Red Team: El poder de la seguridad ofensiva
Tabla de contenidos
El rojo está asociado, en la cultura occidental, al peligro. La sangre es roja, sin ir más lejos. Y no hay nada más alarmante que ver a alguien sangrando efusivamente. Esto se ha trasladado, a lo largo de la historia, a múltiples ámbitos. En un submarino, por ejemplo, cuando se produce algún problema las luces se vuelven rojas, para avisar a todo el personal de que algo no va bien. En el terreno de la ciberseguridad, un Red Team es, a la vez, un atacante exterior y un aliado que busca garantizar que todo el mundo sepa actuar de forma óptima en caso de que la luz del submarino se tiña de rojo. Un equipo de seguridad ofensiva.
Testear las vulnerabilidades propias sin informar, obviamente, a la mayoría de las personas implicadas es una práctica tan antigua como la estrategia militar. Sin embargo, ha sido en el ámbito de la ciberseguridad en el que se ha llevado a cabo una sistematización de este tipo de técnicas.
Ello se debe, en gran medida, a que con la digitalización y la globalización los enemigos de instituciones y empresas se han multiplicado y los avances tecnológicos han incrementado las vías de ataque. Ya no hace falta ir hasta la sede de una organización con un bidón de gasolina y una cerilla para prenderle fuego.
Por eso los servicios de Red Team se han convertido en una herramienta fundamental para proteger a los sistemas frente a los ataques maliciosos. En este artículo vamos a abordar su funcionamiento y cuáles son las ventajas de emplear la seguridad ofensiva como herramienta de prevención y fortalecimiento frente a las acciones malintencionadas.
1. ¿Qué es un Red Team?
Un equipo ofensivo conformado por profesionales de la ciberseguridad que atacan deliberadamente a una organización. Con el objetivo de acelerar la mejora de sus capas defensivas, frente a ataques realmente maliciosos. Para ello, el Red Team simula ser un agente externo esponsorizado que desafía a una organización, ya sea una institución o una empresa.
Su misión no consiste en hacer daño. Sino en contribuir a que las capas defensivas de la organización estén «en forma» y permanentemente fortalecidas. Esto permite a las organizaciones la optimización de sus capacidades defensivas frente a ataques reales.
De ahí que podamos catalogar al Red Team como un servicio de seguridad ofensiva. Puesto que, precisamente, estas dos palabras engloban toda su esencia y metodología:
- Seguridad. La misión del Red Team es ayudar a una organización a que optimice su sistema de protección frente a ataques maliciosos. Tanto en lo que respecta a la detección como a la respuesta.
- Ofensiva. Para lograrlo, diseña e implementa ataques similares a los que ponen en marcha los ciberdelincuentes.
De esta forma, el Red Team puede simular un acceso no autorizado a los sistemas corporativos, empleando:
- La intrusión clásica.
- El reconocimiento interno de una organización.
- El movimiento lateral hacia objetivos internos.
- La persistencia a lo largo del tiempo.
- El escalado de privilegios.
- La realización de actividades de impacto para la organización, tales como la alteración o el robo de información estratégica para el negocio (entre otras).
¿Qué se logra? Obtener una panorámica completa y compleja de las debilidades de la organización. Un caudal informativo que se debe emplear para:
- Subsanar los problemas.
- Optimizar tanto la tecnología de seguridad como los procedimientos y personas que la operan.
¿Necesita servicios de Red Team?
Servicios de Red Team2. Características de un Red Team
A partir de la sucinta descripción que acabamos de realizar, podemos esgrimir cinco características básicas que nos ayudan a completar la imagen sobre qué es el Red Team. Y sobre cuál es la misión de este tipo de servicio de seguridad ofensiva.
2.1. Duración
Las acciones de un Red Team no son meramente puntuales. Sino que forman parte de una serie de ejercicios que pueden ser más o menos dilatados en el tiempo y conformados por varias fases, como veremos a lo largo de este artículo.
Así, los servicios de Red Team no se llevan a cabo de la noche a la mañana. Sino que requieren de una ardua labor de investigación, que conduzca al diseño de escenarios de ataque. Una vez planificados, los ataques se ponen en marcha, a la vez que se ejecuta un proceso continuo de recopilación de información que será de utilidad para apoyar a las diferentes actividades realizadas a lo largo del ejercicio.
2.2. Vectores de intrusión
Los ataques planificados y ejecutados por un Red Team emplean diversas vías de intrusión. Puesto que los ciberdelincuentes también pueden lanzar sus ataques de múltiples formas.
Así, nos encontramos con accesos físicos, activos perimetrales de la organización (tales como aplicaciones web o móviles, entre otras), técnicas propias de la ingeniería social (como por ejemplo Phishing)… Frente al pasado analógico, en el mundo digital e hiperconectado las capas defensivas de una organización pueden verse vulneradas por diferentes frentes. O lo que es peor: por varios flancos a la vez.
De ahí que sea fundamental para los profesionales del equipo de Red Team contemplar los diferentes vectores de intrusión.
2.3. Imitación del enemigo
Esta cuestión es clave. El Red Team no solo realiza ataques contra una organización que busca proteger. Sino que lo hace simulando ser un agresor. Para ello, debe imitar su forma de proceder. Y usar las mismas técnicas, tácticas, procedimientos (en adelante TTPs) o incluso herramientas que emplearía un agresor real. ¿Qué implica esto?
Estar al día de las innovaciones tecnológicas, algo fundamental en todo el campo de la ciberseguridad. Pero, más concretamente, de las TTPs que utilizan los ciberdelincuentes.
Esta característica tiene otra derivada. Al igual que los atacantes reales, el Red Team debe evitar ser descubierto y, por lo tanto, debe evitar dejar huellas. De esta forma que el Blue Team tiene ante sí un reto significativo que le va a exigir dar lo mejor de sí mismo.
2.4. Diseño de escenarios
En lo que respecta al Red Team, el quid de la cuestión no radica, únicamente, en la ejecución de los ataques. Sino, también, en el diseño previo de los escenarios de ataque. Los cuales quedarán definidos por lo que se denomina Cyber Kill Chain. Éste es un marco de trabajo desarrollado por Lookheed Martin y deriva del ámbito militar.
Esto se debe a la necesidad de simular ataques reales. Ya que no basta actuar como un ciberdelincuente, sino que el contexto también debe ser lo más realista posible.
Por ello, la recolección de información es clave. El Red Team se caracteriza por llevar a cabo una investigación compleja y concienzuda. Tanto de la organización a la que se va a someter a las técnicas de seguridad ofensiva, como de los agresores potenciales.
2.5. Información permanente
Aunque pueda resultar obvio, es preciso señalarlo. La misión del Red Team es mejorar la seguridad de una organización. Si bien es fundamental que las personas que forman parte de la detección, respuesta y recuperación ante ataques (Blue Team) no conozcan los trabajos del equipo rojo, sí hay un pequeño grupo dentro de la entidad que los conoce (White Team). Al fin y al cabo, alguien ha tenido que contratar sus servicios.
Los interlocutores del cliente son informados permanentemente de los avances del ejercicio del Red Team. Y disponen de información plenamente actualizada sobre los descubrimientos hechos y sobre las debilidades detectadas tanto en el sistema en sí, como en la forma de operar del equipo de seguridad defensiva: el Blue Team.
2.6. Retroalimentación
Una buena estrategia de ciberseguridad requiere poner en marcha múltiples actuaciones. Implementadas además por diferentes equipos que respondan, todas ellas, a los objetivos y necesidades de la organización.
Teniendo en cuenta esto, hay que señalar que el Red Team, aunque lleve a cabo su trabajo de forma independiente y a escondidas de la mayoría de la organización, no vuela por libre. Su estrategia responde a la estrategia general de ciberseguridad. Y su misión es enriquecerla.
Así, por ejemplo, la seguridad ofensiva complementa y sirve de acelerador para mejorar la defensiva, no la menoscaba o la sustituye.
El servicio de Red Team pone a un equipo de profesionales a plena disposición de la organización que lo contrata. Y para que su funcionamiento sea óptimo, necesitará que otros departamentos o equipos le suministren información, por ejemplo, de ciberinteligencia. Y sus descubrimientos enriquecerán a los demás equipos.
3. Diferencias entre Red Team y Pentesting
A la luz de las características que venimos de glosar podemos responder a una pregunta que se habrán hecho muchas personas: ¿Red Team y Pentesting son lo mismo?
La respuesta corta es no.
Los servicios de pentesting se basan, también, en la realización de ataques. Pero estos suelen tener mayores restricciones. Tanto de tiempo como de alcance, limitándose a acciones concretas de la Cyber Kill Chain. Su objetivo no consiste tanto en mejorar el nivel de resiliencia de una organización. Sino en identificar vulnerabilidades para facilitar su corrección.
En cambio, el Red Team construye escenarios de ataques reales para detectar debilidades que pudieran afectar a:
- La tecnología.
- Las personas.
- Los procedimientos de actuación.
Del mismo modo, un Red Team identifica vías alternativas para la consecución de los objetivos marcados. Más allá del alcance y limitaciones propias de un servicio de pentesting.
De ahí que podamos decir que el test de intrusión persigue una serie de objetivos concretos, centrados en detectar y explotar vulnerabilidades. En cambio, el Red Team apuesta por una simulación total. Para ello emplea cualquier vía que permita la consecución de los objetivos marcados. Al igual que realizaría un atacante real.
El pentesting busca mantener los activos tecnológicos libres de debilidades o, dicho de otra forma, parchear las vulnerabilidades encontradas en estos. Mientras que el Red Team facilita el análisis del comportamiento de las capas defensivas de la organización en situación de un ataque concreto que puede llegar a producirse.
A mayores, en lo que respecta al test de intrusión, existe una colaboración entre la organización y el equipo encargado de realizar el test. Lo cual difiere sobremanera de lo que sucede cuando hablamos del Red Team, puesto que este actúa mientras la mayoría de la organización no conoce que está llevando a cabo ninguna actividad.
4. Objetivos y funciones de un Red Team
Todo servicio de Red Team desarrolla una serie de actividades que van encaminadas a resolver tres cuestiones de vital importancia para un negocio:
- Identificar el nivel de vulnerabilidad de una organización frente a los ataques.
- Analizar la capacidad de detección de las agresiones.
- Evaluar la preparación de la organización para defenderse frente a las agresiones.
Así, estos servicios de seguridad ofensiva buscan proteger a la organización y su sistema frente a los ataques. Para ello, resulta extremadamente útil ponerse en la piel de los ciberdelincuentes. Y llevar a cabo ejercicios perfectamente planificados.
Precisamente, esta última cuestión nos lleva a establecer cuáles son las tres funciones principales de un Red Team, teniendo en cuenta sus objetivos y las características de sus servicios.
- Ponerse en la piel del enemigo. Como ya señalamos antes, la emulación de los atacantes es una de las características del Red Team. Asumir este papel de agresor, implica contar con conocimientos y experiencia, de ahí que sea fundamental que el equipo esté conformado por expertos en ciberseguridad bregados en la materia.
- Diseñar y emular ataques. Además de plantear los escenarios, el Red Team los construye para poner en práctica diversos ataques que le permitan evaluar la detección y la respuesta de los sistemas de defensa de la organización.
- Explotar las debilidades identificadas y ayudar a evaluar la capacidad de proteger las funciones críticas. Obviamente, las prácticas de seguridad ofensiva no se realizan simplemente para comprobar cómo responde el sistema, sino que buscan obtener toda la información posible para llevar a cabo una evaluación de los mecanismos de protección. Dicho de otra forma, el Red Team no busca solo demostrar que una organización es vulnerable a determinadas amenaza. Sino saber por qué lo es y contribuir a que deje de serlo.
5. Acciones que desarrolla un Red Team
Habida cuenta de lo que venimos de exponer, el Red Team debe llevar a cabo una serie de acciones para conseguir los objetivos definidos.
Este catálogo de actuaciones permite al equipo de seguridad ofensiva constatar el estado de los sistemas de defensa y la protección de las funciones críticas de la organización.
5.1. Monitorización continua para la localización de objetivos
Mediante esta acción se visibilizan las distintas vías de acceso a información clave para entender el negocio y las funciones críticas del mismo. Para ello se emplean prácticas de OSINT.
Como hemos venido destacando, la investigación es una labor central de un Red Team. Sin ella, es imposible emular escenarios de ataques reales. De ahí que sea tan importante realizar una monitorización continua de las organizaciones, de cara a detectar objetivos susceptibles de ser atacados.
5.2. Evaluación continua de las posibles vías de acceso
Además de realizar una monitorización continua de objetivos prioritarios, el Red Team también lleva a cabo una evaluación permanente de las vías de acceso o rutas de compromiso que se pueden usar a la hora de ejecutar la intrusión inicial.
Es decir, estudia los diferentes caminos que pueden seguir los agresores para llegar a:
- Los activos identificados.
- Los objetivos prioritarios de negocio.
Con este análisis se busca identificar aquellas debilidades que permitan avanzar hacia la consecución de los objetivos.
5.3. Verificación de las capacidades de respuesta y resiliencia frente a los ataques
Si las dos acciones anteriores estaban centradas en la detección, esta actividad de seguridad ofensiva busca comprobar cómo responde una organización frente a las agresiones.
Para ello, se emplean escenarios o ejercicios que pudieran formar parte del modus operandi de ciberdelincuentes reales. Estos se completan con TTPs de actores hostiles, siguiendo clasificaciones técnicas como MITRE ATT&CK.
La sistematización y las buenas prácticas son claves en este tipo de acción.
5.4. Ejecución de escenarios de ataque contra la infraestructura corporativa
Con estas acciones se identifican vulnerabilidades en infraestructuras de la organización. Si en las anteriores tareas el objetivo era analizar los sistemas de respuesta, en éstas se persigue evaluar la capacidad de prevenir riesgos frente a ataques contra la infraestructura corporativa.
Durante la ejecución de estas actividades es previsible que salgan a la luz brechas que puedan existir en la infraestructura y por dónde pueden atacar los ciberdelincuentes. De cara a vulnerar activos críticos corporativos.
5.5. Identificación de los riesgos de seguridad circunscritos a casos de uso específicos
Como hemos venido señalando, el Red Team no solo debe investigar y poner en marcha ataques haciéndose pasar por personas que buscan entrar en una organización de forma ilegítima. Sino que es absolutamente prioritario que identifique vulnerabilidades críticas y riesgos derivados de su explotación..
A la finalización del ejercicio, deberán proponerse mejoras necesarias. Tanto en el plano meramente técnico, como en el ejecutivo y decisorio. Solo así se podrá garantizar que una organización y los equipos que deben protegerla están plenamente optimizados.
5.6. Optimización continua de la estructura de gobierno de la seguridad
La labor de un Red Team tiene un largo recorrido. Precisamente la duración de sus actuaciones es una de las diferencias más importantes con los test de intrusión, como ya hemos apuntado.
Esto implica que el Red Team se mueva en dos planos distintos. Pero, obviamente, complementarios.
Por un lado, su estrategia es global y busca contribuir a la eficacia del sistema de seguridad de la organización. Por el otro, el equipo rojo puede identificar acciones de mejora a corto plazo..
Esta doble capacidad analítica del Red Team es especialmente útil para las empresas e instituciones. Puesto que, mientras la estrategia a largo plazo apunta hacia un análisis complejo y global de los mecanismos y equipos de seguridad; la estrategia a corto plazo tiene un impacto inmediato en la protección corporativa.
6. Fases de la estrategia de un Red Team
Las acciones o tareas que venimos de abordar responden, siempre, a la estrategia del Red Team. Ésta se diseña en función de las características y necesidades de la organización y sus capacidades defensivas.
Por tanto, dicha estrategia es plenamente personalizada, adaptándose a la entidad. Si bien podemos señalar cuatro grandes fases que se llevan a cabo en todos los servicios de Red Team:
- Análisis de amenazas. Es la primera fase y gira en torno a la recopilación de información sobre la organización, sus funciones críticas y amenazas que pudieran afectar que pudieran impactarlas..
- Diseño de ejercicios. Se centra en el diseño de los escenarios y ataques a partir de los datos obtenidos en la fase anterior y el capital de conocimiento y buenas prácticas acumulado por los profesionales del equipo rojo.
- Ejecución de ejercicios. En esta fase del servicio de seguridad ofensiva se llevan a cabo las actividades necesarias para conseguir los objetivos definidos según los escenarios diseñados, confirmando su consecución y la respuesta proporcionada por las capas defensivas.
- Impacto. En esta fase se realiza la actividad última que demostraría el compromiso o afectación de aquellas funciones críticas identificadas con anterioridad. De entre las múltiples alternativas de impacto, hoy en día muy frecuente que la Simulación de Ransomware esté entre ellas.
- Cierre de ejercicios. Se exponen los resultados y contrastan con las acciones defensivas llevadas a cabo por parte de las capas defensivas, extrayendo posibilidades de mejora que deban ponerse en marcha para mejorar la postura de seguridad corporativa.
A continuación, vamos a poner el foco sobre cada una de estas fases. Prestando atención, especialmente, a los escenarios y ataques del Red Team.
7. Análisis de amenazas
Existen marcos de trabajo para la realización de ejercicios de Red Team que sugieren la generación de un «Targeted Threat Intelligence Report» (en adelante TTI).
El TTI es un informe de ciberinteligencia que, como su nombre señala, establece cuáles son las amenazas específicas que pudieran afectar a una organización.
Este documento es clave para poner en marcha los trabajos del Red Team. Puesto que provee a este equipo de una sólida información de partida sobre la organización y sus necesidades.
El objetivo central de esta fase es conocer cuáles son las funciones críticas (CFs) de la organización. Así como identificar cuáles son los principales sistemas que las sustentan.
Ello se logra sabiendo con precisión cuáles son los procesos, tecnologías y personas esenciales para la estabilidad de la organización.
Mediante este análisis, se logra una radiografía precisa de los activos críticos corporativos. Que son, precisamente, los que deben protegerse con más ahínco y los más deseados por parte de los ciberdelincuentes.
8. Diseño de ejercicios
La segunda fase de la estrategia de Red Team es de capital importancia: el diseño de los escenarios de ataque. En ella se interconectan:
- La información sobre la organización.
- La inteligencia.
- El conocimiento disponible sobre las prácticas maliciosas que se llevan a cabo en el ámbito de la ciberseguridad.
8.1. Preparación y desarrollo de escenarios
El equipo diseñará escenarios de Red Team considerando las amenazas analizadas y las funciones críticas de una organización. Se recogerán los escenarios propuestos a realizar. Así como los controles que se aplicarán para garantizar que la prueba se lleva a cabo de forma controlada.
En este plan se estipularán, también, los objetivos de los escenarios (las «banderas» a capturar), así como las tácticas, técnicas y procedimientos (TTPs) que se pretenden utilizar para su consecución.
La preparación de los escenarios debe tener en cuenta tres variables fundamentales:
- Actores maliciosos.
- Vectores de intrusión.
- Objetivos.
Puesto que los escenarios de Red Team son planes de actuación mediante los que el equipo de seguridad ofensiva simula ser un actor malicioso que, mediante una vía de intrusión, entra en un sistema para obtener una serie de objetivos fraudulentos.
8.2. Actores maliciosos
La tipología de actores maliciosos es múltiple y variable. Lo cual hace que resulte más complejo descubrirlos y conocer sus diferentes metodologías. Sea quien sea, el actor malicioso persigue un fin delictivo entrando de forma ilícita en el sistema.
Entre los perfiles de actores maliciosos podemos destacar:
- Atacante remoto.
- Tercero o colaborador comprometido.
- Empleado descontento o comprometido.
- Competencia.
- Activista/Terrorista
Más allá de estos cinco perfiles típicos, el Red Team puede simular ser otro tipo de atacante. Si bien porque así lo solicita el cliente. O porque fruto del análisis previo se detecta algún otro perfil peligroso.
8.3. Vectores de intrusión
Para entrar en el sistema, los actores maliciosos deben encontrar una brecha de seguridad. Para ello, pueden sondear y utilizar múltiples vías de acceso o vectores de intrusión. Entre los más comunes destacan:
- Explotación de una vulnerabilidad detectada tras una labor de investigación.
- Ingeniería social: phishing, smishing, vishing…
- Adivinación de contraseñas.
- WiFi o Ethernet.
- Acceso Remoto o VPN.
- Información filtrada, entre la que puede haber cuentas de usuarios del sistema.
Conocer los vectores de intrusión es clave afianzar la seguridad de un sistema. Por ello resulta fundamental ejecutar ataques a través de las vías más vulnerables o mayormente empleadas por los ciberdelincuentes.
8.4. Objetivos
Si los actores y los vectores de intrusión se caracterizan por su variedad, los objetivos son aún más diversos. Y van cambiando según surgen nuevas técnicas. En la actualidad podríamos destacar:
- Elevación de privilegios.
- Compromiso de objetivos: ERP, Tesorería…
- Despliegue de ransomware.
- Obtención de información sensible para la compañía atacada.
- Filtración, manipulación y saboteo de productos o servicios, como, por ejemplo, las patentes de la compañía.
- Forzar pagos no autorizados para sustraer, directamente, dinero.
Al igual que sucede con los vectores de intrusión, tanto la compañía como la investigación y análisis previos pueden determinar otra clase de objetivos a simular. Todo ello gracias a una de las características de los servicios de Red Team: su personalización y adaptación a las necesidades corporativas.
9. Ejecución de ejercicios
Después de investigar y analizar la información, y diseñar, en basa a ello, los escenarios de ataque, es el momento de ejecutarlos. Estamos hablando de una fase extremadamente delicada.
Cabe señalar que la utilización de las mismas técnicas que utilizan los atacantes en escenarios reales es clave. Puesto que permite complementar las capacidades de detección en todos los puntos de la cadena. Permitiendo, así, medir la efectividad en cada una de las sub-fases de la ejecución.
9.1. Fases y objetivos
- Fase de reconocimiento. Se estudia la superficie de ataque de la organización, información disponible, el fingerpriting y el reconocimiento activo en dispositivos de seguridad, tales como IDS o Firewalls, entre otros…
- Fase de intrusión. Se desarrollan las herramientas, exploits o payloads necesarios para evadir la detección de las capas defensivas, tales como IDS/IPS perimetrales o EDR, WAT, SIEM, Antivirus, etc. Una vez conseguida la evasión requerida se procede al compromiso de activos que permitan pivotar hacia el interior de red corporativa.
- Desplazamiento lateral/escalada. Se pivota y comprometen activos internos con el objetivo de ganar visibilidad del objetivo del ejercicio. Este proceso suele ir acompañado de una elevación de privilegios, lo cual facilita la realización de movimientos laterales.
- Persistencia/exfiltración. Con el objeto de asegurar el futuro acceso a los activos comprometidos, se necesita conseguir persistencia tanto a nivel de red como de usuario. Para ello se pueden emplear herramientas APT que permitan tunelizar comunicaciones a través de proxies o DNS, entre otros.
Todas y cada una de estas acciones deben ser documentadas para su seguimiento y análisis. Puesto que de nada sirve ejecutar un ejercicio de Red Team si no se puede sistematizar el conocimiento adquirido.
Precisamente, el objetivo de los ejercicios de Red Team es simular escenarios en los que queden plasmadas las Tácticas, Técnicas y Procedimientos (TTPs) que son utilizadas en ataques reales.
De tal forma que toda la información obtenida por el Red Team sirva para facilitar que el Blue Team pueda implementar las mejoras necesarias. Y mejorar, así, la protección de la organización frente a sus amenazas.
9.2. Tipos de ataques
Algunos de los ataques que se suelen plantear en un ejercicio de Red Team son múltiples. Entre ellos podemos destacar:
- Ataques contra aplicaciones corporativas. Como accesos remotos o webs de la empresa.
- Ataques contra dispositivos corporativos que se conectan a redes inalámbricas.
- Agresiones de fuerza bruta contra usuarios y plataformas de autenticación.
- Ataques contra infraestructura transaccional y contra los componentes software de la plataforma.
- Acciones contra la infraestructura cloud y microservicios.
- Ataques contra dispositivos de comunicaciones.
- Evasión de WAF y elementos de seguridad perimetral.
- Envío de campañas de ataques dirigidos mediante spear phishing o llamadas telefónicas dirigidas contra empleados de la compañía.
- Creación y distribución de APTs de forma física o a través de medios online para lograr penetrar en los equipos de usuario.
- Intentos de acceso físico a puntos de red de instalaciones asociadas a la organización.
- Ataques contra dispositivos de comunicaciones accesibles, como las redes WiFi.
Como ya hemos sostenido con anterioridad, el catálogo de ataques está en constante expansión. Puesto que los ciberdelincuentes necesitan desarrollar nuevas metodologías, para conseguir franquear las medidas de defensa de las organizaciones.
Por ello, la innovación y la investigación son absolutamente relevantes en todo el ámbito de la ciberseguridad y, desde luego, en lo que respecta a los servicios de Red Team. Para poder simular un ataque hay que conocerlo a la perfección.
10. Fase de impacto, como por ejemplo Simulación de Ransomware
Aunque las amenazas puede realizar múltiples tipos de impacto, si hay un tipo que merece especial atención es el despliegue de ransomware dentro del sistema corporativo. ¿Por qué?
Cada día son más comunes este tipo de ataques que, además, se han ido sofisticando con el paso del tiempo, hasta alcanzar enormes niveles de complejidad. Tanto a nivel metodológico, como en lo que respecta a la capacidad de detectarlos y responder ante ellos.
Por ello, muchas organizaciones están incrementando sus esfuerzos económicos y humanos, en estar preparadas para combatir ataques de este tipo.
Lo cual ha producido que la simulación de ransomware se haya convertido en una de las técnicas más empleadas dentro de los servicios de Red Team.
Este tipo de simulación de ataque permite saber con precisión si:
- La organización está preparada para resistir a un ataque malicioso de ransomware.
- Las capas defensivas están preparadas para identificar, contener y recuperar la operativa tras un ataque de esta tipología.
Además, si, por suerte, la organización no ha tenido que enfrentar nunca ataques de ransomware, ofrece a los equipos de seguridad defensiva una ocasión única para aprender a través de una experiencia extremadamente realista a gestionarlos.
Este tipo de simulación consta, habitualmente, de dos fases. Una de diseño y ejecución. Otra de análisis y evaluación:
- Escenario de Red Team. Diseño e implementación de un escenario de ataque de ransomware. Durante esta fase se idea y ejecuta una simulación de ransomware end-to-end. Recopilando toda la información sobre el ataque.
- Gap-Analysis. Se analiza la información recolectada en la primera fase. De tal forma que se estudia la respuesta proporcionada por las capas defensivas de la organización durante el ataque. Tanto en lo relativo a la detección, como a la contención y recuperación de activos. El objetivo es identificar posibilidades de mejora.
11. Evaluación y recomendaciones
Precisamente, aunque hemos hablado del Gap-Analysis en lo referente a la Simulación de Ransomware, el estudio de la información es clave en todos los escenarios de Red Team. Puesto que mediante este análisis se pueden extraer los datos clave para confeccionar un plan de mejora sistemático, completo y global.
La evaluación del desempeño de las capas defensivas durante el ejercicio de Red Team se efectúa, como apuntamos anteriormente, en tres niveles:
- Capacidad de detección. ¿Cuánto tardó el equipo de seguridad defensiva en detectar el ataque? ¿Son óptimos los mecanismos de detección? ¿Qué vulnerabilidades se han encontrado?
- Capacidad de contención. Una vez que el ataque fue detectado, cómo se produjo a contenerlo. ¿La metodología y técnicas de contención son correctas? ¿En qué se puede mejorar?
- Capacidad de recuperación. Una vez finalizado el ataque, cuánto tiempo se necesitó para restablecer el normal funcionamiento del sistema. ¿Se perdió información durante la actuación maliciosa? ¿Los protocolos de recuperación son eficientes? ¿Limitan la capacidad de los actores maliciosos de causar daños irreversibles?
El plan de mejora sintetizará todas las recomendaciones que se puedan enarbolar, tras analizar todas las cuestiones relevantes de las diferentes fases del ejercicio de Red Team. Así, la seguridad ofensiva contribuirá no solo a detectar los puntos débiles de la organización, sobre todo en lo relativo a sus activos críticos, sino también a subsanarlos.
12. White Team, Blue Team, Purple Team. No todos los colores son iguales
A lo largo del artículo hemos hablado, en varias ocasiones, del Blue Team, el equipo de seguridad defensiva que debe hacer frente a los ataques maliciosos de forma proactiva. De ahí que su relación con el Red Team sea un pilar fundamental dentro de una estrategia de ciberseguridad integral. Pero en la defensa de una organización pueden entrar en juego más colores.
12.1. White Team
Como señalamos al inicio del texto, el Red Team no actúa por libre, sino que su misión va en la misma dirección que la estrategia global de la organización para la que trabaja. Además, aunque la mayoría de la entidad desconozca sus trabajos, sí hay un pequeño equipo de personas que no solo los conoce, sino que ejercen de interlocutores, facilitándoles la información de inteligencia necesaria para desarrollar sus servicios.
Pues bien, este pequeño grupo es el White Team. Este selecto equipo es informado permanentemente de los avances del Red Team y supervisa sus trabajos. Asimismo, dirige la extracción de conclusiones y recomendaciones de mejora. Aunque su papel no participa de los trabajos operativos llevados a cabo los por los equipos rojo y azul, su labor de coordinación e interlocución es fundamental.
12.2. Blue Team
En muchas ocasiones habrá leído sobre la oposición entre el Blue Team y el Red Team. Nada más lejos de la realidad. Ambos equipos caminan en la misma dirección, pero desde trincheras diferentes de la estrategia de defensa de un sistema.
Así, el Blue Team debe desarrollar, de manera proactiva, una serie de tareas encaminadas no solo a solucionar una crisis, sino, sobre todo, a evitarla. Entre sus múltiples funciones podemos destacar:
- Dar respuesta a incidentes. Planificando e implementando medidas reactivas con las que responder y contener ataques maliciosos.
- Detección y respuesta ante ataques. Buscar Indicadores de Amenaza (IoA), Indicadores de compromiso (IoC), busca TTPs y analiza información facilitada por las tecnologías de seguridad para detectar actividad maliciosa. En situación de detección confirmada, se proporcionará la respuesta necesaria para minimizar el potencial impacto, así como recuperar los sistemas comprometidos y prevenir nuevas ocurrencias.
- Análisis de causa raíz. En caso de que se detecte un compromiso, éste debe analizarse hasta su causa raíz, como por ejemplo mediante Análisis Forenses, para confirmar tanto el impacto producido como el nivel de compromiso realizado, de tal modo que se pueda confirmar si la respuesta y recuperación realizadas inicialmente por el equipo de Respuesta a Incidentes sea suficiente o por el contrario pudiera proceder alguna actividad adicional.
- Detección temprana de amenazas. Para ello empleará técnicas de identificación de vulnerabilidades. Además, definirá alertas proactivas y desplegará señuelos, con técnicas deception.
- Bastionado de sistemas.
12.3. Purple Team y la cooperación entre rojos y azules
Si bien en empresas pequeñas, que no pueden permitirse contratar servicios de ciberseguridad, puede existir un equipo que combina las funciones y objetivos de los equipos rojo y azul, en realidad este concepto está más asociado a la colaboración y complementación entre los equipos de seguridad ofensiva y defensiva.
Ambos equipos tienen por misión garantizar la seguridad de los activos de la organización. Sus funciones no son opuestas, sino complementarias, de tal forma que se retroalimentan.
Los servicios de Red Team proporcionan escenarios realistas para que se puedan comprobar las medidas de protección de la organización y las capacidades de detección, respuesta y recuperación frente a ataques maliciosos por parte del equipo de Blue Team. Pero, además, mediante la simulación de ataques se obtiene una enorme cantidad de datos que permiten mejorar las defensas de la organización y optimizar sus técnicas y metodologías de seguridad.
De ahí que ambos servicios, Red Team y Blue Team, sean complementarios y necesarios para desarrollar una estrategia de ciberseguridad sólida y global.
13. Beneficios de los servicios de Red Team: seguridad ofensiva y analítica
A lo largo de todo este artículo hemos ido desgranando diferentes aspectos del Red Team y de los servicios de seguridad ofensiva. Habida cuenta de que vivimos en un mundo digitalizado e hiperconectado, los riesgos en materia de ciberseguridad deben ser una preocupación central para instituciones y organizaciones.
Los ataques maliciosos pueden desencadenar crisis que conlleven la pérdida de información clave o la sustracción de dinero y conocimiento. De tal forma que un ciberataque puede impactar en la totalidad de la organización y de las personas que la conforman.
Por ello, la protección y la seguridad son cuestiones clave a abordar. En este sentido, los servicios de Red Team se configuran como una herramienta básica para analizar permanentemente los mecanismos de defensa. Y poder fortalecerlos frente a la disparidad de ataques que se pueden llegar a producir.
Precisamente, un Red Team ayuda a detectar y contener una intrusión en las etapas tempranas. Así como a evitar que se produzca el robo de información estratégica y o alguna perturbación en el funcionamiento normal del negocio.
De entre los múltiples beneficios de los servicios de Red Team, vamos a destacar cinco que muestran la importancia de las estrategias de seguridad ofensiva.
13.1. Detección de debilidades transversales
Este beneficio lo aleja, una vez más, de los test de intrusión. Puesto que estos están más focalizados y tienen un ámbito de actuación más reducido. Mientras que el Red Team pone en marcha una estrategia destinada a proteger los activos críticos de la organización.
La detección de este tipo de debilidades, puede conllevar que lo que se aprende a través del trabajo del Red Team pueda ser útil para cuestiones que éste no contempló directamente.
De hecho, los servicios de seguridad ofensiva son capaces de arrojar información extremadamente contextualizada sobre la seguridad global de la organización.
13.2. Optimización de los procedimientos de respuesta
El Red Team no tiene como misión realizar ninguna función de respuesta, sino más bien todo lo contrario: los ataques buscan provocar la respuesta defensiva de la organización. De tal forma que, una vez que ésta se produzca, se puede analizar.
Así, el Red Team permite recopilar todos los datos sobre los procedimientos de respuesta frente a ataques maliciosos y optimizarlos, subsanando las deficiencias encontradas e incorporando las mejoras necesarias.
13.3. Mejora de los sistemas de monitorización y detección
Lo mismo sucede con la monitorización y la detección de ciberataques. Ya que las acciones del Red Team están encaminadas a simular un ataque con el mayor grado de realismo posible. Por ello, permite observar, por un lado, y de manera fidedigna, si el sistema de seguridad es capaz de detectar e identificar el ataque y con qué rapidez y precisión lo hace.
Y, por otro, permite escrutar los procedimientos y técnicas empleados y, así, solventar las debilidades encontradas ya no solo en la detección, sino también en el análisis de eventos disruptivos.
13.4. Entrenamiento del personal que gestiona incidentes reales
Lo hemos apuntado en varias ocasiones, las simulaciones del Red Team son un escenario de entrenamiento ideal para los profesionales que deben gestionar los ataques maliciosos. Puesto que estas simulaciones son realistas y permiten a los equipos testear sus metodologías antes de que un ataque real las ponga a prueba.
De ahí que contar con un servicio de Red Team sea tan valioso para la estrategia de ciberseguridad de una organización. Mejora la manera de probar la eficiencia del sistema y de las técnicas de defensa, atacándolas para obtener información que las enriquezca y que, a su vez, permita a los profesionales colocarse en un contexto de máxima tensión.
13.5. Proporcionar evidencias técnicas sobre las que sustentar la toma de decisiones
Más allá del diseño e implementación de los escenarios de Red Team, los servicios de seguridad ofensiva se caracterizan por su capacidad de recopilar datos valiosos sobre la protección global de una organización y sus funciones críticas.
Toda esa información enriquece el trabajo de todos los profesionales de ciberseguridad, pero, también, sirve para que los cargos directivos puedan tomar decisiones trascendentales para la defensa de la organización.
Dichas decisiones se sustentarán sobre las evidencias técnicas recopiladas y sistematizas por el Red Team durante sus trabajos. Ayudando, de esta manera, a que las modificaciones en la estrategia de ciberseguridad respondan a las necesidades reales de la organización. Por ejemplo, invertir más recursos humanos, tecnológicos y económicos en una determinada área. O cambiar algún profesional de un equipo a otro en función de las debilidades y fortalezas que se han evidenciado durante los ataques simulados.
En definitiva, los servicios de Red Team contribuyen a fortalecer el nivel de resiliencia de una organización, detectando de forma preventiva posibles brechas o vulnerabilidades, proporcionando información valiosa sobre los riesgos existentes y contribuyendo a la implementación de mejoras.
Así, los servicios de seguridad ofensiva aumentan la eficacia, eficiencia y potencia de la estrategia de ciberseguridad de un negocio o institución, contribuyendo a garantizar la protección de sus funciones críticas y el desarrollo de mecanismos de respuesta plenamente optimizados.
Servicios relacionados
- Tests de intrusión: Realización de pruebas de intrusión en aplicaciones y redes.
Más información: Servicios de pentesting y Pruebas de ingeniería social social - Servicios de Red Team: Ejercicios de seguridad ofensiva para simular un ataque avanzado y poner a prueba sus defensas.
Más información: Servicios de Red Team