El documento resume los principales puntos de 13 capítulos del libro "El Arte de la Guerra" de Sun Tzu y explica cómo estos principios pueden aplicarse al campo de la ciberseguridad. Describe conceptos como la planificación, la estrategia ofensiva y defensiva, la aplicación de la estrategia, las operaciones y el uso de la información para mantener la ventaja sobre el adversario. El objetivo final es lograr la victoria de manera eficaz en el ciberespacio.
1. “El Arte de la CiberSeguridad”
Ing. Juan Pablo Quiñe
Regional Security Advisor
CISSP, CISM, ISO 27001LA, ISO27032 LCM,
CEH, OSCP, OSWP, CPTE, Cobit, ITIL
@JPQ_ISSI
2. Disclaimer
• Los extractos tomados de cada capítulo del arte de la guerra, han sido a criterio
del autor, tomando como base aquellos que puedan ser representativos y/o que
puedan ayudar en el análisis para llevar el tratado del “Arte de la Guerra” al campo
de nuestro interés, la CiberSeguridad
• Las aplicaciones, así como las interpretaciones del libro, tienden a convertirse en
filosóficas y son una opinión personal del autor, por lo que deberán asumirse
como tal.
• Si el oyente/lector no está de acuerdo con alguno de los planteamientos aqui
realizados, está en todo su derecho de plantear su punto de vista, el autor está
abierto a conversar sobre estos, favor de escribir via alguna de las redes sociales
del autor.
3. Certificaciones
Ethical Hacking
Sobre mi…
Hoja de Vida (19+ años)
•Sysadmin – Especialista de Seguridad
– Consultor de Seguridad – Auditor –
Consultor Sr. – CISO – Outsourced
CISO – Security Strategist – Security
Manager – Red Team Leader –
Regional Security Advisor
(CIMACOM)
Conocimientos
•IT Security – Information Security – Security
Management – Ethical Hacking - *nix – Windows
– Mobile/Scada/IoT Security – Networking –
Auditoría – Gestión del Riesgo – Liderazgo de
Equipos – Seguridad sobre Gestión de Negocios
– Ciber Seguridad - Seguridad de Operaciones –
Arquitectura de Seguridad - ISO’s 27K, 22.3K,
31K, 20K and still learning…
Verticales de Especialización
•Banca
•Salud
•Telecomunicaciones
•Energía
•Retail
Trabajos en los siguientes Paises
Infosecurity
ITMgmnt
Innovación/
Facilitación
Participación en Organizaciones
Hobbies
Juan Pablo Quiñe
Ing. De Sistemas
Univ de Lima
Estratega en CiberSeguridad
4. Sun Tzu 544 a. C. - 496 a. C.
• Nombres: Sun Tzu, Sun Wu, Sun Zi
• Significado: Maestro Sol
• Lugar de Nacimiento: Estado Ch´i (NorOeste China)
• Autor de “El arte de la Guerra”
• Libro sobre tácticas y estrategias militares
• 13 Capítulos
• Sus enseñanzas pueden aplicarse fuera del ámbito militar
• El libro ha sido utilizado como guía en programas de
negocios y liderazgo dedicados a la gestión de conflictos y la
cultura corporativa
El arte de la guerra
5. El Arte de la Guerra en Capítulos
Planificar
Cap 1 : Planes
Cap 2: Iniciación de
Acciones
Estrategia:
Ofensiva y
Defensiva
Cap 3: Estrategia
Ofensiva
Cap 4:
Disposiciones
Aplicación de
la Estrategia
Cap 5: Sobre la
Firmeza
Cap 6: Puntos
Débiles y puntos
fuertes
La
Operación: el
día a día
Cap 7: Maniobra
Cap 8: Sobre los 9
cambios
Cap 9: Marcha
Cap 10: Terreno
Cap 11: Las 9 clases
de terreno
Confusión y
mantenerse
informado
Cap 12: El ataque
por fuego
Cap 13: Espías
7. Capítulo I: Planes o Evaluación
• Cinco Factores Fundamentales:
• El clima
• El terreno
• Liderazgo
• Método
• Influencia Moral
8. Capítulo I: Planes o Evaluación
•Interpretación:
•lo externoEl clima
•las condiciones, capacidades, tu
realidadEl terreno
•Responsable, alguien a cargoLiderazgo
•Los procesos asociadosMétodo
•Lo que dicta las acciones
Influencia
Moral
Lo que ocurre en el ciberespacio, y su comportamiento
(news, estadísticas, surveys)
El equipamiento, tu equipo de trabajo, tus
capacidades/posibilidades
Un CISO, CCSO
Gestión de riesgos, de procesos operativos de seguridad (c.
accesos, c. cambios, g. incidentes, g. Problemas, g. crisis)
GRC, la Política Corporativa
» Su Aplicación:
9. Capítulo II: Sobre la Iniciación de las Acciones
• “Lo escencial en una batalla es la victoria”
• “Nunca es beneficioso para un país dejar que una operación
militar se prolongue por mucho tiempo.”
10. Capítulo II: Sobre la Iniciación de las Acciones
Objetivo claro: La victoria
Buscar la Eficacia y la
Eficiencia
Repeler al atacante, no ser vulnerados
Asegurar que tenemos visibilidad de lo que
el atacante realice, y capacidad de repelerlo
La capacidad y el tiempo de reacción juegan
un factor clave en esta etapa
» Interpretación: » Su Aplicación:
12. Capítulo III: La Estrategia Ofensiva
• Conoce al enemigo y conócete a ti mismo y, en cien batallas no
correrás jamás el mas mínimo peligro
• Generalmente en la guerra la mejor política es la de tomar el
Estado intacto, es mejor capturar el ejército enemigo que
asesinarlo
13. Capítulo III: La Estrategia Ofensiva
Fortalezas y debilidades
Vectores de amenaza, anticipar
- Identificar activos críticos
- Mapa de riesgos,
- Mapear Recursos (herramientas y equipo de
seguridad)
Mapear escenarios de amenaza
» Interpretación: » Su Aplicación:
15. Capítulo IV: Disposiciones
Estrategia defensiva (1)
Estrategia ofensiva (2)
Establecer un modelo de defensa en
profundidad, seguridad por capas,
controles en multiples niveles OSI.
La estrategia ofensiva es despues de
la defensiva
» Interpretación: » Su Aplicación:
17. Capítulo V: Sobre la Firmeza
• Los expertos son capaces de vencer al enemigo creando una
percepción favorable en ellos, así obtener la victoria sin
necesidad de ejercer su fuerza.
18. Capítulo V: Sobre la Firmeza
Uso inteligente de recursos
estableciendo estrategias
combinadas de protección.
Generar estrategias de detección y
protección en varios niveles, en
varias capas, desde varios enfoques.
Generar sinergia entre las soluciones de seguridad
implementadas
Es preciso implementar protecciones multicapa
Debemos estar por encima de nuestras capacidades
para poder adaptar nuestra estrategia
» Interpretación: » Su Aplicación:
19. Capítulo VI:Puntos Débiles y Puntos Fuertes
• “El que sabe conseguir la victoria modificando su táctica de
acuerdo con la situación del enemigo, merece ser considerado
como un victorioso”
20. Capítulo VI:Puntos Débiles y Puntos Fuertes
Ser quien controla al adversario
y no al revés
Ser concientes como el cambio
de variable afecta a la
estrategia, así como al enfoque.
Prepararte antes del ataque: capacidad de
detección, visibilidad, y capacidad de control
Por ejemplo, luego de un ataque DoS a la DMZ
donde se encuentra la web, al caer la web y
saturar el enlace, la web sigue siendo lo crítico?
Si la bdatos, ha caido, mi detección debe
enfocarse en que?
» Interpretación: » Su Aplicación:
22. Capítulo VII: Maniobra
• La dificultad de la lucha armada es hacer cercanas las distancias
largas y convertir los problemas en ventajas.
23. Capítulo VII: Maniobra
Capacidades
Adaptarse en curso
Monitorear registros (logs)
Establecer patrones de
comportamiento.
Machine Learning y automatizar
tareas de contención.
» Interpretación: » Su Aplicación:
24. Capítulo VIII: Sobre los 9 Cambios
• Los generales que conocen las variables posibles para
aprovecharse del terreno sabe cómo manejar las fuerzas armadas.
• Existen cinco faltas peligrosas que pueden afectar a un general:
imprudencia, cobardía, temperamento, honor, exigencia.
25. Capítulo VIII: Sobre los 9 cambios
Análisis del campo de batalla
Qué hacer y qué no hacer
para que las cosas se
resuelvan a nuestro favor
Acciones a nivel táctico.
Pre-establecer acciones según
los escenarios de amenaza
Adaptarse
» Interpretación: » Su Aplicación:
26. Capítulo IX: Marchas
• Las maniobras militares son el resultado de los planes y las
estrategias en la manera más ventajosa para ganar.
• Determinan la movilidad y efectividad de las tropas.
27. Capítulo IX: Marchas
La ejecución estará alineada a la estrategia.
Asegurarnos que la estrategia dificulta al
enemigo y no al revés
Generar sinergia entre las diferentes áreas e
integrar los procesos
Estar atentos a las señales del
entorno
Mantener la coherencia entre
lo que sucede y lo que vemos
» Interpretación: » Su Aplicación:
28. Capítulo X: El Terreno o Topología
• Accesible, Insidioso, Indiferente, Accidentado, Distante, Neutro
• Para poder vencer al enemigo, todo el mando militar debe tener
una sola intención y todas las fuerzas militares deben cooperar.
29. Capítulo X: El Terreno o Topología
Terreno en conflicto nos pone
en una situación
El jefe debe conocer sus fuerzas
y al enemigo para tener un
dominio de la situación
Que situación estamos
viviendo? Que postura
debemos asumir
Claridad de nuestras
capacidades y las del
enemigo
» Interpretación: » Su Aplicación:
30. Capítulo XI: Las 9 clases de terreno
• Terreno de dispersión
• Terreno fronterizo
• Terreno clave
• Terreno de comunicación
• Terreno de convergencia
• Terreno hostil
• Terreno cercado
• Terreno mortal
31. Capítulo XI: Las 9 clases de terreno
Según el tipo de terreno se
determinará una estrategia de
acción
Debemos ser rápidos para lograr
nuestro objetivo, y evitar que el
enemigo descifre nuestra estrategia
Tanto la defenza como el ataque
deben tener una estructura
Eficacia, eficiencia y sinergia de
nuestros equipos
» Interpretación: » Su Aplicación:
33. Capítulo XII: El Ataque por el Fuego
• Quemar a las personas, los almacenes, el material, los arsenales,
utilizar proyectiles incendiarios
• No basta saber cómo atacar a los demás con el fuego, es necesario
saber cómo impedir que los demás te ataquen a ti.
34. Capítulo XII: El Ataque por el Fuego
El fuego genera caos, el caos
desorden.
Hay que saber cuando se usa, como
se usa, como nos beneficiaría, y
como nos podría afectar
Cifrado de informacion, bloqueo por
comportamiento, restricciones por
perfiles.
Ser concientes del equilibrio entre
control y capacidad de reacción.
» Interpretación: » Su Aplicación:
35. Capítulo XIII: La utilización de los Espías
• Siempre que vayas a atacar y a combatir, debes conocer primero
los talentos de los servidores del enemigo, y así puedes
enfrentarte a ellos según sus capacidades.
36. Capítulo XIII: La utilización de los espías
Información es poder
Fuentes públicas complementan
la información.
Recordemos que el espía tambien
puede desinformar
Considerar herramientas como
Honeypots, análisis de comportamiento,
firewalls de capa7, machine learning
Foros, OSINT, Listas de discusión,
Noticias especializadas
» Interpretación: » Su Aplicación:
37. Algunos puntos a considerar…
Sun Tzu, plantea acciones a
nivel estratégico y táctico.
Sus acciones se basan en el
logro de objetivos, eficacia y
eficiencia
La información del entorno,
nuestras capacidades y
limitantes forman parte del
todo, cualquier cambio por
mínimo que sea, afecta a
ese todo.
Debemos de tomar
conciencia de que la
planificación puede verse
afectada por la operación
El adaptarse al entorno y al
momento es fundamental
El objetivo, la victoria, debe
primar en nuestra gestión
38. ¡¡ Muchas Gracias !!
Ing. Juan Pablo Quiñe
Regional Security Advisor
CISSP, CISM, ISO 27001LA, ISO27032 LCM,
OSCP, OSWP, CPTE, Cobit, ITIL
@JPQ_ISSI
Notas del editor
Los extractos son a mi criterio
Las interpretaciones son personales
Cualquier ajuste, sentémoslo sobre este trabajo.
”, un influyente tratado sobre estrategia militar
Planificar
Cap 1 : Planificación
Cap 2: Objetivo - Eficiencia
Estrategia: Ofensiva y Defensiva
Cap 3: Estrategia Ofensiva – Conocer capacidades int y ext
Cap 4: Estrategia Defensiva – Conocer capacidades ext e int
Aplicación de la Estrategia
Cap 5: Uso de Estrategias combinadas
Cap 6: Adaptabilidad Permeable
La Operación: el día a día
Cap 7: Como operar - Simplificar
Cap 8: Sobre el Campo de Batalla – Variantes Tácticas
Cap 9: Como conducir al Ejército y las señales del entorno
Cap 10: Aliniear la estrategia a la situación imperante (del entorno)
Cap 11: Actuar según el terreno
Confusión y mantenerse informado
Cap 12: Confusión en el enemigo y luego atacarlo
Cap 13: Espías
CCSO – Chief Cyber Security Officer
Lo más importante en una operación militar es la victoria y no la persistencia. Esta última no es beneficiosa. Un ejército es como el fuego: si no lo apagas, se consumirá por sí mismo.
Orientarse a los resultados identificación oportuna, optimización de tiempos.
Buscar la Eficiencia (en Detección, Control, Reacción)
Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro; si no conoces a los demás, pero te conoces a ti mismo, perderás una batalla y ganarás otra; si no conoces a los demás ni te conoces a ti mismo, correrás peligro en cada batalla.
Interpret:Se conciente de nuestras fortalezas y debilidades como organización
Conocer los vectores de ataque que serán aprovechados por los atacantes para cortar sus intenciones/iniciativas antes de que ocurran
Anticiparnos a lo que va a ocurrir
, identificar puertos, canales de comunciación, interfases, que nos lleven a infraestrucutra, sistemas y/o activos críticos.
Se tiene como base:
Defender, cuando tengas los medios suficientes
Atacar, cuando dispongas de medios mas que suficientes
Establecer una estrategia defensiva, que dificulte el avance del atacante.
Para establecer una estrategia ofensiva es necesario contar con los recursos necesarios
Considerar que para establecer una estrategia ofensiva, se debe de contar con las herramientas, el conocicmiento, el personal, el presupuesto y la disponibiliad necesaria para mantener una acción sostenible en el tiempo
El desorden llega del orden, la cobardía surge del valor, la debilidad brota de la fuerza.Si quieres fingir desorden para convencer a tus adversarios y distraerlos, primero tienes que organizar el orden, porque sólo entonces puedes crear un desorden artificial. Si quieres fingir cobardía para conocer la estrategia de los adversarios, primero tienes que ser extremadamente valiente, porque sólo entonces puedes actuar como tímido de manera artificial. Si quieres fingir debilidad para inducir la arrogancia en tus enemigos, primero has de ser extremadamente fuerte porque sólo entonces puedes pretender ser débil.
Los expertos son capaces de vencer al enemigo creando una percepción favorable en ellos, así obtener la victoria sin necesidad de ejercer su fuerza.
Se tiene que tener la fuerza de mando para que toda una población pueda atender tus ordenes.
Se requiere de una fuerza normal y de una fuerza extraordinaria como regla general se emplea fuerza normal para trabar el combate y una fuerza extraordinaria para obtener la victoria.
Debido a que la bala de plata en los ataques ya no existe mas, es necesario generar sinergia entre las soluciones de seguridad implementadas
los ataques aprovechan un punto de falla y a partir de ahí buscan realizar “saltos laterales”
Si sabemos a que estamos expuestos, y por donde seremos atacados, podemos buscar tener visibilidad y control sobre dichos vectores.
Activar los logs de los sistemas críticos, establecer los controles que permitan restringir como mínimo seguridad en capas 3, 4 y 7.
Cuando los adversarios llegan para atacarte, no luchas con ellos, sino que estableces un cambio estratégico para confundirlos y llenarlos de incertidumbre.
Ser sabio para poder hacer cambiar el rumbo del enemigo.
Averigua los planes del enemigo y sabrás que estrategia será eficaz y cual no.
“El que sabe conseguir la victoria modificando su táctica de acuerdo con la situación del enemigo, merece ser considerado como un victorioso”
Conocer el terreno a recorrer
El primero que hace el movimiento es el “invitado”, el último es el “anfitrión”. El “invitado” lo tiene difícil, el “anfitrión lo tiene fácil”.
Ser conciente de nuestras capacidades, y conocer que es “normal”, para poder identificar lo que ocurre en nuestros sistemas, así como en el entorno inmediato (interfases).
Tomar en cuenta que las maniobras son ejecutadas durante “la contienda”, no necesariamente todo se ejecutará según lo planificado.
Los generales que conocen las variables posibles para aprovecharse del terreno sabe cómo manejar las fuerzas armadas.
Hay caminos que no deben seguirse, ejércitos que no deben atacarse, ciudades que deben sitiarse, posiciones que no deben disputarse, órdenes del soberano que no deben obedecerse.
Existen cinco faltas peligrosas que pueden afectar a un general: Imprudencia temeraria, que conduce a la destrucción; cobardía, que conduce a la captura; un temperamento precipitado, que puede ser provocado con insultos; honor cuestionable que es sensible a la vergüenza; ser demasiado solícito con sus hombres, que le expone a la preocupación y el apuro.
Terreno cerrado significa que existen lugares escarpados que te rodean por todas partes, de manera que el enemigo tiene movilidad, que puede llegar e irse con libertad, pero a ti te es dificil salir y volver.
Táctico (levantar la cabeza y salir de la opearación para trabajar en la “estrategia en movimiento”
Los cambios se basan en la flexibilidad de acciones y su respuesta
Las 5 faltas, se relacionan con razgos de caracter peligroso de los líderes y su estrategia.
Pre establecer acciones según los escenarios
Dejar de hacerlo personal, y adaptarse
Haz que tu enemigo se canse mas que el ejército al que diriges
El saber distinguir cuando unas tropas están desordenadas es porque el general carece de prestigio
Maniobras y estrategias que determinan la movilidad y efectividad de los planes
Generar sinergia entre las diferentes áreas e integrar los procesos
Estar atentos a las señales del entorno, que ocurre en el Ciberespacio, ataques, nuevas técnicas y herramientas
Cuando no haya coherencia entre lo que sucede y lo que vemos, probablemente hay algo que cambiar.
diferentes terrenos en los que se puede desenvolver una guerra
Para poder vencer al enemigo, todo el mando militar debe tener una sola intención y todas las fuerzas militares deben cooperar.
El cuidado que siempre deben de tener los líedes hacia sus subordinados
El terreno nos pone en una situación
Nuestra estrategia debe estar alineada a esta situación.
Debemos trabajar sobre una máquina afinada, para que podamos ejecutar exitosamente toda acción.
El terraeno nos pone en una situación según donde sea el inciente
“Así es que se dice que si conoces a los otros y te conoces a ti mismo, tu victoria no se verá en peligro. Si conoces el Cielo y la Tierra, tu victoria será completa”. Lo que se puede interpretar como que el comandante en jefe no puede simplemente conocer sus fuerzas, sino que debe también analizar al enemigo y sus capacidades, ya que esto le permitirá tener un dominio de la situación.
La rapidez de acción es el factor esencial de la condición de la fuerza militar, aprovechándose de los errores de los adversarios, desplazándose por caminos que no esperan y atacando cuando no están en guardia.
En una invasión, por regla general, cuanto más se adentran los invasores en el territorio ajeno, más fuertes se hacen, hasta el punto de que el gobierno nativo no puede ya expulsarlos.
Si estamos en internet, el entorno es hostil, si estamos en la red interna, un intruso con un usuario válido podría pasar desapercibido por las herramientas de protección.
Debemos ser rápidos para lograr nuestro objetivo, y evitar que el enemigo descifre nuestra estrategia
Debemos de actuar de acuerdo a cada tipo de terreno
se debe de tener un ejército unificado a fin de que luchen juntos por el mismo fin. Integrar nuestros procesos, mantener la comunicación y la sinergia de los equipos.
No basta saber cómo atacar a los demás con el fuego, es necesario saber cómo impedir que los demás te ataquen a ti.
Cuando prender fuego
Donde ponerse cuando se enciende el fuego (opuesto a la dirección del viento)
Los que utilizan el incendio para apoyar sus ataques tienen la inteligencia de su lado; los que utilizan las inundaciones, la fuerza. El agua puede aislar a un enemigo destruyendo sus provisiones o su material.
Control y complejidad
El dirigente iluminado hace sus planes pensando en el futuro; el buen general cultiva sus recursos.
Tener claridad sobre el “next step” de nuestro atacante, y partir de ahi definir nuestras acciones, buscando una posición ventajosa
Lo que incapacita la sabiduría del soberano y al buen general para golpear y conquistar, y conseguir cosas más allá del alcance de los hombres vulgares, es la predicción.
El conocimiento de las disposiciones del enemigo solo puede obtenerse de otros hombres.
Recordemos que el espía puede servir también al enemigo
A pesar de haber escuchado tantas veces “super resúmenes” donde hablamos del arte del engaño. Encontramos que hay otras consideraciones que no debemos de dejar de perder del radar.