TTech_TH-Threat Hunter

¿QUÉ ES TELEFONICA TECH? 

Telefónica Tech es la compañía líder en trasformación digital del Grupo Telefónica. Contamos con una amplia oferta de servicios y soluciones tecnológicas integradas de Ciberseguridad, Cloud, IoT, Big Data, Inteligencia Artificial y Blockchain, con la que acompañamos a nuestros clientes en su transformación digital.

Somos un grupo de más de 6200 personas valientes que trabajamos a diario desde distintos puntos del mundo para alcanzar la excelencia, a través de un liderazgo basado en la transparencia y en el espíritu de equipo. Si te identificas con nuestros pilares, ¡estamos deseando conocerte!

www.telefonicatech.com

¿QUÉ HACEMOS EN EL EQUIPO? 

En este servicio, el equipo se enfrentará a escenarios de Hunting complejos, en los que será necesario analizar los comportamientos y acciones llevadas a cabo por adversarios avanzados y/o insiders con elevados conocimientos y capacidades. Se debe contar por tanto con un equipo que pueda desenvolverse bien en este contexto, es decir, personal experimentado que haya afrontado este tipo de investigaciones en el pasado.

Tanto por la naturaleza cambiante de las amenazas y adversarios como por la necesidad de interactuar y colaborar con distintas tecnologías, servicios y áreas, es necesario disponer de capacidades para evolucionar el servicio constantemente. Esta evolución pasa por la mejora de las tecnologías y herramientas, el desarrollo de nuevos procesos de mejora del servicio y el aumento de la capacidad investigativa del equipo. Para ello se definirán interacciones con otros servicios, áreas y equipos locales del grupo.

El servicio requiere un equipo especializado que sea capaz de realizar trabajos, análisis e investigaciones de Threat Hunting, realizar trabajos de investigaciones forenses tradicionales, debe tener conocimiento experto de análisis de datos (Searching, Grouping, Stack Counting, Clustering, etc.), utilizando métodos automáticos y manuales de recolección y análisis e incluyendo el uso de técnicas de análisis basadas en Ciencia de datos.

¿CÓMO SERÁ TU DÍA A DÍA? 

Tu misión será encontrar de forma proactiva amenazas que pudiera haber en las infraestructuras.

Tu día a día:

• Propuesta, diseño, planificación y ejecución de trabajos de Hunting.
• Aplicación de metodologías y frameworks de Threat Hunting, cuando se requiera.
• Generación de hipótesis basadas en información de inteligencia.
• Elaboración de playbooks de los trabajos llevados a cabo, bitácoras e informes de resultados (técnicos y ejecutivos) en base a las pautas establecidas.
• Creación de scripts para automatización de búsquedas.
• Análisis y gestión de tickets, llamadas o correos electrónicos provenientes del escalado de Operacion BAU que requieran especial atención por estarfuera de procedimientos
• y/o posibles incidentes que deban serrespondidos de manera experta.
• Análisis de triages, adquisiciones de ficheros así como identificación de incidente asignando la criticidad adecuada y tomando las medidas oportunas para contener de forma óptima la amenaza. Análisis de artefactos de complejidad media/alta adquiridos con el EDR, así como de volcados y extracciones diversas (normalmente logs).
• Búsquedas en el parque de comportamientos específicos dentro de la telemetría de la que se dispone, normalmente en el contexto de un incidente o de una situación de alerta, validando e investigando los hits.
• Registro de todos los hallazgos encontrados durante los Hunts en los correspondientes tickets. Seguimiento de la evolución de los mismos y actualización de la información proporcionada.
• Identificación y recopilación de información relevante para la elaboración de nuevas hipótesis (o mejora de las existentes).
• Recopilación y registro de lecciones aprendidas o acciones de mejora.
• Recopilación y registro de Indicadores de Compromiso y Ataque y compartición con los equipos interesados.
• Participación en la respuesta de incidentes, colaborando con el equipo que se encargue de la misma y documentando todas las acciones y descubrimientos del servicio en la bitácora. Esto implica asistencia a las reuniones de gestión del incidente donde se aportará la información de la que se dispone y se recogerán las tareas a realizar.
• Análisis de Casos de Uso con volumetría elevada o Falsos Positivos recurrentes para afinación o gestión de excepciones.
• Registro de actividad propia de la operativa del servicio mediante la herramienta de ticketing.
• Revisión y mejora de los tickets propios de las tareas de desarrollo del servicio.
• Colaboración con otros servicios como por ejemplo para la definición o realización de ejercicios Purple Team, Defense Readiness, etc. bajo petición del Service Operations o Service Owner.
• Se puede requerir la colaboración o elaboración de documentos relacionados  conincidentes, amenazas, tendencias, avances o nuevas capacidades del servicio, tanto de forma puntual como recurrente (por ejemplo apuntes en las newsletters mensuales).
• Apoyo y participación en pruebas tales como los simulacros de Planes de Continuidad y Contingencia.

Y PARA ELLO, CREEMOS QUE SERÍA IDEAL QUE CONTARAS CON… 

Al menos 2 años de experiencia en Threat Hunting.

El equipo de debe contar con experiencia en Hunting sobre, al menos, las siguientes materias:

EndPoint (tanto estaciones de trabajo como servidores y dispositivos móviles)

Cloud

Redes y comunicaciones

Ciberinteligencia de amenazas

Ingeniería inversa de malware

DevOps / desarrollo de herramientas

Conocimientos/expertise:

• Amplia experiencia en analisis de ataques(determinación del origen, evaluación de equipos afectados y medidas de contención/erradicación).
• Certificaciones y cursos que acrediten su experiencia en el ámbito. A modo de referencia: GCFA, GCFE, GASF,GREM, GCIH, GSEC, GNFA, CHFI, certificaciones de fabricantes forenses
• Conocimientos altos de seguridad ofensiva (hacking, red teaming), comportamiento delictivo (APTs) y TTPs.
• Amplia experiencia en investigaciones de Threat Hunting.
• Conocimiento alto de investigaciones forenses tradicionales.
• Amplia experiencia en análisis masivo de información de ataques y amenazas.
• Conocimientos de análisis de datos (Searching, Grouping, Stack Counting, Clustering, etc.), utilizando métodos automáticos y manuales de recolección y análisis e incluyendo el uso de técnicas de análisis basadas en Ciencia de datos.
• Experiencia en gestión de incidentes acompañando como hunter a un equipo de IH durante la investigación de un incidente.
• Conocimiento avanzado de OpenIOC y YARA.

Capacidad de realizar búsquedas (comprobaciones de hipótesis) a múltiples equipos de forma paralela.

Conocimiento avanzado en el uso de consolas/API de herramientas EDR y SIEM

Capacidad alta en la elaboración de informes técnicos y ejecutivos. Nivel alto de escritura.

Capacidad alta en la elaboración de presentaciones. El correcto reporting interno es fundamental en el desarrollo de los incidentes y las investigaciones.

Capacidad de analizar informes de inteligencia con modus operandi de ataques.

Idiomas:

Dominio del inglés, hablado y escrito, con conocimientos de lenguaje técnico que permitan mantener una reunión con un tercero, asistir a una charla y redactar notificaciones o documentación.

 ¿QUÉ OFRECEMOS? 

• Medidas de conciliación y flexibilidad horaria.
• Formación continua y certificaciones.
• Modelo híbrido de teletrabajo.
• Atractivo paquete de beneficios sociales.
• Excelente ambiente de trabajo dinámico y multidisciplinar.
• Programas de voluntariado.

#SomosDiversos  #FomentamosIgualdad

Estamos convencidos/as de que los equipos diversos e inclusivos son más innovadores, transformadores y consiguen mejores resultados.

Por ello promovemos y garantizamos la inclusión de todas las personas sin importar género, edad, orientación e identidad sexual, cultura, discapacidad o cualquier otra condición

¡Queremos conocerte! 😊