Servicios de Red Team

Servicios de Red Team

El servicio de Red Team en ciberseguridad va más allá de una auditoría.

 

Simulamos ataques reales, realizados por hackers éticos, para poner a prueba la resiliencia de tu infraestructura. Nos infiltramos como lo harían los cibercriminales, pero con un objetivo muy claro: descubrir tus vulnerabilidades antes de que lo hagan los ciberdelincuentes.

Complete el formulario y le llamamos

Acepta política de protección de datos (enlace)

Servicios de Red Teaming

La misión del Red Team en ciberseguridad es simular un agente externo esponsorizado que realice un acceso no autorizado a los sistemas corporativos contemplando, además de la intrusión clásica, la persistencia a lo largo del tiempo, el escalado de privilegios en sistemas corporativos e incluso la alteración y robo de información estratégica para el negocio.

Durante su ejecución, los servicios de Red Team evalúan la capacidad de detección y respuesta de los equipos de seguridad ante un incidente de seguridad, simulando las acciones de un actor hostil y poniendo a prueba las defensas frente a un ataque real.

Los escenarios de ataque pueden ser diseñados y dirigidos por inteligencia de amenazas (TLPT), tal y como define el marco TIBER o DORA, dotando a estos ejercicios de un mayor realismo.

Beneficios de los servicios de Red Team

Los servicios de Red Team ayudarán a detectar y contener una intrusión en las etapas tempranas. Todo ello evitará que se produzca el robo de información estratégica y la disrupción en la operativa normal del negocio. Este objetivo se logrará de forma paulatina gracias a:

Detección de debilidades transversales a la compañía.

  • Verifica el impacto real de un ciberataque contra su compañía al ejecutar ejercicios de ciberseguridad ofensivos dirigidos por un equipo de inteligencia de amenazas.

Mejora y fortalecimiento de los procedimientos de respuesta

  • Ayuda a una rápida evolución de las capacidades del equipo defensivo, permitiendo combatir situaciones reales a las que potencialmente se enfrentarán en el futuro de forma más eficaz.

Mejora de los sistemas de monitorización

  • Evidencia qué actividad sospechosa no ha sido detectada por los sistemas de monitorización, identificando y solucionando debilidades en el proceso de detección y análisis de eventos.

Capacitación del personal de seguridad

  • Capacita al personal de seguridad para responder ante incidentes reales al analizar detalladamente la intrusión en sesiones de trabajo conjuntas entre el equipo ofensivo y defensivo.
]
Servicios de red team

Cómo se lleva a cabo el servicio de Red Team

El equipo de BlackArrow diseña un escenario de ataque completo, definiendo el punto de partida y los hitos a conseguir durante la ejecución de la intrusión, y lo lleva a cabo sin el conocimiento del equipo de ciberseguridad de la compañía.

  • Identificación de activos: Descubrimos y mapeamos activos, aplicaciones y tecnologías utilizadas.
  • Simulación de ataques reales: Identificamos vulnerabilidades de alto impacto y las probamos para ver cómo responderían las defensas a distintos tipos de amenazas.
  • Mejora continua: No solo detectamos los fallos, sino que ofrecemos soluciones específicas para reforzar la seguridad mientras avanzamos en la intrusión y persistencia en la red.
  • Adaptación a normativas: Ayudamos a que su empresa cumpla con las regulaciones y estándares de seguridad requeridos por la industria y mejore su ciberresiliencia.

Desde acceso a través del perímetro hasta Simulación de Ransomware

Escenarios de Red Team

Definiendo Escenarios de Red Team para simular Actores Maliciosos, tales como Atacantes Remotos, Empleados Maliciosos o Simulación de Ransomware entre otros.

Las compañías están continuamente expuestas a Actores Maliciosos o Adversarios que pueden generar riesgos de múltiples formas. Bajo este contexto, nuestro Red Team simula actores maliciosos o adversarios en busca de un objetivo en particular. A esto se le conoce como Escenario de Red Team.

La siguiente taba ilustra algunas alternativas que podrían ser utilizadas para definir algunos ejemplos representativos de Escenarios para un ejercicio de Red Team:

Actor Malicioso

  • Atacante remoto
  • Tercero o colaborador comprometido
  • Empleado descontento o comprometido
  • Competencia
  • Activista / Terrorista
  • Otros Actores Maliciosos de interés que pudieran ser acordados junto con el Cliente

Vector de Intrusión

  • Explotación de una vulnerabilidad
  • Ingeniería Social (incluyendo phishing)
  • Adivinación de contraseñas
  • WIFI o Ethernet
  • Acceso Remoto o VPN
  • Información filtrada (que pudiera incluir cuentas de usuario)

Objetivos

  • Elevación de privilegios
  • Compromiso de objetivos (ERP, Tesorería, OT, SCADA, etc.)
  • Despliegue de Ransomware
  • Obtención de información sensible
  • Filtrar/manipular/sabotear productos (software, patentes, etcétera)
  • Forzar pagos no autorizados
  • Cualquier otro objetivo acordado junto con el Cliente
Escenarios de Red Team

Ejemplos de escenarios Red Team

De hecho, al igual que sucede con un Actor Malicioso real, los servicios de Red Teaming pueden asumir múltiples escenarios para maximizar el éxito del ejercicio.

De este modo, seleccionando los Actores Maliciosos y Objetivos más relevantes, es posible definir un Escenario de Red Team particular representativo de un ataque real.. Los siguientes escenarios son sólo ejemplos representativos de ataques reales:

  • “Un competidor usando una cuenta de usuario expuesta con el objetivo de acceder a información sensible (patentes)”
  • “Un activista tratando de explotar una vulnerabilidad para acceder a la infraestructura SCADA para realizar actividades de sabotaje
  • “Un empleado descontento colabora para realizar un pago no autorizado a un tercero
  • “Una empresa colaboradora, con acceso a determinados servicios corporativos, está comprometida y facilita la propagación de ransomware a su cliente”

Simulación de ransomware

La lista anterior no tiene fin y cualquier escenario realista podría ser reproducido bajo un Escenario de Red Team

Si bien es cierto que Red Team es mucho más amplio que la realización de un único Escenario de Red Team, la Simulación de Ransomware es un escenario que ha ganado un importante atractivo en los últimos tiempos. A medida en que los ataques de ransomware son cada vez más frecuentes y sofisticados, las organizaciones incrementan esfuerzos para hacer frente a un potencial ataque de estas características. De hecho una organización debería poder contestar sin lugar a dudas a las siguientes preguntas:

  • ¿Está mi organización preparada para resistir un ataque de ransomware?
  • ¿Mis capas defensivas estarán preparadas para identificar, contener y recuperar la operativa tras un ataque dirigido de ransomware?
  • ¿Ha tenido la oportunidad mi organización de experimentar o aprender de ataques de ransomware?
prueba de simulación de ransomware
Red team ciberseguridad ejercicios

Resiliencia ante un ataque ransomware

En situación de que alguna de las preguntas anteriores sea negativa, se recomienda la realización de un Escenario de Red Team basado en la Simulación de Ransomware. Para este caso particular sugerimos la realización de las siguientes dos fases diferenciadas:

  1. Escenario de Red Team: Realización de actividades incluidas en un ejercicio de Simulación de Ransomware end-to-end.
  2. Gap-Analysis: Un advisor analiza la respuesta proporcionada por las capas defensivas de la organización, en términos de detección, contención y recuperación de activos durante el Escenario de Red Team, con el objetivo de identificar posibilidades de mejora.

¿Porqué nuestro servicio es diferente?

Nuestro Red Team realiza únicamente ejercicios de Red Team. Simula actores de amenaza o adversarios con el objetivo de obtener acceso no autorizado a los activos corporativos, y trabaja de la mano de equipos de Threat Hunting y Threat Intelligence para mejorar nuestras capacidades.

red team labs

RED TEAM LABS

De 0-day a exploit

  • Análisis de tecnologías de la empresa.
  • Pruebas avanzadas de vulnerabilidades en tecnologías de la empresa.
  • 0-days dirigidos.
  • Exploits dirigidos.
red team intelligence

RED TEAM INTEL

Reconocimiento continuo

  • Actividades de reconocimiento sobre información pública.
  • Identificación de infraestructuras, servicios, aplicaciones y posibles fugas.
  • Mantenimiento de inventario para mapear tecnologías con nuevas vulnerabilidades a medida que se publican.
red team apt

PERSISTENCIA

APTs propias

  • Nuestro Red Team desarrolla sus propios APTs personalizados (para Windows y Linux), que además de ser indetectables por antivirus, cuentan con técnicas avanzadas para permitir persistencia y control remoto.
red team experts

EQUIPO DE PRIMER NIVEL

Expertos de vanguardia

  • Múltiples vulnerabilidades reportadas y acreditadas en software ampliamente utilizado, así como participantes activos en la comunidad CTF (primeros clasificados en eventos europeos). Reconocimiento en programas de "full disclosure" reputados.

Preguntas frecuentes sobre red team

¿Qué es un ejercicio de Red Team?

Un ejercicio de Red Team es el diseño y ejecución de una operación ofensiva dirigida a simular un determinado actor malicioso para testear las capas defensivas de una organización, permitiendo de este modo la identificación no solo de riesgos altos/críticos, si no que también la comprobación de las capacidades efectivas de detección y respuesta con las que cuenta la organización.

¿Cuál es la diferencia entre pentesting y un Red Teaming?

Mientras que un test de intrusión está generalmente limitado por un alcance en particular y focalizado principalmente en la detección de vulnerabilidades, un servicio de Red Team no debe disponer de restricciones estrictas en cuanto a alcance, al mismo tiempo que se centra principalmente en resiliencia en lugar de vulnerabilidades.

Bajo este contexto, el resultado de un ejercicio de Red Team es una representación de qué bien preparada está una organización para enfrentarse a un determinado Actor Malicioso.

¿Cuánto tiempo dura un ejercicio de Red Teaming?

Depende del ejercicio diseñado. Mientras que típicamente un ejercicio que comience desde Internet, sin conocimiento previo de la organización objetivo, puede requerir un mínimo de 3 meses para obtener resultados representativos de la situación real de las capas defensivas, otros ejercicios que puedan comenzar con cierto nivel de acceso a recursos internos podría requerir algo menos.

Cabe destacar que las organizaciones más maduras tienden a contratar operaciones de Red Team continuas, permitiendo de este modo la realización de múltiples ejercicios de Red Team al año.

¿Podría un servicio de Red Team causar algún daño o interrupción del servicio?

Como cualquier otro servicio ofensivo, un ejercicio de Red Team podría desencadenar situaciones indeseables de entre las cuales se encuentra el daño o interrupción de servicios. Esta es la razón por la que la Gestión de Riesgos durante un ejercicio de Red Team es un componente fundamental que incluye no sólo la utilización de equipos extremadamente experimentados y precisos si no que también el uso de pólizas de seguro capaces de cubrir este tipo de situaciones.

¿Cómo ayuda a una organización un ejercicio de Red Team vs Blue Team?

Durante un ejercicio de Red Team se comprueba tanto la tecnología como procedimientos y personal de Blue Team, facilitando que las capas defensivas funcionen según lo esperado.
Una vez completado un ejercicio de Red Team se pueden establecer sesiones de trabajo con el Blue Team para ayudar a las organizaciones en la identificación de áreas de mejora, al mismo tiempo que se compartan experiencias para estar preparados en el futuro.