redseguridad 079

40 red seguridad cuarto trimestre 2017 amenazas opinión Simulaciones "reales" En este escenario es donde se plantean los ejercicios de Red Team: simulaciones reales de intrusión, provenientes del ámbito militar, que permiten a la organización estar preparada frente a cualquier ataque. Estos ejercicios son los servicios más avanzados de intrusión que existen. Buscan materializar una intrusión controlada para identificar el nivel de exposición de la orga- nización y su nivel de detección y prevención de amenazas dirigidas. Para que estos ejercicios sean óptimos, es indispensable que las pruebas sean únicamente conoci- das por un grupo muy acotado de empleados internos. De esta forma los resultados obtenidos serán una foto real del estado de la organiza- ción en materia de seguridad. En su desarrollo se plantean dife- rentes aproximaciones en función del nivel de madurez de cada empre- sa, realizándose desde una única simulación a través de los sistemas expuestos en Internet, a un ejercicio completo donde se crean vectores de ataque aprovechando todo tipo de vulnerabilidades (ámbito digital, físico y humano). Esto es especial- mente interesante dada la diferencia de las amenazas según el sector. Al tratarse de un ejercicio de intrusión que pretende simular una amenaza real, todas las pruebas realizadas seguirán las mismas técnicas, tácticas y procedimien- tos que utilizaría un atacante. Esto implica anonimizar las acciones para evitar que sea posible la iden- tificación del equipo como origen de las pruebas, uso de software propio e indetectable, realización de acciones manuales y la existencia de metodologías y procedimientos internos para la ejecución de dichas labores que no pongan en riesgo ningún tipo de operativa interna de la compañía. Una vez finalizado el ejercicio de intrusión, y en caso de que el equipo no haya sido identificado, es preciso conocer el nivel de agresividad nece- sario para que el equipo de seguridad interno localice la intrusión. Para ello se deben plantear diferentes pruebas que permitan medir la capacidad de detección interna de amenazas. Es decir, en este proceso, debemos pen- sar más en las capacidades de detec- ción y respuesta que en los vectores de ataque, que evolucionan cada día. Este es un paso complejo, puesto que debemos seguir manteniendo la confidencialidad de la existencia del ejercicio. En el caso de que final- mente la organización acepte conti- nuar con las pruebas para identificar la capacidad de respuesta a inci- dentes que existe a nivel interno, debe mantenerse un estricto control y seguimiento de las acciones reali- zadas para saber si, internamente, han detectado la amenaza y han podido contenerla. Ciclo continuo Hasta el momento se ha expuesto cómo sería una simulación real de un ataque que permitiría identifi- car la foto global de seguridad en la que se encuentra la empresa. No obstante, la experiencia perso- nal que he tenido durante la ges- tión del servicio de Red Team en Innotec (Grupo Entelgy) es que la mejor forma de incrementar el nivel de madurez y preparación frente a ataques dirigidos es mediante la ejecución cíclica de este tipo de ejercicios. Cuando una organización opta por este enfoque, obtiene unos beneficios mayores puesto que se mantiene en estado continuo de alerta, donde las medidas de segu- ridad, procedimientos y actuaciones se vuelven más agiles, permitien- do realizar comprobaciones más realistas. De hecho, hemos teni- do experiencias en las que se han identificado intrusiones realizadas Un vector de ataque es cualquier puerta que permita entrar en una organización, bien sea Internet, redes Wi-Fi, intrusión física, phishing, malware u otro tipo de acción. La ejecución cíclica de ejercicios de Red Team mantiene un estado continuo de alerta