¡No todos los hackers son malas noticias! Los hackers del equipo rojo intentarán acceder a sus datos, pero con fines altruistas...
Red teaming es el acto de probar, atacar y penetrar redes informáticas, aplicaciones y sistemas. Los Red Teamers son hackers éticos contratados por organizaciones para probar su arquitectura de seguridad. El objetivo final del equipo rojo es encontrar, ya veces inducir, problemas y vulnerabilidades en una computadora y explotarlos.
¿Por qué es importante el equipo rojo?
Para una organización que necesita proteger datos y sistemas confidenciales, el equipo rojo implica contratar operadores de ciberseguridad para probar, atacar y penetrar su arquitectura de seguridad antes los piratas informáticos lo hacen. El costo comparativo de obtener amistosos para simular un ataque es exponencialmente menor que si lo hicieran los atacantes.
Entonces, los miembros del equipo rojo esencialmente juegan el papel de piratas informáticos externos; sólo que sus intenciones no son maliciosas. En cambio, los operadores usan trucos, herramientas y técnicas de piratería para encontrar y explotar vulnerabilidades. También documentan el proceso, de modo que la empresa pueda utilizar las lecciones aprendidas para mejorar su arquitectura de seguridad general.
El equipo rojo es importante porque las empresas (e incluso las personas) con secretos no pueden permitirse que los adversarios obtengan las llaves del reino. Como mínimo, una infracción podría resultar en pérdida de ingresos, multas de las agencias de cumplimiento, pérdida de la confianza de los clientes y vergüenza pública. En el peor de los casos, una infracción adversaria podría resultar en la quiebra, el colapso irrecuperable de una corporación y robo de identidad que afecta a millones de clientes.
¿Qué es un ejemplo de Red Teaming?
El equipo rojo está muy centrado en el escenario. Por ejemplo, una productora musical. puede contratar operadores de equipo rojo para probar las medidas de seguridad para evitar fugas. Los operadores crean escenarios que involucran a personas que tienen acceso a unidades de datos que contienen la propiedad intelectual de los artistas.
Un objetivo en este escenario puede ser probar ataques que sean más efectivos para comprometer los privilegios de acceso a esos archivos. Otro objetivo podría ser probar la facilidad con la que un atacante puede moverse lateralmente desde un punto de entrada y filtrar las grabaciones maestras robadas.
¿Cuáles son los objetivos del equipo rojo?
El equipo rojo se propone encontrar y explotar tantas vulnerabilidades como sea posible en poco tiempo, sin ser atrapado. Si bien los objetivos reales en un ejercicio de ciberseguridad variarán entre organizaciones, los equipos rojos generalmente tienen los siguientes objetivos:
- Modele las amenazas del mundo real.
- Identificar las debilidades de la red y el software.
- Identificar áreas a mejorar.
- Valore la eficacia de los protocolos de seguridad.
¿Cómo funciona el equipo rojo?
El equipo rojo comienza cuando una empresa (o individuo) contrata operadores de ciberseguridad para probar y evaluar sus defensas. Una vez contratado, el trabajo pasa por cuatro etapas de compromiso: planificación, ejecución, saneamiento e informes.
Etapa de planificación
En la etapa de planificación, el cliente y el equipo rojo definen los objetivos y el alcance del compromiso. Aquí es donde definen los objetivos autorizados (así como los activos excluidos del ejercicio), el entorno (físico y digital), la duración del compromiso, los costos y otra logística. Ambas partes también crean las reglas de enfrentamiento que guiarán el ejercicio.
Etapa de ejecución
La etapa de ejecución es donde los operadores del equipo rojo usan todo lo que pueden para encontrar y explotar vulnerabilidades. Deben hacerlo de forma encubierta y evitar ser atrapados por las contramedidas o protocolos de seguridad existentes de sus objetivos. Los equipos rojos usan varias tácticas en la matriz de Tácticas adversarias, Técnicas y Conocimiento común (ATT&CK).
La matriz ATT&CK incluye marcos que los atacantes usan para acceder, persistir y moverse a través de arquitecturas de seguridad, así como cómo recopilan datos y mantienen la comunicación con la arquitectura comprometida después de un ataque.
Algunas técnicas que pueden emplear incluir ataques de wardriving, ingeniería social, phishing, detección de redes, volcado de credenciales, y escaneo de puertos.
Etapa de Sanitización
Este es el período de limpieza. Aquí, los operadores del equipo rojo atan los cabos sueltos y borran los rastros de su ataque. Por ejemplo, acceder a ciertos directorios puede dejar registros y metadatos. El objetivo del equipo rojo en la etapa de desinfección es borrar estos registros y borrar metadatos.
Además, también revierten los cambios que realizaron en la arquitectura de seguridad durante la etapa de ejecución. Eso incluye restablecer los controles de seguridad, revocar los privilegios de acceso, cerrar omisiones o puertas traseras, eliminar malware y restaurar cambios en archivos o scripts.
El arte a menudo imita la vida. La desinfección es importante porque los operadores del equipo rojo quieren evitar allanar el camino para los piratas informáticos maliciosos antes de que el equipo de defensa pueda arreglar las cosas.
Etapa de informes
En esta etapa, el equipo rojo elabora un documento describiendo sus acciones y resultados. El informe incluye además observaciones, hallazgos empíricos y recomendaciones para parchear vulnerabilidades. También puede presentar directivas para proteger la arquitectura y los protocolos explotados.
El formato de los informes del equipo rojo suele seguir una plantilla. La mayoría de los informes describen los objetivos, el alcance y las reglas de participación; registros de acciones y resultados; resultados; las condiciones que hicieron posibles esos resultados; y el diagrama de ataque. Por lo general, también hay una sección para calificar los riesgos de seguridad de los objetivos autorizados y los activos de seguridad.
¿Qué viene después del equipo rojo?
Las corporaciones a menudo contratan equipos rojos para probar sistemas de seguridad dentro de un ámbito o escenario definido. Después de un compromiso del equipo rojo, el equipo de defensa (es decir, el equipo azul) usa las lecciones aprendidas para mejorar sus capacidades de seguridad contra amenazas conocidas y de día cero. Pero los atacantes no se quedan esperando. Dado el estado cambiante de la ciberseguridad y las amenazas en rápida evolución, el trabajo de probar y mejorar la arquitectura de seguridad nunca termina realmente.
