Competencia Digital Pen-Tests Tasks Higher education …



Con el objetivo de desarrollar talento cibernético ofensivo, el sexto Concurso de Pruebas de Penetración Universitaria anual del fin de semana pasado sacó a algunos de los más brillantes de RIT y Stanford, entre otras universidades.

La industria de la seguridad ha patrocinado competencias de captura de la bandera (CTF) durante décadas, con la Competencia Colegiada de Defensa Cibernética (CCDC) entre las más conocidas.

Pero el anual Competencia de pruebas de penetración colegiada (CPTC) ha surgido como la única competencia que se centra estrictamente en probar habilidades de seguridad ofensivas, algo que los profesionales de la seguridad dicen que la industria necesita con urgencia.

CPTC comenzó en 2015. Los ganadores anteriores incluyen la Universidad de Buffalo, la Universidad de Florida Central y la Universidad de Stanford (tres veces). Este año, el domingo para ser exactos, el Instituto de Tecnología de Rochester, que organiza el evento, recibió el primer lugar.

La competencia se ha convertido en una de las herramientas de reclutamiento más importantes de la compañía, dice Cris Thomas, líder de estrategia global roja de X-Force en IBM (un patrocinador quality de CPTC).

«Es muy difícil encontrar personas con talento ofensivo en seguridad», dice Thomas, también conocido en los círculos de seguridad como «Area Rogue». «Hemos contratado a varias personas de la competencia y es asombroso (que) algunos de estos estudiantes ya tengan sus certificaciones OSCP. Hay mucha pasión y muchos de estos estudiantes quieren aprender todo».

Si bien la gran mayoría de los estudiantes de CPTC son estudiantes de ciencias de la computación, algunos son ingenieros y también de negocios, agrega Justin Pelletier, director international de CPTC. Él enfatiza que las «habilidades blandas» son tan importantes como las habilidades técnicas.

«No queremos gente que entre y corte y queme y trate de encontrar la mayor cantidad de vulnerabilidades», dice Pelletier. «De igual importancia es la capacidad de redactar un informe y presentar sus hallazgos a una junta. Queremos brindarles a los estudiantes la experiencia de lo que es estar en un equipo rojo real, que en última instancia tendrán que explicar lo que encontraron para la alta dirección y explicar lo que significa para la empresa «.

La competencia de dos días de este año fue virtual. Unas 15 escuelas, reducidas de 64 escuelas en ocho regiones, compitieron en la remaining. Como en años anteriores, cada equipo estaba formado por hasta seis estudiantes que debían presentar un informe escrito de sus hallazgos y hacer una presentación a una junta. La tarea: ejecutar una operación de equipo rojo en una empresa de agua y energía.

Más específicamente, los estudiantes probaron la infraestructura de la crimson de energía de una ciudad pequeña, incluida una presa hidroeléctrica, una planta de energía nuclear y un sistema de parque eólico que estaba conectado a una empresa de servicios eléctricos regional. Cada equipo estuvo expuesto a controladores lógicos programables (PLC), computadoras industriales que controlan muchos de los componentes importantes de la infraestructura crítica de la nación. La compañía de energía digital se ejecutó en un entorno híbrido, una combinación de la nube de AWS y el Centro de Capacitación y Alcance Cibernético del World Cybersecurity Institute de RIT.

«A través de esta exposición, los estudiantes aprendieron sobre algunos de los desafíos asociados con la protección de estos dispositivos de bajo ancho de banda, a menudo heredados, que se pasan por alto en nuestra pink de energía real», dice Pelletier. «También se vieron expuestos a un campo que quizás no habían considerado. Gran parte de la innovación en las revoluciones informáticas son las aplicaciones de escritorio y móviles, pero necesitamos personas inteligentes que puedan asumir los desafíos de seguridad de estos dispositivos ICS. Muchos de ellos pueden» t use cifrado porque son sistemas heredados. La industria necesita personas que puedan pensar en formas creativas de resolver estos desafíos «.

Alex Keller, ingeniero sénior de seguridad de sistemas en la Escuela de Ingeniería de Stanford y entrenador del equipo cibernético de Stanford desde principios de 2016, dice que la competencia enseña a los estudiantes lecciones prácticas sobre cómo construir un equipo rojo exitoso.

«Al reunir los equipos para la competencia, busco personas que entiendan de Home windows, un especialista en Active Director, alguien que conozca Linux, luego alguien que sepa cómo funcionan las redes y, finalmente, alguien que comprenda las políticas, las regulaciones y los riesgos», Keller dice. «Solo encontrar las vulnerabilidades no es suficiente. En el mundo genuine, los gerentes quieren saber cuál es el riesgo para el negocio, qué tan difícil será abordarlo, cuánto le costará a la organización y cómo su equipo nos ayudará a priorizar qué necesidades para acabar.»

Estudiantes altamente motivados
Los estudiantes de estos equipos ganadores son algunos de los jóvenes más motivados que existen.

Por ejemplo, Sunggwan Choi, un estudiante de seguridad informática en RIT y miembro del equipo ganador de este año, ya tiene su OSCP y fue pasante del equipo rojo de IBM X-Force. Él dice que CPTC cubre todo el proceso de cómo funciona un compromiso de prueba de penetración. Esto comienza desde la participación previa hasta las pruebas de penetración prácticas reales (prueba de penetración de la red interna, seguridad de la aplicación y, este año, tecnología operativa), redacción de informes, presentación y comunicación con los clientes.

Los estudiantes están mejorando mucho en la experiencia práctica en seguridad ofensiva a través de CTF y plataformas como TryHackMe o Hack the Box, dice Choi, quien es originario de Corea del Sur. Sin embargo, CTPC ofrece lo más parecido a una experiencia del mundo actual en un entorno virtual.

«He aprendido lo que es trabajar con un cliente usando mi habilidad técnica: saber lo que necesita mi cliente, usar mis habilidades técnicas para satisfacer esa necesidad comercial y, finalmente, aprender las habilidades blandas para representar mi trabajo técnico tanto para los técnicos como para los no profesionales. «gente técnica», dice Choi. «Además, CPTC es una gran competencia para aprender el trabajo en equipo y la cooperación. Todos los miembros necesitan comunicarse activamente entre sí para resolver problemas técnicos y no técnicos».

Kyla Guru, estudiante de primer año en el equipo de Stanford en la pista de ciencias de la computación, ya tiene varios años de educación en concientización sobre ciberseguridad en su haber. Guru es fundadora y directora ejecutiva de Bits N &#39Bytes Cybersecurity Training, en el área metropolitana de Chicago, donde ha capacitado a estudiantes, padres y personas mayores sobre los conceptos básicos de ciberseguridad. También es cofundadora y miembro de la junta de GirlCon, una conferencia tecnológica para mujeres de secundaria.

«He investigado sobre la brecha de género en el mundo cibernético y cómo hay tantos trabajos sin cubrir. Una de las mejores partes de CPTC fue que tuvimos la oportunidad de aprender y trabajar con profesionales cibernéticos que quieren que comprendamos algunos de los desafíos la industria se enfrenta y quiere que estemos a la vanguardia de estos problemas «, dice Expert. «Hablé en RSA, así que disfruté mucho la parte de presentación. Es muy importante acudir a la gerencia y poder explicarles cuáles son los riesgos para el negocio y el costo de mitigar».

Steve Zurier tiene más de 30 años de experiencia en periodismo y publicación y ha cubierto redes, seguridad y TI como escritor y editor desde 1992. Steve tiene su sede en Columbia, Maryland. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first