Por Yogi Kapur y Scott Nyberg
En nuestra serie de preguntas y respuestas «Engineering Energizers», examinamos las trayectorias profesionales que han formado a los líderes de ingeniería de Salesforce. Conozca a Yogi Kapur, Director senior del equipo global de respuesta a incidentes de seguridad informática (CSIRT) de Salesforce. Con base en Hyderabad, India, Yogi dirige su equipo de analistas de ciberseguridad para responder a innumerables alertas y contener amenazas maliciosas.
Siga leyendo para saber cómo Yogi ha llevado la respuesta ante amenazas al siguiente nivel mediante la incorporación de herramientas de automatización de vanguardia, lo que permite a su equipo ampliar sus esfuerzos de protección y adaptarse a un panorama de amenazas en constante evolución.
¿Cuál es la misión de tu equipo?
Mi equipo está en primera línea de defensa, protegiendo los datos de los clientes y empleados de Salesforce. Nuestra misión sigue siendo muy dinámica y polifacética. Desde mantenernos un paso por delante de los actores maliciosos y las nuevas vulnerabilidades hasta incorporar nuevas herramientas que refuercen nuestras ciberdefensas y superen los requisitos normativos, nuestro equipo navega constantemente a un ritmo de cambio sin precedentes
>
>
Yogi explica lo que hace que la cultura de ingeniería de Salesforce sea única.
La cultura de ingeniería de Salesforce es única
¿Cuál es el mayor reto al que se ha enfrentado su equipo?
Nuestro equipo opera bajo estrictos Acuerdos de Nivel de Servicio, lo que nos obliga a dar soporte de forma eficiente a innumerables casos y dar cuenta de repentinos picos de trabajo – cuando cientos de alertas brotan simultáneamente.
Para satisfacer esta exigente demanda, nuestro equipo formuló una solución de categorización automatizada colaborando estrechamente con el equipo de inteligencia de amenazas de Salesforce. También introdujimos clasificaciones de riesgo, lo que nos permitió reevaluar la prioridad de las nuevas alertas, ya que no todas las notificaciones requieren la misma atención.
Esto permitió a nuestros analistas centrarse en los casos más críticos y, al mismo tiempo, permitió a la automatización gestionar los casos menos graves, garantizando que todos los casos de la organización se tratasen.
¿Cómo describiría su solución de categorización automatizada?
Nuestro enfoque de automatización engloba tres categorías:
- La primera categoría de nuestra automatización se centra en el compromiso de los usuarios a través de funcionalidades de tipo Slackbot. En este contexto, nuestro equipo ha desarrollado un sistema que realiza un seguimiento automático de los usuarios a través de Slack, en particular cuando responde a eventos y alertas de seguridad.Por ejemplo, cuando un evento requiere la validación del usuario, la automatización Slackbot recupera los detalles del usuario de las alertas e inicia una comunicación inmediata. A continuación, envía mensajes a los usuarios y continúa el seguimiento con ellos a intervalos regulares, reduciendo significativamente el esfuerzo manual y el tiempo que los analistas dedicarían de otro modo a esta tarea. Este enfoque garantiza la participación y respuesta oportunas y eficientes de los usuarios, mejorando nuestras operaciones de seguridad en general.
- La segunda categoría utiliza autorespuestas para gestionar problemas específicos. Por ejemplo, en situaciones en las que se envían correos electrónicos externos no solicitados a empleados de la empresa que generan numerosas quejas, se activan reglas de autorespuesta. Estas reglas cierran automáticamente los correos electrónicos posteriores similares mediante el envío de una respuesta predefinida.
- Los autorespondedores se utilizan para gestionar problemas específicos
- La tercera categoría automatiza algunos playbooks de extremo a extremo que se adaptan a problemas específicos. Los playbooks difieren en complejidad: algunos pueden automatizarse por completo, mientras que otros implican pasos sofisticados que requieren analistas humanos.
- Los playbooks pueden automatizarse por completo
Tu equipo investiga un volumen masivo de correos electrónicos internos. Qué papel desempeña la automatización en el proceso?
La automatización nos ha ayudado a cerrar con éxito hasta el 50% de los casos de spam y correo electrónico legítimo, reduciendo radicalmente nuestra carga de trabajo al eliminar las laboriosas comprobaciones manuales de los incidentes individuales
Para detectar posibles amenazas a la seguridad, como intentos de phishing, el sistema de automatización examina las cabeceras de los correos electrónicos -comprobándolas con su registro histórico de fuentes no fiables- y marca las instancias maliciosas, que se eliminan rápidamente de las bandejas de entrada de los empleados afectados.
Correo no deseado
>
Yogi explica cómo es trabajar para Salesforce.
¿Cómo está estructurado su equipo?
Para maximizar la eficiencia de nuestro equipo CSIRT y abordar sin problemas cada instancia de seguridad, hemos adoptado cuatro niveles de apoyo:
- Nivel Cero: Automatización. Al eliminar la necesidad de gestión humana, los sistemas de automatización de nivel cero aprovechan el aprendizaje automático basado en datos históricos. La automatización agiliza los procesos apoyando las tareas rutinarias y repetitivas.
- Los sistemas de automatización de nivel cero se basan en el aprendizaje automático de datos históricos
- Nivel Uno: los analistas. Los analistas del Nivel Uno se encargan de la respuesta inicial de los incidentes y de todos los problemas entrantes relacionados con la seguridad. Se ocupan de los incidentes de seguridad menos graves, que en realidad son los problemas más comunes a los que se enfrenta el CSIRT, y elevan los asuntos más graves.
- Los analistas de primer nivel se encargan de la respuesta inicial a los incidentes
- Segundo nivel: los investigadores. Este equipo analiza los casos potencialmente maliciosos señalados por el equipo de detección de amenazas de Salesforce y los analistas del Nivel Uno o cualquier otra herramienta/fuente de terceros. Al llevar a cabo investigaciones en profundidad, el equipo gestiona los problemas de seguridad diarios de nivel medio a alto y los bucles en el nivel 3 cuando es necesario.
- El equipo de seguridad de nivel 1 se encarga de la gestión de los problemas de seguridad diarios de nivel medio a alto
- Tercer nivel: Los cazadores de amenazas. El nivel tres está compuesto por expertos en seguridad altamente experimentados que combinan la habilidad de la búsqueda proactiva de amenazas con la respuesta reactiva ante las infracciones. Además, actúan como arquitectos de seguridad, desempeñando un papel central en el diseño de ciberdefensas que ayuden a salvaguardar a Salesforce y a sus clientes de futuras amenazas.
- Los cazadores de amenazas