Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1: Cazador de Amenazas
Este experto aplica nueva inteligencia de amenazas contra la evidencia existente para identificar a los atacantes que se han
deslizado a través de mecanismos de detección en tiempo real. La práctica de la caza de amenazas requiere varios conjuntos
de habilidades, que incluyen inteligencia de amenazas, análisis forense de sistemas y redes, y procesos de desarrollo
investigativo. Este rol transita la respuesta a incidentes de un proceso de investigación puramente reactivo a uno proactivo,
descubriendo adversarios o sus huellas basadas en el desarrollo de la inteligencia.
¿Por qué es importante este papel? Los cazadores de amenazas buscan proactivamente evidencia de atacantes que no
fueron identificados por los métodos tradicionales de detección. Sus descubrimientos a menudo incluyen adversarios latentes
que han estado presentes por períodos prolongados de tiempo.
Cursos SANS recomendados: SEC504 (Certificación GCIH),SEC511 (Certificación GMON), FOR608, FOR508 (Certificación
GCFA), FOR509, ICS515 (Certificación GRID), FOR572 (Certificación GNFA), FOR578 (Certificación GCTI), FOR710,
FOR610 (Certificación GREM), SEC541, y ICS612
2: Teamer Rojo
En este rol, tendrá el desafío de mirar los problemas y situaciones desde la perspectiva de un adversario. La atención se
centra en mejorar el Equipo Azul probando y midiendo las políticas, procedimientos y tecnologías de detección y respuesta
de la organización. Este rol incluye la realización de la emulación adversaria, un tipo de ejercicio del Equipo Rojo donde el
Equipo Rojo emula cómo funciona el adversario, siguiendo las mismas tácticas, técnicas y procedimientos (TTP), con un
objetivo específico similar a los de amenazas o adversarios realistas. También puede incluir la creación de implantes
personalizados y marcos C2 para evadir la detección.
¿Por qué es importante este papel? Este papel es importante para ayudar a responder la pregunta común de "¿puede
sucedernos ese ataque que derribó a la compañía?". Los Red Teamers tendrán una visión holística de la preparación de la
organización para un ataque real y sofisticado probando a los defensores, no solo a las defensas.
Cursos SANS recomendados: SEC565, SEC670, SEC560 (Certificación GPEN), SEC660 (Certificación GXPN), SEC760, y
SEC504 (Certificación GCIH)
3: Analista forense digital
Este experto aplica habilidades forenses digitales a una gran cantidad de medios que abarcan una investigación. La práctica
de ser un examinador forense digital requiere varios conjuntos de habilidades, incluida la recopilación de pruebas,
computadoras, teléfonos inteligentes, nube y análisis forense de redes, y una mentalidad investigativa. Estos expertos analizan
sistemas comprometidos o medios digitales involucrados en una investigación que puede usarse para determinar lo que
realmente sucedió. Los medios digitales contienen huellas que los datos forenses físicos y la escena del crimen pueden no
incluir.
¿Por qué es importante este papel? Usted es el detective en el mundo de la ciberseguridad, busca en computadoras, teléfonos
inteligentes, datos en la nube y redes para obtener evidencia a raíz de un incidente / crimen. La oportunidad de aprender
nunca se detiene. La tecnología siempre avanza, como lo es su carrera.
Cursos SANS recomendados: FOR308, FOR498 (Certificación GBFA), FOR500 (Certificación GCFE), FOR608, FOR508
(Certificación GCFA), FOR509, FOR518 (Certificación de GIME), FOR572 (Certificación GNFA), y FOR585 (Certificación
GASF)
4: Teamer Purpura
En este puesto de trabajo bastante reciente, tiene una gran comprensión de cómo funcionan las defensas de ciberseguridad
("Equipo Azul") y cómo operan los adversarios ("Equipo Rojo"). Durante sus actividades cotidianas, organizará y automatizará
la emulación de técnicas adversarias, destacará posibles nuevas fuentes de registro y utilizará casos que ayuden a aumentar
la cobertura de detección del SOC y a proponer controles de seguridad para mejorar la resiliencia contra las técnicas. También
trabajará para ayudar a coordinar la comunicación efectiva entre los roles defensivos y ofensivos tradicionales.
¿Por qué es importante este papel? Ayuda a los azules y los rojos a entenderse mejor. Los equipos azules han estado
hablando tradicionalmente sobre controles de seguridad, fuentes de registro, casos de uso, etc. Por otro lado, los equipos
rojos hablan tradicionalmente sobre cargas útiles, exploits, implantes, etc. Ayuda a cerrar la brecha asegurando que el rojo y
el azul hablen un idioma común y puedan trabajar juntos para mejorar la ciberseguridad general de la organización
Cursos SANS recomendados: SEC504 (Certificación GCIH), SEC599 (Certificación GDAT), SEC598 y SEC699
5: Analista de Malware
Los analistas de malware enfrentan las capacidades de los atacantes de frente, asegurando la respuesta y contención más
rápida y efectiva de un ataque cibernético. Miras profundamente dentro del software malicioso que comprende la naturaleza
de la amenaza: cómo entró, qué defecto explotó y qué ha hecho, está tratando de hacer o tiene el potencial de lograrlo.
¿Por qué es importante este papel? Si se le da la tarea de caracterizar exhaustivamente las capacidades de una pieza de
código malicioso, sabe que se enfrenta a un caso de suma importancia. El manejo, desmontaje, depuración y análisis
adecuados de los binarios requiere herramientas, técnicas y procedimientos específicos y el conocimiento de cómo ver a
través del código sus verdaderas funciones. Los ingenieros inversos poseen estas habilidades preciosas y pueden ser un
punto de inflexión a favor de los investigadores durante las operaciones de respuesta a incidentes. Ya sea extrayendo firmas
críticas para ayudar a una mejor detección o produciendo inteligencia de amenazas para informar a colegas en toda la
industria, los analistas de malware son un recurso invaluable de investigación.
Cursos SANS recomendados: FOR710, FOR610 (Certificación GREM), FOR518 (Certificación de GIME), y FOR585
(Certificación GASF)