subido por Carlos B. 07′ 53″ - hace una hora - Idioma: - 1 visualizaciones
Vídeo resumen "Catabolismo", Biología 2º Bachillerato
Contenido educativo. subido por Carlos B. 06′ 02″ - hace 2 horas - Idioma: - 3 visualizaciones
Vídeo resumen "El ciclo celular, Biología 2º Bachillerato
Contenido educativo. subido por Carlos B. 08′ 28″ - hace 3 horas - Idioma: - 3 visualizaciones
Vídeo resumen "Bioelementos, El agua y las sales minerales", Biología 2º de Bachillerato
Contenido educativo. subido por Carlos B. 06′ 01″ - hace 3 horas - Idioma: - 3 visualizaciones

Más resultados

Ver más del mismo autor

Vídeo resumen "Proteínas, enzimas y vitaminas" Biología 2º Bachillerato
Contenido educativo. subido por Carlos B. 07′ 30″ -
hace 20 minutos - Idioma: - 3 visualizaciones
Vídeo resumen "Lípidos" Biología 2º de Bachillerato
Contenido educativo. subido por Carlos B. 08′ 16″ -
hace 45 minutos - Idioma: - 2 visualizaciones
Vídeo resumen "Glúcidos", Biología 2º Bachillerato
Contenido educativo. subido por Carlos B. 06′ 31″ -
hace una hora - Idioma: - 4 visualizaciones
Vídeo resumen "Anabolismo", Biología 2º de Bachillerato
Contenido educativo. subido por Carlos B. 07′ 53″ -
hace una hora - Idioma: - 1 visualizaciones
Vídeo resumen "Catabolismo", Biología 2º Bachillerato
Contenido educativo. subido por Carlos B. 06′ 02″ -
hace 2 horas - Idioma: - 3 visualizaciones
Vídeo resumen "El ciclo celular, Biología 2º Bachillerato
Contenido educativo. subido por Carlos B. 08′ 28″ -
hace 3 horas - Idioma: - 3 visualizaciones
Vídeo resumen "Bioelementos, El agua y las sales minerales", Biología 2º de Bachillerato
Contenido educativo. subido por Carlos B. 06′ 01″ -
hace 3 horas - Idioma: - 3 visualizaciones
Vídeo resumen "Bloque II, Biología de 2º de Bachillerato"
Contenido educativo. subido por Carlos B. 07′ 13″ -
hace 4 horas - Idioma: - 1 visualizaciones
Vídeo resumen "ADN, Biología 2º de Bachillerato"
Contenido educativo. subido por Carlos B. 07′ 05″ -
hace 4 horas - Idioma: - 2 visualizaciones
Vídeo resumen "Bloque I de Biología, 2º de Bachillerato"
Contenido educativo. subido por Carlos B. 08′ 12″ -
hace 5 horas - Idioma: - 1 visualizaciones
Día Internacional de las Personas con Diversidad Funcional 2025
Contenido educativo. subido por Agustin Javier L. 01′ 43″ -
hace 7 horas - Idioma: - 11 visualizaciones
Encender 4 led a la vez
Contenido educativo. subido por Francisco J. G. 04′ 49″ -
hace 8 horas - Idioma: - 4 visualizaciones
Asíntotas de Logaritmos exponenciales e Inicio Derivadas
Contenido educativo. subido por Jose Andres G. 1h 06′ 08″ -
hace 9 horas - Idioma: - 4 visualizaciones

Ciberjueves de EducaMadrid: "Mentirosos Compulsivos" Emilio Rico Ruiz

Del mismo autor…

Vídeo resumen "Proteínas, enzimas y vitaminas" Biología 2º Bachillerato

Vídeo resumen "Lípidos" Biología 2º de Bachillerato

Vídeo resumen "Glúcidos", Biología 2º Bachillerato

Vídeo resumen "Anabolismo", Biología 2º de Bachillerato

Vídeo resumen "Catabolismo", Biología 2º Bachillerato

Vídeo resumen "El ciclo celular, Biología 2º Bachillerato

Vídeo resumen "Bioelementos, El agua y las sales minerales", Biología 2º de Bachillerato