Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

El Red Team en la empresa

Juan Antonio Calles García, Chief Executive Officer de Zerolynx

Diego León, Responsable del área de Offensive Security de Zerolynx

11/12/2018
Las organizaciones se encuentran formadas por un conjunto de personas con una cultura, forma de pensar y de trabajar propias. Como cualquier sistema humano, la organización puede fallar, es susceptible a creencias y prejuicios y tiene sus propias limitaciones, que pueden provocar sesgos en la capacidad de análisis y toma de decisiones.

En general, el objetivo del Red Team es someter las ideas, los planes,los programas o las suposiciones de la organización a un estricto análisis con el objetivo de identificar suposiciones incorrectas y opciones alternativas no contempladas, así como detectar vulnerabilidades o riesgos que puedan afectarla. Una de las formas más habituales de hacer esto, como podemos imaginar,es tomar la perspectiva del adversario.

Sin embargo, debemos dejar claro que, como práctica de red teaming, es igualmente válido sentara una persona ajena a la organización,y por lo tanto a sus prejuicios y suposiciones, junto a los responsables de ejecutar la respuesta a incidentes con la finalidad de evaluar y cuestionar los planes definidos sobre el papel; como, por ejemplo, ejecutar un ejercicio en vivo para verificar si además de los planes correctos existen las adecuadas capacidades de ejecución y coordinación necesarias en dichos planes. En función de la madurez de la organización, se necesitará una u otra cosa.

Contexto histórico

En realidad, el concepto de Red Team no es nuevo y ha sido aplicado en la historia reciente y no tan reciente en numerosas ocasiones y en diferentes ámbitos –entre ellos, el militar–. Un ejemplo era la profesión de abogado del diablo (advocatus diaboli), nombre que recibían los procuradores fiscales en los antiguos juicios o procesos de canonización de la Iglesia católica sobre el año 1500 después de Cristo. Este cargo tenía la responsabilidad de "cuestionar" los procesos de canonización con el fin de garantizar la independencia y la veracidad de los argumentos utilizados para aprobarla.

Más reciente fue la demostración que realizó en 1932 el almirante Harry E. Yarnell sobre la efectividadde un ataque en Pearl Harbor, ya que mostraba casi exactamente cómo las tácticas de los japoneses destruirían la flota en el puerto nueve años después. O la realizada por el ejército de Estados Unidos, y opinión requerida por petición del presidente Barack Obama, en el operativo contra Osama Bin Laden.

Toma de decisiones

Es fundamental conocer la organización para entender su modo de operar y sus procesos internos. Es importante comprender que no se evalúan simplemente las tecnologías,sino que también se quieren evaluar los procesos y las personas que los acompañan. En una gran parte de las ocasiones son los propios responsables dentro de la organización los que ya tienen identificadas posibles debilidades y procesos que pueden generar riesgos.Son ellos los que pueden guiar el Red Team hacia procesos o tecnologías que deben ser analizados, eso sí, con la experiencia particular que este grupo tan especializado puede aportar.

Por ejemplo, si se han tenido numerosos incidentes relacionados con el malware recientemente, quizás merezca la pena incorporar un especialista para analizar tanto las soluciones tecnológicas antimalware desplegadas en la organización a todos los niveles como los procesos y personas que deberían acompañar a estas tecnologías para que realmente sean efectivas.

¿Es nuestro sistema antimalware tan bueno como creemos? ¿Cubrimos realmente todas las vías de entrada de malware a la organización? Cuando detectamos malware en un dispositivo, ¿realmente actuamos de la forma correcta?¿Cómo sería de fácil para un malware que no ha sido detectado propagarse a través de nuestra red? ¿Tenemos definidos los planes de actuación para responder en casos como este? ¿Están las personas adecuadas informadas, entrenadas y preparadas para actuar acorde a estos planes? Estas y otras son preguntas que puede responder un Red Team, siendo posible utilizar sus conclusiones para el apoyo a la toma de decisiones internas.

Entrenamiento adecuado

En general, a no ser que el nivel de madurez en seguridad de la organización sea muy alto y los recursos no supongan un problema, donde un ejercicio de Red Team versus Blue Team a gran escala y en escenarios muy realistas tenga sentido, para la gran mayoría de las organizaciones la aproximación basada en la colaboración constante entre el personal interno y externo es la que más valor aportará. Y es que ésta es una de las claves de cualquier ejercicio de red teaming, una de las cosas que más valor aporta con respecto a un pentest genérico: el entrenamiento al personal interno,incluido el Blue Team.

Si al final del proyecto la organización no ha aprendido, y el Blue Team lo único que puede afirmar es que ha sido evadido, entonces el proyecto no ha sido un éxito.

Supongamos que desplegamos una infraestructura de red teaming con, entre otras, las siguientes características:

  • Direccionamiento IP repartido entre diferentes proveedores a lo largo del mundo.
  • Con dominios registrados de forma anónima.
  • Usando hosts de redirección para proteger la infraestructura real usada por los operadores.
  • Con mecanismos preparados para evitar la entrega de payloads al Blue Team, por ejemplo, a través de la detección de sistemas operativos y/o navegadores no utilizados por la fuerza de trabajo común.
  • Usando cifrado y domain fronting para proteger y camuflar las comunicaciones.
  • Generando agentes de alta y baja interacción que permitan recuperarnos en el caso de que los primeros caigan.

De nada serviría hacerlo si luego resulta que, después de todo, el nivel de madurez de la monitorización, detección y respuesta interna no es el adecuado para enfrentarse a este tipo de ejercicio. Y, por lo tanto, el personal interno no aprenderá en el proceso.

Colaboración constante

Todo ejercicio de red teaming debe ser correctamente medido, escalado y adaptado a cada organización. Y esto empieza por una colaboración constante entre ambas partes que nos permita decidir si lo que se requiere es un escenario como el que arriba se plantea o si solo es necesario generar, partiendo del compromiso asumido, determinados eventos de seguridad para confirmar si nuestros sistemas de detección están correctamente parametrizados o no, si es necesario realizar una mayor inversión en tecnología o personal que permita una mejor detección y respuesta o si nuestro proveedor de servicios de CSOC es el adecuado.

Palabras clave:

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual