Muy buenas a todos y feliz año 2019. Este primer artículo del año hemos querido dedicárselo al Red Team, uno de los servicios que en estos últimos 12 meses ha experimentado un crecimiento más exponencial, pero que sin embargo, no deja de ser un gran desconocido para muchos clientes y proveedores de servicios de ciberseguridad, por sus constantes confusiones con los ya tradicionales Test de Intrusión, utilizados habitualmente para descubrir si una organización es insegura.
Hace unos meses, mi compañero Diego León, responsable del área de Offensive Security, publicaba el artículo Red Teaming: terreno de pasiones, mitos y fantasías, donde a modo introductorio comentaba las principales diferencias sobre un Vulnerability Assessment, un Test de Intrusión y un Red Team.
En ese artículo describíamos el objetivo del Red Team como un procedimiento para someter las ideas, planes, programas o suposiciones de una organización a un estricto análisis, con el objetivo de identificar suposiciones incorrectas, opciones alternativas no contempladas, y detectar vulnerabilidades o riesgos que puedan afectarla.
Dando una definición más técnica, el Red Team podría definirse como un proceso de emulación de escenarios de amenazas a
los que se puede enfrentar una organización, analizando la seguridad desde el
punto de vista del adversario.
El objetivo del Red Team, de forma general, es dar al equipo de seguridad de una organización la ocasión de defenderse frente a escenarios de ataques reales, de forma controlada y constructiva. Haciendo uso de las tácticas, técnicas y procedimientos observados en compromisos reales recientes, evaluando la capacidad real que tiene la compañía para proteger sus activos críticos, así como sus capacidades de detección y respuesta, y evaluando tanto el plano tecnológico, como el de procesos y el humano.
¿Esto qué quiere decir? Que el Red Team no es simplemente un proceso de intrusión, con movimientos laterales, ingeniería social y demás pruebas hacking, sino que es un proceso de entrenamiento. Un Red Team debe entrenar al Blue Team, y debe comprobar que los tres planos comentados, el tecnológico, los procesos y el humano, funcionan adecuadamente y de forma coordinada.
En la realidad de la empresa y a excepción de grandes entidades bancarias, infraestructuras críticas y algunos estados, cuyo nivel de madurez en seguridad es muy alto y donde un ejercicio Red vs. Blue a gran escala y en escenarios muy realistas tendría sentido, para la gran mayoría de las organizaciones la aproximación basada en la colaboración constante entre el personal interno y el externo es la que más valor aporta. Es necesario formar al Blue Team para que sepa reaccionar ante las amenazas reales. ¿De qué sirve un proceso de intrusión que finaliza con un informe, si el equipo de supervisión y respuesta no ha aprendido nada?
Esa es la clave del Red Team frente al Test de Intrusión, el entrenamiento, y es necesario que el Red Team se ponga al nivel del Blue Team para ello. Es ridículo sostener la visión del Red Teamer abusador, que quiere a toda costa demostrar al Blue Team que es mejor que él, y que no va a ser detectado bajo ningún concepto. ¿Qué aprendería un Blue Team en tal caso? Nada, sería un fracaso estrepitoso para el proyecto.
Bajo este enfoque colaborativo, desde Zerolynx abordamos los servicios de Red Teaming a través de dos ópticas diferentes:
Operaciones de Red Team
Este enfoque consiste en la realización de un ataque completo, con el objetivo de alcanzar una serie de objetivos que han sido previamente predefinidos junto al cliente. Normalmente, estos objetivos están relacionados con los peores casos posibles que pueden materializarse a nivel de negocio. En este caso, el equipo agresor realiza todas las etapas comunes de un ataque, desde el reconocimiento inicial, hasta alcanzar el objetivo.
Esta aproximación es la más agresiva, y está recomendada para aquellas organizaciones que, teniendo un nivel de madurez más alto, quieren poner a prueba su capacidad de protección de activos críticos frente a ataques dirigidos.
Red Team para la evaluación del SOC
Este enfoque consiste en la simulación de ataques dirigidos en todas y cada una de las fases del ciclo del ataque, pudiendo además simular el comportamiento de uno o varios actores maliciosos diferentes. El objetivo de este servicio no es detectar vulnerabilidades, sino evaluar la capacidad de detección y respuesta de la compañía, por lo que un responsable de nuestro equipo acompaña en todo momento al SOC para guiar y evaluar su respuesta.
Esta aproximación ayuda a detectar deficiencias en la capacidad de detección y respuesta de la compañía, y a tomar decisiones de inversión en función de las evidencias recogidas, por lo que ofrece un valor muy importante a todas las organizaciones. Además, su aproximación menos agresiva a las Operaciones de Red Team, la hace especialmente recomendada para compañías con un menor nivel de madurez.
En la actualidad, existen diversas metodologías y frameworks, como la matriz ATT&CK del Mitre, y herramientas como Caldera o Infection Monkey, que facilitan en gran medida las tareas del Red Team, que por definición requieren de un equipo mucho más experimentado que el que colabora generalmente en un proceso de Pentesting tradicional. Con ellas, y con muchas otras llevamos trabajando bastante tiempo en Zerolynx para poder ofrecer servicios de Red Team de última generación, útiles y realistas y adaptados a las necesidades actuales de nuestros clientes.
Si deseas contactar con nosotros para hacernos algún tipo de consulta sobre nuestros servicios de Red Team, puedes hacerlo por los medios de contacto que figuran en la parte inferior el sitio web.
¡Saludos!
Si deseas contactar con nosotros para hacernos algún tipo de consulta sobre nuestros servicios de Red Team, puedes hacerlo por los medios de contacto que figuran en la parte inferior el sitio web.
¡Saludos!