Ciberinvestigación: investigación, técnica e intuición


Robinson Delaugerre, experto en forense digital, nos presenta su día a día:

En el CSIRT de Orange Cyberdefense, Robinson Delaugerre, experto en forense digital, dirige un equipo de diez personas formadas para responder a incidentes de seguridad y proteger los activos digitales de sus clientes. Si bien este trabajo de investigación requiere de habilidades técnicas, la intuición es primordial para entender al atacante y remediar los ataques.

La intrusión digital, un rastro dejado que cuenta el modus operandi del atacante

Proteger a sus clientes, defender a los internautas, este es el trabajo diario de Robinson y la fuente de satisfacción de este entusiasta de la investigación digital.

Robinson Delaugerre es Gerente de Investigaciones en el CSIRT de Orange Cyberdefense, la unidad de defensa que organiza la respuesta a incidentes. Es un trabajo de investigación y un reto intelectual:

«Cuando un atacante interactúa con tu sistema de información, esta intrusión deja un rastro que tenemos que encontrar, recoger, interpretar y deconstruir para darle sentido. Este rastro, puede manifestarse simplemente como correos electrónicos que desaparecen, una ventana que se abre y le ofrece una descarga. «

A Robinson Delaugerre y su equipo para definir quién es el intruso, cómo opera y cómo detenerlo.

El tiempo: nuestro enemigo, nuestro aliado

Esta semana, un cliente llamó con una emergencia. Varias cuentas de correo electrónico habían sido «comprometidas» y esta intrusión se estaba extendiendo a otras cuentas de correo electrónico.

«Tenemos que movernos rápido, es un subidón de adrenalina porque lo que está en juego para el cliente es eminentemente estratégico y es nuestra responsabilidad. Podemos intervenir en cualquier perímetro y estamos creciendo en competencia al mismo tiempo que los ataques se vuelven más complejos. Podemos entender cualquier tecnología. «

Interpretar el rastro, reparar el incidente y apoyar la resiliencia

Una vez entendido y contenido el ataque, se apoya al cliente en su resiliencia digital:
«Le construimos un plan de remediación. Se trata de una recomendación técnica, organizativa y presupuestaria para reconstruir su ecosistema tras un ataque. Nuestra misión es aportarle soluciones para proteger sus activos digitales. «

La seguridad es también un enfoque de calidad. Tras varios años de experiencia, Robinson señala que en la mayoría de los incidentes que atiende, los clientes reaccionan tras el primer ataque y luego se dan cuenta de que deberían haberse anticipado. «Siempre tendemos a subestimar el riesgo cuando parece lejano. El primer incidente suele vivirse como un trauma y el papel de los equipos CSIRT es también ayudar a la empresa víctima a recuperar la confianza. «Para ello, hay medidas técnicas, por supuesto, pero también hacemos mucha pedagogía para que entiendan lo que ha pasado, y para que ellos mismos tomen las riendas de la reparación del incidente. «

Entrar en los equipos CSIRT: habilidades técnicas, habilidades de comportamiento.

La contratación se centra tanto en los antecedentes como en las habilidades blandas. Aunque el equipo está compuesto mayoritariamente por perfiles de ingeniería y técnicos, también incluye, por ejemplo, un doctor en biología. Es más fácil formar a un policía con diez años de experiencia sobre el terreno y una cultura de investigación y hacerlo más competente técnicamente que formar a alguien con diez años de experiencia técnica pero sin sentido de la investigación», explica Robinson. Determinación, metodología, agilidad para adaptarse diariamente a las diferentes morfologías de los incidentes, capacidad de comunicación y empatía, esto es lo que caracteriza a esta comunidad de investigadores y analistas que sólo tienen una misión en mente: proteger su propiedad intelectual, sus datos, su imagen.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *