¿Qué metodologías se emplean habitualmente en ejercicios de Red Team?

La metodología del Red Team permite a los profesionales de ciberseguridad simular ataques contra compañías y contribuir a mejorar su resiliencia frente a incidentes reales.

En los deportes de equipo como el fútbol o el baloncesto es habitual que, durante la preparación de los campeonatos, los entrenadores enfrenten a sus equipos titulares con los suplentes para lograr que estén listos para vencer a sus verdaderos rivales cuando llegue el momento.

Esta estrategia deportiva tiene su reflejo en el ámbito de la ciberseguridad a través de los ejercicios de Red Team, un servicio de ciberseguridad ofensiva que permite a las empresas someterse a ataques simulados que permitan mejorar sus capacidades de detección y respuesta de cara a estar preparadas para afrontar con éxito incidentes reales.

Al igual que sucede con otros ejercicios como los test de intrusión avanzados, la metodología del Red Team presenta una serie de fases que van desde las labores de inteligencia hasta el análisis de los resultados.

Todas las fases de la metodología del Red Team deben desarrollarse con sigilo, evitando generar alarmas en los sistemas defensivos de la organización. Además, también resulta de gran valor emplear el framework MITRE ATT&CK como metodología de referencia para clasificar las técnicas de ataque.

A continuación, vamos a desgranar las claves de la metodología de Red Team así como los beneficios que este servicio puede reportar a las empresas.

¿Qué son los ejercicios de Red Team?

Un ejercicio de Red Team tiene como objetivo simular el comportamiento de un adversario o actor malicioso cuyo propósito es comprometer a una organización en su definición más amplia. Es decir, atacar y menoscabar a:

• La tecnología corporativa.
• Las personas que forman parte de la organización.
• Los procedimientos que lleva a cabo la compañía.

A diferencia de otros servicios de ciberseguridad, los ejercicios de Red Team se llevan a cabo con la máxima discreción, ya que tienen como misión que los profesionales a cargo de la defensa de la organización crean que están ante un ataque real.

Por eso, solo los directivos están al tanto del ejercicio y son los encargados de establecer los objetivos que se deben cumplir y las características del escenario sobre el que van a trabajar los integrantes del Red Team.

Fases de la metodología del Red Team

Precisamente, para sistematizar las tareas que se deben desarrollar, se emplea la metodología del Red Team, conformada por siete grandes fases:

1. Inteligencia. Se debe recopilar toda la información que pueda resultar de utilidad para realizar el ejercicio de Red Team y, a partir de ella, generar inteligencia de gran valor añadido.
2. Detección de puntos débiles. Se analizan las vulnerabilidades de la infraestructura de la organización y las debilidades de su perímetro de seguridad.
3. Explotación. A partir de la información de las dos fases anteriores se procede a explotar las debilidades detectadas y a tomar el control de los activos corporativos.
4. Movimiento lateral. El equipo de Red Team procede a moverse por la red interna de la compañía sin ser detectado.
5. Escalado de privilegios. Mediante el escalado de privilegios, los profesionales del Red Team se hacen con el control total de la infraestructura de la empresa.
6. Persistencia. Los expertos en ciberseguridad instalan backdoors que les permitan asegurar su persistencia en la red corporativa y lograr los objetivos pactados: cifrar o exfiltrar datos, desplegar un ransomware, realizar un ataque de DDoS…
7. Análisis. Toda la información generada durante el ejercicio de Red Team se sistematiza y analiza para:
   • Evaluar las capacidades de:
     • Detección
     • Contención
     • Recuperación
   • Elaborar un plan de mejora para que la compañía mejore su resiliencia frente a los ciberataques.

¿En qué consisten los escenarios de Red Team?

Apuntábamos antes a un elemento clave de la metodología del Red Team: los escenarios. Pero, ¿qué son exactamente y por qué son tan importantes? Los escenarios de Red Team describen como ha de realizarse un ejercicio de Red Team, desde el origen del ataque al objetivo final, pasando por todos los hitos intermedios o adicionales (flags) que sería deseable conseguir.

Al diseñar un escenario de Red Team es fundamental fijar el actor malicioso que los profesionales simularán ser (atacante remoto, la competencia, empleado descontento…), los vectores de intrusión que se van a emplear y los objetivos del ejercicio. Es decir, los escenarios de Red Team son una suerte de hoja de ruta pactada de antemano entre la organización y los profesionales de ciberseguridad.

Un escenario de Red Team habitual puede ser el de realizar intrusión en sistemas corporativos desde el perímetro o con credenciales de un proveedor comprometido. También es común que las empresas opten por someterse a una simulación de ransomware, ya que los ataques que emplean esta clase de programa malicioso se han convertido en una constante en los últimos años.

El catálogo de escenarios de Red Team es muy amplio: intrusión física, robo de equipo corporativo, ataque a cadena de suministro, ingeniería social… Además, es común establecer flags adicionales como el acceso a información confidencial, la exfiltración de información estratégica, bloquear el sistema de backups o comprometer la infraestructura en la nube.

Tácticas y técnicas de la metodología del Red Team

Al emplear la metodología del Red Team se pueden utilizar tácticas, técnicas y procedimientos (TTP) bien conocidos por ser usados por adversarios del mundo real. Pero también es posible optar por tácticas y técnicas más novedosas. En cualquier caso, el objetivo final siempre es ayudar a la organización a mejorar su postura defensiva a través de:

• La identificación de oportunidades de mejora en la capacidad de detección y respuesta.
• El entrenamiento del personal de seguridad para responder frente a incidentes reales.

Para ello, es habitual usar como marco de referencia MITRE ATT&CK para clasificar las acciones ofensivas y mapear las capacidades de detección. Además, en el enriquecimiento de la metodología del Red Team juega un papel esencial la experiencia propia acumulada por el equipo que lleva a cabo el ejercicio.

En el caso del equipo de BlackArrow de Tarlogic, todo el expertise acumulado durante los años por sus profesionales a nivel de OpSec y evasión de medidas de detección, le ha permitido contar con una metodología del Red Team propia y eficaz a la hora de cumplir con los objetivos de los ejercicios y fortalecer la resiliencia de las compañías.

Beneficios de los ejercicios de Red Team para las empresas

Habida cuenta de lo que hemos ido apuntando a lo largo del artículo, podemos concluir que la realización de ejercicios de Red Team permite a las organizaciones:

• Prepararse ante ataques reales.
• Obtener una compresión real del verdadero riesgo que suponen los ataques e incidentes de seguridad.
• Detectar debilidades en las capacidades de detección de ataques y en su contención.
• Cumplir con los nuevos marcos normativos como TIBER-EU y el reglamento DORA, que incorporan los ejercicios de Red Team (TLPT) como una herramienta con la que evaluar la resiliencia de las organizaciones.

En definitiva, las empresas que deseen incrementar su nivel de resiliencia frente a los ciberataques deben encargar ejercicios de Red Team a equipos con una amplia experiencia y que disponga de una metodología del Red Team perfeccionada gracias al conocimiento acumulado implementando esta clase de ejercicios. De esta manera, podrán evaluar sus capacidades de detección y respuesta y disponer de un plan de mejora que les permita fortalecer su posición de seguridad.