Tech_Senior Threat Hunter

¿QUÉ ES TELEFONICA TECH?

Telefónica Tech es la compañía líder en trasformación digital del Grupo Telefónica. Contamos con una amplia oferta de servicios y soluciones tecnológicas integradas de Ciberseguridad, Cloud, IoT, Big Data, Inteligencia Artificial y Blockchain, con la que acompañamos a nuestros clientes en su transformación digital. Somos un grupo de más de 6200 personas valientes que trabajamos a diario desde distintos puntos del mundo para alcanzar la excelencia, a través de un liderazgo basado en la transparencia y en el espíritu de equipo.

¿Qué hacemos en el equipo? En este servicio, el equipo se enfrentará a escenarios de Hunting complejos, en los que será necesario analizar comportamientos y acciones llevadas a cabo por adversarios avanzados y/o insiders con elevados conocimientos y capacidades. Se debe contar por tanto con un equipo que pueda desenvolverse bien en este contexto, es decir, personal experimentado que haya afrontado este tipo de investigaciones en el pasado.

El servicio requiere un equipo especializado que sea capaz de realizar trabajos, análisis e investigaciones de Threat Hunting, y de llevar a cabo trabajos de investigaciones forenses tradicionales; debe tener conocimiento experto de análisis de datos utilizando métodos automáticos y manuales de recolección y análisis, incluyendo técnicas basadas en Ciencia de datos.

Tu misión será encontrar de forma proactiva amenazas que pudiera haber en las infraestructuras.

Qué harás

• Propuesta, diseño, planificación y ejecución de trabajos de Hunting.
• Aplicación de metodologías y frameworks de Threat Hunting, cuando se requiera.
• Generación de hipótesis basadas en información de inteligencia.
• Elaboración de playbooks de los trabajos llevados a cabo, bitácoras e informes de resultados (técnicos y ejecutivos) en base a las pautas establecidas.
• Creación de scripts para automatización de búsquedas.
• Análisis y gestión de tickets, llamadas o correos electrónicos provenientes del escalado de Operacion BAU que requieran especial atención por estar fuera de procedimientos.
• Análisis y gestión de posibles incidentes que deban ser respondidos de manera experta.
• Análisis de triages, adquisiciones de ficheros e identificación de incidentes, asignando la criticidad adecuada y tomando las medidas oportunas para contener la amenaza. Análisis de artefactos de complejidad media/alta adquiridos con el EDR y de volcados y extracciones diversas (logs).
• Búsquedas en el conjunto de comportamientos específicos dentro de la telemetría disponible, normalmente en el contexto de un incidente o una alerta, validando e investigando los hits.
• Registro de todos los hallazgos en los tickets correspondientes. Seguimiento de la evolución y actualización de la información.
• Identificación y recopilación de información relevante para la elaboración de nuevas hipótesis (o mejora de las existentes).
• Recopilación y registro de lecciones aprendidas o acciones de mejora.
• Recopilación y registro de Indicadores de Compromiso y de Ataque y compartición con los equipos interesados.
• Participación en la respuesta de incidentes, colaborando con el equipo que se encargue de la misma y documentando todas las acciones y descubrimientos. Asistencia a reuniones de gestión del incidente donde se aportará información y se recogerán tareas a realizar.
• Análisis de Casos de Uso con volumetría elevada o falsos positivos recurrentes para afinación o gestión de excepciones.
• Registro de actividad de la operativa del servicio mediante la herramienta de ticketing.
• Revisión y mejora de los tickets propios de las tareas de desarrollo del servicio.
• Colaboración con otros servicios para la definición o realización de ejercicios Purple Team, Defense Readiness, etc., bajo petición del Service Operations o Service Owner.
• Colaboración o elaboración de documentos relacionados con incidentes, amenazas, tendencias, avances o nuevas capacidades del servicio, de forma puntual o recurrente (por ejemplo apuntes en newsletters mensuales).
• Apoyo y participación en pruebas como simulacros de Planes de Continuidad y Contingencia.

Al menos 3 años de experiencia en Threat Hunting.

El equipo debe contar con experiencia en Hunting sobre, al menos, las siguientes áreas:

• EndPoint (estaciones de trabajo, servidores y dispositivos móviles)
• Cloud
• Redes y comunicaciones
• Ciberinteligencia de amenazas
• Ingeniería inversa de malware
• DevOps / desarrollo de herramientas

Conocimientos/expertise:

• Amplia experiencia en análisis de ataques (determinación del origen, evaluación de equipos afectados y medidas de contención/erradicación).
• Certificaciones y cursos que acrediten su experiencia en el ámbito. A modo de referencia: GCFA, GCFE, GASF, GREM, GCIH, GSEC, GNFA, CHFI, certificaciones de fabricantes forenses.
• Conocimientos altos de seguridad ofensiva (hacking, red team ing), comportamiento delictivo (APTs) y TTPs.
• Amplia experiencia en investigaciones de Threat Hunting.
• Conocimiento alto de investigaciones forenses tradicionales.
• Amplia experiencia en análisis masivo de información de ataques y amenazas.
• Conocimientos de análisis de datos (Searching, Grouping, Stack Counting, Clustering, etc.), utilizando métodos automáticos y manuales de recolección y análisis e incluyendo el uso de técnicas de análisis basadas en Ciencia de datos.
• Experiencia en gestión de incidentes acompañando como hunter a un equipo de IH durante la investigación de un incidente.
• Conocimiento avanzado de OpenIOC y YARA.

Capacidad de realizar búsquedas (comprobaciones de hipótesis) a múltiples equipos de forma paralela.

Conocimiento avanzado en el uso de consolas/API de herramientas EDR y SIEM

Capacidad alta en la elaboración de informes técnicos y ejecutivos. Nivel alto de escritura.

Capacidad alta en la elaboración de presentaciones. El correcto reporting interno es fundamental en el desarrollo de los incidentes y las investigaciones.

Capacidad de analizar informes de inteligencia con modus operandi de ataques.

Dominio del inglés, hablado y escrito, con conocimientos de lenguaje técnico que permitan mantener una reunión con un tercero, asistir a una charla y redactar notificaciones o documentación.

• Medidas de conciliación y flexibilidad horaria.
• Formación continua y certificaciones.
• Modelo híbrido de teletrabajo.
• Atractivo paquete de beneficios sociales.
• Excelente ambiente de trabajo dinámico y multidisciplinar.
• Programas de voluntariado.
• #SomosDiversos#Fomentamosigualdad
• Estamos convencidos/as de que los equipos diversos e inclusivos son más innovadores, transformadores y consiguen mejores resultados.
• Por ello promovemos y garantizamos la inclusión de todas las personas sin importar género, edad, orientación e identidad sexual, cultura, discapacidad o cualquier otra condición

¡Queremos conocerte!