5 minutos de lectura
Esta entrada en el blog forma parte de la serie "All You Need to Know About Red Teaming" creada por el equipo de IBM® Security Randori. La plataforma Randori combina la gestión de la superficie de ataque (ASM) y el equipo rojo automatizado continuo (CART) para mejorar su postura de seguridad.
“Ningún plan de batalla sobrevive al contacto con el enemigo”, escribió el teórico militar Helmuth von Moltke, quien creía en el desarrollo de una serie de opciones para la batalla en lugar de un solo plan. Hoy en día, los equipos de ciberseguridad siguen aprendiendo esta lección de la manera más difícil. Según un estudio de IBM® Security X-Force, el tiempo necesario para ejecutar ataques de ransomware se redujo en un 94 % en los últimos años, y los atacantes se movieron más rápido. Lo que antes les tomaba meses lograr, ahora sucede solo en unos días.
Para eliminar las vulnerabilidades y mejorar la resiliencia, las organizaciones deben probar sus operaciones de seguridad antes de que lo hagan los actores de amenazas. Podría decir que las operaciones del equipo rojo son una de las mejores maneras de hacerlo.
El equipo rojo se puede definir como el proceso de probar la eficacia de su ciberseguridad mediante la eliminación del sesgo del defensor aplicando una perspectiva adversarial a su organización.
El equipo rojo ocurre cuando los hackers éticos están autorizados por su organización para emular las tácticas, técnicas y procedimientos (TTP) de los atacantes reales contra sus propios sistemas.
Es un servicio de evaluación de riesgos de seguridad que su organización puede usar para identificar y corregir de manera proactiva las brechas y debilidades de seguridad de TI.
Un equipo rojo aprovecha la metodología de simulación de ataques. Simulan las acciones de atacantes sofisticados (o amenazas persistentes avanzadas) para determinar qué tan bien las personas, los procesos y las tecnologías de su organización podrían resistir un ataque destinado a lograr un objetivo específico.
Las evaluaciones de vulnerabilidad y las pruebas de penetración son otros dos servicios de pruebas de seguridad diseñados para analizar todas las vulnerabilidades conocidas dentro de su red y probar formas de explotarlas. En resumen, las evaluaciones de vulnerabilidad y las pruebas de penetración son útiles para identificar fallas técnicas, mientras que los ejercicios del equipo rojo brindan insights útiles sobre el estado general de su postura de seguridad general de TI.
Al realizar ejercicios de formación de equipos rojos, su organización puede ver qué tan bien sus defensas resistirían un ataque cibernético en el mundo real.
Como explica Eric McIntyre, vicepresidente de producto y centro de operaciones de hackers de IBM Security Randori: “Cuando se realiza una actividad de equipo rojo, puede ver el ciclo de retroalimentación de hasta dónde llegará un atacante en su red antes de que comience a activar algunas de sus defensas. O dónde los atacantes encuentran agujeros en sus defensas y dónde puede mejorar las defensas que tiene”.
Una manera eficaz de averiguar qué funciona y qué no en cuanto a los controles, las soluciones e incluso el personal es enfrentarlos a un adversario dedicado.
El equipo rojo ofrece una manera eficaz de evaluar el rendimiento general de la ciberseguridad de su organización. Le proporciona a usted y a otros responsables de seguridad una evaluación real del grado de seguridad de su organización. El equipo rojo puede ayudar a su empresa a:
Obtenga insights digeribles y de alto impacto elaborada por los expertos en seguridad de IBM, que ofrecen estrategias inteligentes y una experiencia invaluable para combatir las amenazas cibernéticas modernas, de manera directa a su bandeja de entrada.
Aprenda más sobre IBM Security Randori Attack Targeted
El equipo rojo y las pruebas de penetración (a menudo, llamadas pen testing) son términos que se emplean indistintamente, pero son completamente diferentes.
El principal objetivo de las pruebas de penetración es identificar cuáles son las vulnerabilidades que pueden explotarse y obtener acceso a un sistema. Por otro lado, en un ejercicio de equipo rojo, el objetivo es acceder a sistemas o datos específicos emulando a un adversario del mundo real y empleando tácticas y técnicas a lo largo de toda la cadena de ataque, incluida la escalada de privilegios y la exfiltración.
La siguiente tabla marca otras diferencias funcionales entre las pruebas de penetración y el equipo rojo:
Pruebas de penetración
Equipo rojo
Objetivo
Identificar vulnerabilidades explotables y obtener acceso a un sistema.
Acceder a sistemas o datos específicos emulando a un adversario del mundo real.
Marco temporal
Corto: de un día a unas pocas semanas.
Más largo: de varias semanas a más de un mes.
Conjunto de herramientas
Herramientas de prueba de penetración disponibles en el mercado.
Amplia variedad de herramientas, tácticas y técnicas, incluyendo herramientas personalizadas y exploits previamente desconocidos.
Concienciación
Los defensores saben que se está realizando una prueba de penetración.
Los defensores no saben que se está realizando un ejercicio del equipo rojo.
Vulnerabilidades
Vulnerabilidades conocidas.
Vulnerabilidades conocidas y desconocidas.
Determinar
Los objetivos de prueba son estrechos y predefinidos, por ejemplo, si una configuración de firewall es eficaz o no.
Los objetivos de prueba pueden cruzar múltiples dominios, como la exfiltración de datos confidenciales.
Pruebas
El sistema de seguridad se prueba de forma independiente en una prueba de penetración.
Sistemas atacados simultáneamente en un ejercicio de equipo rojo.
Actividad posterior a la filtración
Quienes realizan las pruebas de penetración no participan en actividades posteriores a la filtración.
Los miembros del equipo rojo participan en actividades posteriores a la filtración.
Objetivo
Poner en peligro el entorno de una organización.
Actuar como atacantes reales y exfiltrar datos para lanzar más ataques.
Resultados
Identificar vulnerabilidades explotables y proporcionar recomendaciones técnicas.
Evaluar la postura general de ciberseguridad y brindar recomendaciones para mejorar.
Los equipos rojos son profesionales de la seguridad ofensiva que ponen a prueba la seguridad de una organización imitando las herramientas y técnicas empleadas por los atacantes del mundo real. El equipo rojo intenta eludir las defensas del equipo azul mientras evita la detección.
Los equipos azules son equipos internos de seguridad de TI que defienden a una organización de los atacantes, incluidos los equipos rojos, y trabajan constantemente para mejorar la ciberseguridad de su organización. Sus tareas diarias incluyen monitorear sistemas en busca de signos de intrusión, investigar alertas y responder a incidentes.
Los equipos morados no son en realidad equipos, sino más bien una mentalidad cooperativa que existe entre los miembros del equipo rojo y los miembros del equipo azul. Si bien tanto los miembros del equipo rojo como los del equipo azul trabajan para mejorar la seguridad de su organización, no siempre comparten sus insights entre sí. La función del equipo púrpura es fomentar la comunicación y la colaboración eficientes entre los dos equipos para permitir la mejora continua de ambos equipos y de la ciberseguridad de la organización.
Los equipos rojos intentarán usar las mismas herramientas y técnicas que los atacantes del mundo real. Sin embargo, a diferencia de los delincuentes cibernéticos, los miembros del equipo rojo no causan daños reales. En cambio, exponen fallas en las medidas de seguridad de una organización.
Algunas herramientas y técnicas comunes del equipo rojo incluyen:
El trabajo en el equipo rojo es un factor fundamental de la resiliencia, pero también puede plantear serios desafíos a los equipos de seguridad. Dos de los mayores desafíos son el costo y el tiempo que toma llevar a cabo un ejercicio de equipo rojo. Esto significa que, en una organización típica, los compromisos del equipo rojo tienden a ocurrir periódicamente en el mejor de los casos, lo que solo proporciona insight sobre la ciberseguridad de su organización en un punto determinado en el tiempo. El problema es que su postura de seguridad puede ser estable en el momento de la prueba, pero es posible que no se mantenga así.
Realizar pruebas continuas y automatizadas en tiempo real es la única forma de conocer verdaderamente su organización desde la perspectiva de un atacante.
IBM Security Randori ofrece una solución CART denominada Randori Attack Targeted. Con este software, las organizaciones pueden evaluar continuamente su postura de seguridad como un equipo rojo interno. Esto permite a las empresas probar sus defensas de forma precisa, proactiva y, lo que es más importante, de forma continua para crear resiliencia y ver qué funciona y qué no.
IBM® Security Randori Attack Targeted está diseñado para trabajar con o sin un equipo rojo interno existente. Con el respaldo de algunos de los principales expertos en seguridad ofensiva del mundo, Randori Attack Targeted ofrece a los líderes de seguridad una forma de obtener visibilidad sobre el rendimiento de sus defensas, lo que permite que incluso las organizaciones medianas garanticen la seguridad a nivel empresarial.
Manténgase pendiente de la próxima publicación sobre cómo el equipo rojo puede ayudar a mejorar la postura de seguridad de su negocio.