Preguntas frecuentes sobre cómo empezar en Ciberinteligencia por Katie Nickels
Updated: Nov 24, 2020
Uno de los mensajes más frecuentes que recibo viene de personas que buscan consejos sobre cómo iniciarse en Cyber Threat Intelligence (CTI) [en español, Ciberinteligencia]. Pensé que sería útil recopilar mis respuestas sobre algunas de las preguntas más frecuentes. Es importante advertir que ésta publicación contiene solamente mis opiniones y experiencias. Otras personas podrían tener diferentes perspectivas, por lo que espero que cualquier persona interesada en este campo consulte otras opiniones.
Esta es una buena pregunta y entiendo por qué las personas la hacen, pero la forma en la que yo comencé en CTI puede no ser la forma correcta para otras personas. Entré en CTI sin querer hace más de una década. En la secundaria y la universidad, quería dedicarme al periodismo. Después de graduarme de la universidad, no podía conseguir un como periodista, así que acepté lo que pude: un trabajo de investigadora principiante para una empresa de investigación privada. Durante ese tiempo, tuve la suerte de conocer a mi ahora marido, que había trabajado para el gobierno y en la comunidad de inteligencia. Como me gustaba investigar, escribir y analizar información, me sugirió que quizás me gustaría trabajar como analista de inteligencia. Con su ayuda, mucha investigación y mucho trabajo duro, me postulé a un montón de posiciones en el gobierno hasta que me contactaron del Departamento de Defensa para una entrevista para un puesto de ciberinteligencia. En ese momento, ¡no tenía experiencia ni en ciber ni en inteligencia! Pero, de todas formas, me preparé mucho para la entrevista, me dieron una oportunidad y me ofrecieron el trabajo. Realmente dudé antes de aceptarlo. Recuerdo haberle dicho a mi marido con una voz muy disgustada: "No quiero mirar líneas de código todo el día ..." 😆 Una vez que empecé, descubrí que disfrutaba el trabajo porque se centraba en la parte humana detrás del teclado, no solo en el código. Tuve la suerte de recibir muchos cursos de entrenamiento técnico desde el principio. El entrenamiento, combinado con bombardear a preguntas a mis comprensivos compañeros de trabajo, fue clave en mi aprendizaje.
Hay una parte importante de mi historia que quiero resaltar para todas las personas que contratan gente: yo no contaba con experiencia previa en ciberseguridad. Todo lo que necesitaba era una oportunidad, y me embarqué en ella una vez que la tuve. Si estas en condiciones de contratar a alguien que sea realmente un principiante sin experiencia, dale la oportunidad; nunca se sabe lo que puede suceder.
¿Cómo entro al área de CTI?
Hay muchas formas de conseguir trabajos de CTI y empezar en esta área, y no existe una única manera "mejor". A continuación, menciono algunos caminos que he visto de profesionales de CTI que respeto y admiro:
Periodista de tecnología > Analista de CTI: Mi amiga Selena Larson (https://twitter.com/selenalarson) fue periodista de tecnología en la CNN, donde realizó informes sobre problemas de privacidad y seguridad dentro de la industria de la tecnología, incluyendo las amenazas a los sistemas industriales (ICS). A la empresa Dragos le impresionó el trabajo que hacía, por lo que la contrataron como analista de inteligencia, donde ha realizado un trabajo increíble. Considero fuertemente que la escritura es una habilidad fundamental en un equipo de CTI, y Selena es un gran ejemplo de esto.
Administrador de sistemas > Ingeniero de detecciones > Analista de CTI: Mi compañero de equipo Tony Lambert comenzó como administrador de sistemas en una universidad, donde aprendió cómo los sistemas deben y no deben configurarse de una forma muy práctica. Tony trabajó duro y se involucró con la comunidad de ciberseguridad aprendiendo más sobre respuesta ante incidentes y forensia digital (DFIR). Ese trabajo lo llevó a ser contratado en Red Canary como ingeniero de detecciones. Era excelente en la identificación de adversarios y mostró curiosidad por diseccionar las detecciones y entender los detalles respecto a lo que hacían los adversarios, por lo que resultó un candidato natural para ser uno de los miembros fundadores del equipo de inteligencia de Red Canary. (¡Acá pueden leer una publicación increíble que escribió sobre un nuevo grupo que identificó!).He visto a otros analistas tomar un camino similar al de Tony al comenzar como analistas del centro de operaciones de seguridad (SOC) de nivel 1, administradores de red o similares puestos de principiantes, y luego mostraron interés y curiosidad en CTI. Dependiendo del tipo de organización, es posible que puedas moverte dentro de tu propia organización si en ella existe un equipo de CTI.
Militar > Consultor (y otros) > Líder de Inteligencia y operaciones > Director de ingeniería de seguridad: Conocí a Chris Cochran en la SANS CTI Summit hace casi dos años, y me impresionó mucho su experiencia y cómo se comportaba. Chris comenzó su carrera del mundo digital en el Cuerpo de Marines de los EE. UU. Muchos analistas de CTI se iniciaron en el ejército, que es un buen camino hacia CTI. A partir de ahí, trabajó en diferentes lugares, incluso como consultor en Mandiant y líder asociado en Booz Allen Hamilton, donde adquirió experiencia en inteligencia de amenazas. Chris continuó creciendo y fue el líder de operaciones de inteligencia de amenazas en Netflix, antes de pasar este año a ser el director de ingeniería de seguridad en Marqeta. Chris es un gran ejemplo de cómo el trabajo duro y la superación personal constante te ayudan a ascender a puestos gerenciales. También es activo en la comunidad (¡especialmente en LinkedIn!) y publica el podcast Hacker Valley Studio.
¿Qué títulos, formación o certificaciones necesito para trabajar en CTI?
¿En mi opinión? Ninguna. Si tienes ganas de aprender CTI, puedes ser autodidacta y adquirir los conceptos y habilidades fundamentales. (Consulta mi publicación sobre algunas lecturas recomendadas). Pero eso algo difícil de lograr, y seamos honestos: muchos empleadores podrían no creérselo, por lo que algún tipo de capacitación o educación formal podría ayudarte. Además, es importante reconocer que para las minorías sub-representadas en ciberseguridad, especialmente BIPOC (en inglés: Black, Indigenous and People of Color [Personas negras, indígenas y de color]) y mujeres, tener un título o certificación puede ayudarte a demostrar tus habilidades cuando las personas (a veces injustamente) cuestionen tus calificaciones.
Títulos: Mi título universitario fue en Estudios Estadounidenses. Sí, lo leíste correctamente: Estudios Estadounidenses. Creo que título que tengas, incluso universitario, no importa mucho. Algunos excelentes analistas que conozco no tienen títulos. Sin embargo, si deseas un título que te ayude en CTI, ciencias de la computación podría proporcionarte una buena base, al igual que los programas de ciberseguridad. Los títulos de inteligencia también pueden ser útiles. (Por ejemplo, yo obtuve mi maestría en el Programa de Estudios de Seguridad de la Universidad de Georgetown.
Cursos de formación y certificaciones: Soy instructora de SANS FOR578, por lo que es natural que lo recomiende como curso de formación junto con la certificación GCTI. Este curso es caro y soy consciente de que es más accesible para quienes tienen empleadores que lo pueden pagar. Si quieres tomar un curso SANS a un costo menor, consulta el programa Work Study o el programa CyberTalent. También puedes ver el webcast que hice con contenido selecto de FOR578.
Sin embargo, ¡SANS no es la única opción para formarte en CTI! Creo firmemente que tener muchas opciones de capacitación en CTI beneficia a la comunidad. Algunas otras excelentes opciones de capacitación en CTI de menor costo incluyen cursos de Chris Sanders, Joe Slowik y Sergio Caltagirone. Algunos de estos cursos también proporcionan certificaciones. Existen otras opciones como el certificado de analista de inteligencia de amenazas de EC-Council, pero no estoy familiarizada con ellas, por lo que no puedo recomendarlas particularmente.
¿Qué tipo de organizaciones contratan analistas de CTI?
Divido el espacio de CTI en tres tipos principales de organizaciones, las cuales tienen ventajas y desventajas sobre las que generalizaré. Como siempre, las generalizaciones son intrínsecamente inexactas, por lo que hay excepciones a todo lo que voy a decir aquí. (Consulta mi publicación anterior sobre elección de trabajos para obtener más información sobre cómo decidir en qué tipo de organización querrías trabajar).
Contratación gubernamental, militar, gubernamental contratista y consultoría: Sí, me doy cuenta de que hay mucha diversidad en esta categoría, así que tómalo con pinzas. 😃 Esta categoría incluye gobiernos federales/estatales/locales, contratistas como MITRE, ManTech y Raytheon (donde he trabajado) y consultoras como Deloitte. Algunas posiciones en estas organizaciones pueden requerir autorizaciones de seguridad (clearance), y estas organizaciones suelen ser sumamente burocráticas, lo cual es bueno porque a menudo son más estables, y malo porque a veces es lento hacer que las cosas sucedan. Algunas personas encuentran gratificante trabajar en puestos de servicio público como el gobierno debido a la misión. Por ejemplo, cuando trabajé para el gobierno, tuve un sentimiento de orgullo por proteger la seguridad de mi país. Cuando comencé en esta área hace más de una década, muchos analistas de CTI tenían antecedentes gubernamentales/militares, pero eso ha cambiado bastante y muchos analistas de CTI comienzan sus carreras en el sector privado y permanecen allí.
Proveedores de ciberseguridad: Esta categoría incluye organizaciones que venden productos o servicios de ciberseguridad, como Red Canary, FireEye, CrowdStrike, Proofpoint y Digital Shadows, solo por nombrar algunos. Solía pensar que los proveedores solo buscaban ganar dinero, pero me di cuenta de que somos una parte fundamental de la comunidad de ciberseguridad e impulsamos muchas investigaciones. Además, ayudamos a los clientes, lo cual me hace sentir bien. Un beneficio de los proveedores es que tenemos visibilidad en muchos entornos distintos, lo que puede ser divertido para los analistas de CTI al ver diferentes modelos de amenazas. Sin embargo, dependiendo del tipo de proveedor, es posible que haya limitaciones en la forma en la que recopilan datos o en los datos que tienen. Algunos proveedores se centran más en los endpoints que en las redes, mientras que otros se centran en la recopilación de información de la Dark Web. En cuanto a los proveedores, debes hacerles preguntas a los proveedores sobre sus prácticas comerciales y asegurarte de que te sientes cómodo con ellas.
Empresas privadas que no son proveedores: Esta categoría incluye organizaciones como bancos, minoristas o empresas de tecnología. Las grandes corporaciones pueden ser un gran lugar para comenzar en CTI porque suelen tener grandes equipos de seguridad (lo que a menudo significa que tienen un equipo de CTI). Estas corporaciones también pueden ser un buen lugar para comenzar como analista de nivel 1 de SOC u otro puesto principiante y crecer hacia un equipo de CTI. Una cuestión a tener en cuenta a la hora de trabajar en una corporación privada es que a menudo tendrás una visibilidad profunda de una sola organización. Vas a ver muchos tipos de sistemas y logs, pero solo dentro de tu organización.
¿Qué hacen los analistas de CTI?
El área de CTI es sorprendentemente amplia y cómo se ve un día normal depende en gran medida de los requisitos del equipo de CTI. Algunos analistas se centran en el nivel estratégico y se dedican a leer informes sobre lo que están haciendo los países y escribir evaluaciones para sus clientes. Otros analistas se enfocan más en el nivel táctico (como yo) y miran logs y detecciones todos los días. Estas son algunas de las tareas comunes que llevan a cabo muchos analistas de CTI:
Leer informes de fuentes públicas o privadas, como blogs, informes gubernamentales y publicaciones en redes sociales.
Analizar logs y artefactos para tratar de identificar patrones o actividad maliciosa, especialmente en intrusiones.
Buscar en base a cadenas de caracteres, indicadores y artefactos de fuentes internas y externas, más datos para encontrar infraestructura adicional o piezas de malware. Usen Microsoft Excel, la mejor herramienta de CTI de todos los tiempos, para organizar hallazgos.
Crear firmas (como firmas YARA o firmas de análisis de comportamiento) e identificar indicadores de compromiso útiles para ayudar a los defensores a identificar actividades maliciosas.
Compartir información con otros analistas de la comunidad sobre la actividad de las amenazas.
Hablar con los consumidores de sus organizaciones sobre lo que necesitan y compartir información para ayudarlos a que puedan hacer mejor sus trabajos.
Presentar sus hallazgos a su organización u otros miembros de la comunidad. (En otras palabras, ¡ser ninjas de PowerPoint!)
Redactar informes para proporcionar evaluaciones o información a los consumidores.
¿Cómo puedo conseguir un trabajo en CTI?
¡¡¡Postulate a TODAS LAS OFERTAS LABORALES!!!! Hay muchos lugares donde buscar ofertas de trabajo, y una buena forma de comenzar es preguntándole a personas de la industria sobre cualquier trabajo disponible o sitios web que recomienden.
Cuando terminé la universidad, me debo haber postulado a más de cien trabajos. No es fácil, ¡pero no te rindas! Pídele a un amigo o colega que te ayude con tu currículum y aprovecha las revisiones de currículums que se realizan en las conferencias de seguridad. Si no tienes experiencia en CTI, piensa en los aspectos de otras experiencias que tengas que podrían aplicar a CTI; por ejemplo, ¿investigas alertas de seguridad o escribes informes? ¿Tienes experiencia haciendo investigaciones, aunque sea en un área como el periodismo? Trata de escribir sobre tu experiencia de una manera que enfatice las habilidades de CTI. Me gusta este desglose de habilidades de CTI de INSA, por lo que recomiendo pensar en cómo podrías enfatizar cada uno de estas habilidades en tu currículum:
Características y habilidades de un analista de ciberinteligencia
Aprende lo más que puedas sobre los términos, temas y marcos de referencias de CTI (muchos de los cuales discuto aquí). Intenta descargar y usar herramientas como MISP. Lee una publicación y luego busca dominios, IP y hashes en herramientas como AlienVault OTX, RiskIQ Community o VirusTotal (Hay muchas otras herramientas y recursos gratuitos enumerados aquí). Mira presentaciones de eventos como la SANS CTI Summit y piensa críticamente sobre el contenido: ¿con qué estás de acuerdo o en desacuerdo? Publica en redes sociales y haz preguntas cuando no entiendas (si las personas son idiotas, ignóralas y continua enfocándote en personas más agradables).
Aquí hay un par de preguntas de entrevistas para puestos de CTI que hice y que escuché de otras personas. Piensa en cómo las responderías y piensa también en tus propias preguntas:
¿Qué es el modelo Diamante (o MITRE ATT&CK o Cyber Kill Chain) y cómo lo usarías?
Cuéntame acerca de un informe reciente que hayas leído sobre una amenaza cibernética.
¿Qué es la atribución? ¿Es importante?
¿Cuáles son las diferencias clave entre los adversarios rusos, chinos e iraníes?
¿Qué son los indicadores, cuándo son útiles y cuándo no?
Por último, ya habrás escuchado esto antes, pero la red de contactos es clave, ya sea que estés tratando de obtener un trabajo de CTI o para cualquier otro puesto. Las redes sociales son una excelente manera de hacer esto. Las conferencias virtuales son otra excelente manera de establecer contactos, ya que a menudo tienen Slacks o Discords donde puedes interactuar con los asistentes. Si alguien te ignora o trata de alejarte de esta área, ignóralo y siéntete mal por él, porque es alguien inseguro de sí mismo. Ten en cuenta que la gente está ocupada y que este es un momento difícil para todos nosotros, así que ten paciencia y comprende si alguien no te responde. (*Levanto la mano*... a veces no tengo la energía para responder a todos, ¡aunque desearía hacerlo!)
¡Gracias por leer!
Si has llegado hasta aquí, ¡guau! 😆 Espero que hayas encontrado útil parte de este contenido. CTI es un campo que me encanta y espero que consideres unirte a nosotros; ¡necesitamos nuevas ideas y perspectivas para mejorar!
Publicación original de Katie Nickels: FAQs on Getting Started in Cyber Threat Intelligence https://medium.com/katies-five-cents/faqs-on-getting-started-in-cyber-threat-intelligence-f567f267348e
Traducido por Gabriela Nicolao
Editado por Valentina Palacín