Red Teaming 101: ¿qué es el Red Teaming?
Etiquetas
Security
19 de julio de 2023

5 min de lectura
Autor
Evan Anderson Chief Offensive Strategist, Randori, an IBM Company

Esta entrada de blog forma parte de la serie “Todo lo que necesita saber sobre el Red Teaming” del equipo de IBM Security Randori. La plataforma Randori combina la gestión de la superficie de ataque (ASM) y el red teaming automatizado continuo (CART) para mejorar su posición de seguridad.

"Ningún plan de batalla sobrevive al contacto con el enemigo", escribió el teorista militar, Helmuth von Moltke, que creía en el desarrollo de una serie de opciones de batalla en lugar de un solo plan. Hoy en día, los equipos de ciberseguridad siguen aprendiendo esta lección por las malas. Según un estudio de IBM Security X-Force, el tiempo para ejecutar ataques de ransomware se redujo en un 94 % en los últimos años, y los atacantes se movieron más rápido. Lo que antes tardaban meses en conseguir, ahora tardan apenas unos días.

Para acabar con las vulnerabilidades y mejorar la resiliencia, las organizaciones deben poner a prueba sus operaciones de seguridad antes de que lo hagan los actores de las amenazas. Podría decirse que las operaciones del equipo rojo son una de las mejores formas de hacerlo.

 ¿Qué es el equipo rojo?

El Red Teaming se puede definir como el proceso de probar la eficacia de la ciberseguridad a través de la eliminación del sesgo de los defensores mediante la aplicación de una perspectiva adversaria a su organización.

El Red Teaming se produce cuando los hackers éticos están autorizados por su organización para emular las tácticas, técnicas y procedimientos (TTP) de los atacantes reales contra sus propios sistemas.

Se trata de un servicio de evaluación de riesgos de seguridad que su organización puede utilizar para identificar y corregir de forma proactiva las deficiencias y carencias de la seguridad informática.

Un equipo rojo aprovecha la metodología de simulación de ataques. Simulan las acciones de atacantes sofisticados (o amenazas persistentes avanzadas) para determinar hasta qué punto el personal, los procesos y las tecnologías de su organización podrían resistir un ataque destinado a lograr un objetivo específico.

Las evaluaciones de vulnerabilidad y las pruebas de penetración son otros dos servicios de pruebas de seguridad diseñados para analizar todas las vulnerabilidades conocidas dentro de su red y probar formas de explotarlas. En resumen, las evaluaciones de vulnerabilidad y las pruebas de penetración son útiles para identificar fallos técnicos, mientras que los ejercicios del equipo rojo brindan información procesable sobre el estado de su posición general de seguridad informática.

 La importancia del Red Teaming

Mediante la realización de ejercicios de Red Teaming, su organización puede ver hasta qué punto resistirían sus defensas un ciberataque en el mundo real.

Como explica Eric McIntyre, vicepresidente de producto y centro de operaciones de hackers de IBM Security Randori: “Cuando tiene una actividad de equipo rojo, puede ver el bucle de comentarios de hasta dónde va a llegar un atacante en su red antes de que comience a activar algunas de sus defensas. O dónde encuentran los atacantes agujeros en sus defensas y dónde puede mejorar las defensas que tiene”.

 Ventajas del Red Teaming

Una forma eficaz de averiguar qué funciona y qué no en lo que respecta a los controles, las soluciones e incluso el personal es enfrentarlos a un adversario dedicado.

El Red Teaming ofrece una forma potente de evaluar el rendimiento general de la ciberseguridad de su organización. Le brinda a usted y a otros responsables de seguridad una evaluación realista del grado de seguridad de su organización. El Red Teaming puede ayudar a su empresa a:

  • Identificar y evaluar las vulnerabilidades
  • Evaluar las inversiones en seguridad
  • Probar las capacidades de detección y respuesta ante amenazas
  • Fomentar una cultura de mejora continua
  • Prepararse para riesgos de seguridad desconocidos
  • Mantenerse un paso por delante de los atacantes
Fortalezca sus defensas

Obtenga información digerible y de alto impacto de los expertos en seguridad de IBM, que ofrecen estrategias inteligentes y una experiencia inestimable para combatir directamente las ciberamenazas modernas que llegan a su bandeja de entrada.

Más información sobre IBM Security Randori Attack Targeted
Pruebas de penetración versus Red Teaming

El Red Teaming y las pruebas de penetración (a menudo denominadas "pen testing") son términos que a menudo se usan indistintamente, pero son completamente diferentes. 

El objetivo principal de las pruebas de penetración es identificar vulnerabilidades explotables y obtener acceso a un sistema. Por otro lado, en un ejercicio de equipo rojo, el objetivo es acceder a sistemas o datos específicos emulando a un adversario del mundo real y utilizando tácticas y técnicas a lo largo de la cadena de ataque, incluida la escalada de privilegios y la exfiltración.

En la siguiente tabla se señalan otras diferencias funcionales entre las pruebas de penetración y el Red Teaming:

Pruebas de penetración

Equipo rojo

Objetivo

Identificar vulnerabilidades explotables y obtener acceso a un sistema.

Acceder a sistemas o datos específicos emulando a un adversario del mundo real.

Período de tiempo

Corto: de un día a unas semanas.

Más largo: de varias semanas a más de un mes.

Herramientas

Herramientas de prueba de penetración disponibles en el mercado.

Amplia variedad de herramientas, tácticas y técnicas, incluidas herramientas personalizadas y exploits desconocidos hasta el momento.

Concienciación

Los defensores saben que se está realizando una prueba de penetración.

Los defensores no son conscientes de que se está llevando a cabo un ejercicio de equipo rojo.

Vulnerabilidades

Vulnerabilidades conocidas.

Vulnerabilidades conocidas y desconocidas.

Ámbito

Los objetivos de las pruebas son limitados y predefinidos, como por ejemplo si una configuración de firewall es efectiva o no.

Los objetivos de las pruebas pueden cruzar varios dominios, como la exfiltración de datos confidenciales.

Pruebas

El sistema de seguridad se prueba de forma independiente en una prueba de penetración.

Sistemas atacados simultáneamente en un ejercicio de equipo rojo.

Actividad posterior a la vulneración

Los probadores de la penetración o "pen testers" no participan en actividades posteriores a la vulneración.

Los miembros del equipo rojo participan en actividades posteriores a la vulneración.

Objetivo

Comprometer el entorno de una organización.

Actuar como atacantes reales y exfiltrar datos para lanzar nuevos ataques.

Resultados

Identificar vulnerabilidades explotables y proporcionar recomendaciones técnicas.

Evaluar la posición general de ciberseguridad y proporcionar recomendaciones para mejorarla.
Diferencia entre equipos rojos, azules y morados

Los equipos rojos son profesionales de la seguridad ofensiva que ponen a prueba la seguridad de una organización imitando las herramientas y técnicas empleadas por los atacantes del mundo real. El equipo rojo intenta burlar las defensas del equipo azul evitando ser detectado.

Los equipos azules son equipos internos de seguridad informática que defienden a una organización de los atacantes, incluidos los equipos rojos, y trabajan constantemente para mejorar la ciberseguridad de su organización. Sus tareas cotidianas consisten en supervisar los sistemas en busca de signos de intrusión, investigar las alertas y responder a los incidentes.

Los equipos morados no son en realidad equipos en absoluto, sino más bien una mentalidad cooperativa que existe entre los miembros del equipo rojo y los azules. Aunque tanto los miembros del equipo rojo como los del equipo azul trabajan para mejorar la seguridad de su organización, no siempre comparten sus conocimientos entre sí. El papel del equipo morado es fomentar la comunicación y la colaboración eficientes entre los dos equipos para permitir la mejora continua de ambos equipos y de la ciberseguridad de la organización.

 Herramientas y técnicas para las interacciones de Red Teaming

Los equipos rojos intentarán utilizar las mismas herramientas y técnicas empleadas por los atacantes del mundo real. Sin embargo, a diferencia de los ciberdelincuentes, los miembros del equipo rojo no causan daños reales. Al contrario, exponen grietas en las medidas de seguridad de una organización.

Algunas herramientas y técnicas comunes de Red Teaming son:

  • Ingeniería social: utiliza tácticas como el phishing, el smishing y el vishing para obtener información confidencial o acceder a los sistemas corporativos de empleados desprevenidos.
  • Pruebas de seguridad física: prueba los controles de seguridad física de una organización, incluidos los sistemas de vigilancia y las alarmas.
  • Pruebas de penetración de aplicaciones: prueba las aplicaciones web para encontrar problemas de seguridad derivados de errores de codificación, como vulnerabilidades de inyección de código SQL.
  • Espionaje de redes: supervisa el tráfico de la red para obtener información sobre un entorno, como los detalles de configuración y las credenciales de los usuarios.
  • Contaminar el contenido compartido: añade contenido a una unidad de red u otra ubicación de almacenamiento compartido que contiene programas de malware o explota código. Cuando lo abre un usuario desprevenido, se ejecuta la parte maliciosa del contenido, lo que puede permitir que el atacante se mueva lateralmente.
  • Credenciales a base de fuerza bruta: adivina contraseñas sistemáticamente, por ejemplo, probando credenciales de volcados de vulneraciones o listas de contraseñas de uso común.
 La automatización continua de los equipos rojos (CART) está cambiando las reglas del juego

El Red Teaming es un factor fundamental de la resiliencia, pero también puede plantear serios retos para los equipos de seguridad. Dos de los mayores retos son el coste y el tiempo que lleva realizar un ejercicio de equipo rojo. Esto significa que, en una organización típica, las interacciones del equipo rojo tienden a producirse periódicamente en el mejor de los casos, lo que solo proporciona información sobre la ciberseguridad de su organización en un momento dado. El problema es que su posición de seguridad puede ser sólida en el momento de la prueba, pero puede no seguir siéndolo.

Realizar pruebas continuas y automatizadas en tiempo real es la única manera de comprender realmente su organización desde la perspectiva de un atacante.

 Cómo IBM Security Randori está haciendo que el Red Teaming automatizado sea más accesible

IBM Security Randori ofrece una solución CART llamada Randori Attack Targeted. Con este software, las organizaciones pueden evaluar continuamente su posición de seguridad como lo haría un equipo rojo interno. Esto permite a las empresas probar sus defensas de forma precisa, proactiva y, lo que es más importante, de forma continua para aumentar la resiliencia y ver qué funciona y qué no.

IBM Security Randori Attack Targeted se ha diseñado para trabajar con o sin un equipo rojo interno existente. Randori Attack Targeted, respaldado por algunos de los principales expertos en seguridad ofensiva del mundo, ofrece a los responsables de seguridad una forma de obtener visibilidad sobre el rendimiento de sus defensas, lo que permite incluso a las organizaciones de tamaño medio garantizar una seguridad de nivel empresarial.

Esté pendiente de mi próxima entrada sobre cómo el Red Teaming puede ayudar a mejorar la posición de seguridad de su empresa.
Empiece a usar IBM Security Randori Obtenga una prueba gratuita de 7 días Solicite una demostración en vivo para revisar su superficie de ataque Obtenga más información sobre IBM Security Randori Attack Targeted Apúntese a nuestro webinar sobre "Cómo ir más allá de la exploración de vulnerabilidades para reforzar su superficie de ataque"
Boletines de IBM

Reciba nuestros boletines y actualizaciones temáticas, que le informarán sobre las últimas ideas y tendencias emergentes.

 Suscríbase ahora Más boletines