Keynote: Apuntes de Google sobre Threat Detection

Gran amigo Pedro González está aquí con nosotros y vamos a presentar el Keyotes by Gogo. Como es tradición en Bide mañanero se va a tener que aventar un shotsito nuestro amigo Pedro, ya que es una tradición que venimos llevando desde hace mucho ratote. Así que un fuerte aplauso para que se motive a darse este primer shot, por favor. Un fuerte aplauso.

Ya son las 12 en algún lugar del mundo. Échale más.

Saludos. [Música] Sí, está fuerte. Muchas gracias, muchas gracias por la energética introducción. Hola, mi nombre es Pedro, como ya dijimos, eh, esta plática eh la verdad vamos a tratar de hacer breve. Yo sé que todos están aquí por esta plática y no es por el batch, ¿verdad? Entonces, pues vamos a vamos a platicar sobre detección de amenazas, específicamente en Google. Mi intención con esta plática es eh son dos cosas. Uno es platicarles lo que hacemos en Google, tratar, bueno, lo que me dejaron poder platicarles en en relación a gestión de amenazas, pero también dar una una visión sobre lo que para para mí en lo personal y para Google en en a nivel organización significa detección

de amenazas, ¿no? Eh, detección de amenazas entendiéndose como esta este proceso sistemático de identificación de riesgos en en sistemas cibernéticos. Eh, en un momento ahondaremos en por qué esto es importante. Eh, ver si funciona aquí el Ah, sí, creo que este no funciono.

Fallas técnicas.

Listo. Como les decía, mi nombre es Pedro González. Eh, yo empecé siendo un analista de ciberseguridad. En mi carrera en en ciberseguridad empezó así. Eh, sin embargo, alguien se le ocurrió la, no sé si buena o mala idea de convertirme en manager bastante pronto, así que me pasé a ese lado oscuro, al lado oscuro del management hace ya bastante tiempo. Prácticamente de estos 12 años de experiencia, unos 10, 11 han sido como manager. Ah, he fungido en diferentes roles, casi todos de Blue Team. He sido security engineer, eh security analyst, como ya les comentaba, eh director de ciberseguridad por algún breve periodo. He tenido diferentes eh sombreros en el área de de Blue Acteño, tengo el honor,

el privilegio de de liderar un equipo eh de detección de amenazas aquí en Google. Eh este equipo se encarga básicamente de trade detection. predetección, como ya les decía, entendéndose como esta detección sistemática de amenazas, no como triash de alertas, no como eh únicamente llegar a sentarse y categorizar como falso positivo o true positive, ¿no? Ahorita les voy a tratar de explicar un poco eh más sobre lo que lo que realmente hacemos. No sé si alguno de ustedes aquí se identifica con esta frase. Eh, definitivamente yo no. Y espero que nadie de aquí porque si no los sí los mandaría a revisar algo, ¿no? Eh, creo que precisamente hablaba mucho de este concepto de sentarse a a ver a

ver alertas y eso es lo que usualmente se entiende como detección de amenazas, como blue team, como SOP. Estamos aquí un poquito para retar esa esa visión. Les voy a dar un poquito de contexto histórico, al menos como yo lo entiendo. Y bueno, considero que muchas de las cosas de Blue Team empezaron en los años 80. Eh, la forma más fácil de detectar amenazas o la forma más básica es simplemente ir a los logs. Si tienes un administrador de sistemas, eh administras un apache, un una base de datos, cualquier sistema que me digas, creo que puedes almacenar locks, eh ves comportamiento, ves peticiones sospechosas, etcétera. Eh, la primera forma o la primera transición hacia la

detección de amenazas ha sido ese size admin que empieza a revisar sus locks manualmente y dice, "Ey, aquí hay algo raro, etcétera." Eh, en los años 80, de hecho, eh ya se pueden reconocer varias de las tecnologías que actualmente seguimos usando. Uba aparece más o menos alrededor de este periodo, las la centralización del Ox, enteniéndose como un CM, etcétera, ya aparece. Esto creo que es una nos dice bastante sobre el estado actual de la de la detección de amenazas porque seguimos usando lo mismo, ¿no? Eh, cada quien lee una lectura que prefiera, pero creo que algo algo nos dice. Después, eh, a lo mejor una década después empiezan a aparecer eh data mining, se empiezan a aplicar técnicas

de algoritmos eh o redes neuronales para la detección de amenazas o de patrones sospechosos. Eh, esto creo que empieza a a mostrarnos un estado o una evolución del arte de la detección de amenazas. Más recientemente tenemos ya cosas como la inteligencia artificial para SOP, tenemos machine learning, esta combinación de estado, comportamiento y regla, que es una evolución de UVA. Ah, he visto en varios de los fabricantes de detección que se enfocan más en este tipo de reglas ahora, ¿no? No solamente en como en las reglas estáticas que que que eso fue con lo que se empezó. Es más, ¿por qué el contexto? Porque considero que la historia en detección de amenazas cada vez nos está llevando

más hacia la independencia de el ser humano. Es decir, al principio quien revisaba loss, como ya comentamos, era un e administrador de sistemas. Poco a poco ese ese rol se fue especializando y fuimos dependiendo más de nuevas herramientas para hacer nuestro trabajo como blue teamers. Tenemos un 100 que correlaciona automáticamente las alertas. Tenemos un SOAR que cierra algunas que no son tan importantes. Okay. Creo entonces que con el paso del tiempo la el papel del analista de de ciberseguridad se ha ido transformando bastante, eliminando cada vez más la el involucramiento directo del analista en el triash o en el filtrado de las alertas. No sé qué vaya a pasar. Hoy no traje la bola mágica, pero creo que en algún la

la tendencia del en temas de ciberseguridad es hacia la independencia en en en la gestión de alertas, ¿no? Ahorita les voy a poner unos datos que creo que sostienen esta afirmación. Esos son datos de Google. En Google lo que hacemos para detección de amenazas lo consideramos una máquina. Esta esta máquina interna. Esta máquina tiene tres eh principales componentes, como todo sistema, unas fuentes o unas entradas, el procesamiento y unas salidas. En Google tenemos más de 450 fuentes que consumen datos de forma constante. Eh, usualmente en una organización, no sé, ustedes me dirán, puede haber cinco fuentes, 10 fuentes diferentes. Tienes un DLP, tienes un ah firewall, tienes un EDR, pero aquí tenemos 450 fuentes diferentes. Eh, en Google se procesan 7

billones de líneas de locks por día y eso aproximadamente últimamente se han se ha incrementado. Procesamos 40 TB bytes por segundo de información. Esto equivale al tráfico a veces de varios países pequeños en Latinoamérica, por ejemplo, en Honduras o algo. Es bastante información. Tenemos más de 12 apps internas de las cuales eh pueden incluir desde workspace, eh GCP, etcétera. Tenemos eh cuidamos más de 50 BTs. Las BETs son eh entidades hermanas de Google. Es decir, están bajo la ombrela de alphabet. Eh, todo esto se procesa haciendo un pattern machin. Tenemos también machine learning, tenemos análisis estadístico, manual hunting y data enrichment. Actualmente el 99% de las alertas que salen de esta máquina después de hacer

este procesamiento de pattern matching y ah machine learnings, análisis estadístico, etcétera, el 99% de ellas ya son resueltas de forma automática. No estoy hablando aún de IA, estoy hablando solo de automatización. Entonces, considero que estos datos, o al menos lo que nosotros podemos ver como Google, sí apuntan hacia hacia cada vez una automatización y una independencia de el analista. Eh, como Google también creo que cometimos o o estábamos reinventando alguno algún alguna eh el rol del Security Analy cada cierto tiempo. Esto es algo que hacíamos cada cierto tiempo y creo que muchos se identificarán con esto. por ejemplo, eh empezabas analizando datos o teniendo analistas que necesitan datos de información, agregas nuevas fuentes, agregas automatización, pero entonces

agregas nuevos analistas eh y agregas nuevas alertas, lo cual crea un ciclo eh en el cual cada vez el analista tiene más alertas que atender. La automatización no está cumpliendo su cometido de hacer que el analista pueda trabajar de forma creativa, que al final es creo que es el rol o es la aspiración que cada uno de los blue teamers debe debe tener, ¿no? No trabajar solo en cerrar falsos positivos, sino trabajar en hacerlo hacer hacer la parte creativa de la detección de amenazas. ¿Cómo dividimos actualmente o cómo qué proponemos nosotros en Google para evitar caer en este ciclo del que les hablaba anteriormente? es dividir el tiempo de los analistas en al menos al

menos el 40% del tiempo eh hacer proyectos de detección, proyectos de mejoras, proyectos de automatización. Al final el mensaje aquí es ah nosotros ya tenemos una visión diferente del analista y considero que esa visión debe estar metida, debe estar debe ser comunicada a las personas que hoy en día empiezan su carrera, sobre todo si les interesa el tema de blue team cada día. las alertas de ciberseguridad empiezan a ser analizadas de forma más automatizada, con inteligencia artificial, con algoritmos, como les comentaba, de machine learning, de IA. Eso es muy importante. Creo que hay que transformar la visión y eso va a pasar solamente entre los que estamos sentados por acá, ¿no? Ah, ese es un poquito de

cómo estructuramos nuestros equipos en en Google, nuestros equipos de detección. Es muy importante lo que les decía, no es un SOP, no estamos haciendo triash de alertas falsos positivos, estamos haciendo hunting, manual hunting de forma constante, al menos el 40% del tiempo. Eso significa que el 40% del tiempo nos estamos dedicando a mejorar las detecciones. Me gusta esta imagen porque al final refleja una de mis visiones más eh importantes, considero en el tema de de Blue Team, que si ustedes se fijan la operación, la detección de amenazas, lo que tradicionalmente se conoce como SOC, es el pegamento que une a todas las demás áreas. Por aquí puedes tener un excelente análisis de amenazas, eh puedes tener un excelente equipo de

inteligencia, pero si no accionas una detección basada en esa inteligencia, bueno, estás estás haciendo un mal trabajo en la detección de amenazas. puedes tener un equipo excelente que te afina las las reglas a hasta el nivel más óptimo y y el performance adecuado, pero si no tienes un equipo que haga la detección efectiva o la el la escalación o la contención efectiva de esas amenazas, pues no estás haciendo una buena detección. Lo mismo con los equipos adyacentes como Digital Forensic, Incident Management. Eh, creo que es la intención de este de este slide es mostrarles que para mí en lo personal y espero que para muchos aquí, Blue Team no es la parte aburrida de seguridad, sino es la parte que une a

todas las demás, es la parte esencial. Esta este slide eh eh trata de ir un poco más a detalle sobre lo que hacemos en Google. La verdad es que es bastante ah técnicamente complicado explicar cada una de estas partes. De hecho, a un analista de ciberseguridad en Google le toma aproximadamente entre cuatro o 5 meses el familiarizarse solo con los conceptos o con las, perdóname, con las reglas que mostramos por aquí. Por aquí al fondo, eh Google tiene un boot actualmente. Si a alguien le interesa hablar sobre alguno de los temas eh ya específicamente técnicos de esto, hay algunas cosas que podemos platicar, otras que no, pero bueno, se pueden acercar, podemos platicar y podemos

charlar al respecto, ir más a detalle. Y bueno, ya como punto final, eh creo que el mensaje, como ya les mencionaba, eh uno de los más importantes es que tr detection pues no es no es SOC, ¿no? Blue team es mucho más que SOC, es tre hunting, es eh incluso es de boss, ¿no? Nad disculpen. Como como qué podemos hacer para para generar una mejor conciencia en temas de de Blue Team? Bueno, como analistas ya les decía, creo que deben ser muy conscientes de los cambios que tiene o que va a tener esta esta profesión o este rol en el futuro. Van a ser bastante interesantes y y podemos igual, ese es un tema bastante que me gusta

mucho. Creo que aquellos que pasen por Google, por el stand de Google más tarde vamos a vamos a poder tener unas pláticas más cercanas al respecto de esto, pero de verdad que las muchas de las automatizaciones, muchas de las eh de las cosas que están en producción de inteligencia artificial me sorprenden incluso a mí que llevo ya bastantes años en esto, ¿no? Eh, no es no es food, no es querer asustarlos, es querer prevenir a las personas que quieran ingresar el día de hoy a Blue Team. Necesitamos más que solo el skill para saber si una alerta es mala o no. Necesitamos ir más allá, darle el factor humano al final a a a la a la investigación. Eh, es

bastante bastante interesante. Eh, entonces, si se van con un mensaje de esta charla, que sea este, que sea el el tener el ojo todo el tiempo en poder evolucionar a nivel personal el rol del analista. Y bueno, para todos los que están aquí que son managers, creo que el otro mensaje es incentiven esto en los en los equipos. De verdad que sabemos que no es tan fácil, o sea, eh dividir o o darle el espacio a los analistas para tener creatividad o para tener proyectos de automatización, etcétera. El budget muchas veces es es apretado. Yo lo sé como les como les comentaba también estuve ahí, fui analista, sé que es difícil llegar, sentarse varias horas y

hacer triash de de chen alertas, no sé, en un día. Eh, es complicado, pero creo que el futuro nos va a dejar atrás si no lo hacemos así. E y bueno, eh por por al final un mensaje de nuestro patrocinador Google, eh si alguien le interesa el tema de las las posiciones que acabamos de mencionar o el la e el approach que les acabo de comentar, tenemos posiciones abiertas, hay bastantes posiciones eh en Google, como les decía, esta es una introducción bastante leve a lo que hacemos, pero podemos ahondar bastante en la en el boot que está aquí al lado al fondo de Google, sigan las flechas. Eh, tenemos UV Keys, perdón, Titan Keys, sorry, ya

di el este, tenemos Titan Keys, tenemos stickers y podemos platicar un poco más sobre esos temas. Eh, al final, como les comentaba, tenemos estas vacantes, pero cada uno de ustedes creo que podría eh verse más interesado en temas específicos. Estamos abiertos a a platicar. Eh, de mi parte eso sería todo por el momento. Les agradezco mucho. Eh, y bueno, los invito a pasar. Muchas gracias.