¿Qué es un Red Team? Cipher lo analiza desde dentro

Roberto López, responsable de Servicios de Seguridad Ofensiva en Cipher Europa, responde a las 6W sobre estos servicios; encargados de simular ataques espontáneos y reales a una compañía para poner a prueba, detectar y mejorar sus sistemas de ciberseguridad.

¿Qué es un equipo de Red Team Services (RTS)? ¿Cómo funciona? Desde Cipher, la unidad de negocio de Ciberseguridad de Prosegur, desgranamos las claves de estos equipos fundamentales para comprobar y reparar las posibles brechas de ciberseguridad en una empresa. Un Red Team simula un atacante real, sin conocimiento previo del resto de áreas de la empresa, para ponerla a prueba por completo. 

Pero antes de llegar a realizar dicha simulación, los RTS han de completar una serie de procesos previos. Destaca, como uno de los principales objetivos, la evaluación de la seguridad de la compañía. El primer paso es identificar puntos de acceso a la red de la organización: todas, grandes o pequeñas, tienen una gran exposición en internet.

A más exposición, más vulnerabilidades. Es ahí donde pueden encontrar su oportunidad los atacantes: a través de correos con software malicioso (malware); accediendo a las redes Wifi… las posibles vías de entrada son variadas. Es por eso que los Red Teams tratan de ponerse en el otro lado. Simulan el control de los recursos de la compañía con el fin de mostrar y evidenciar una serie de fallos; verifican todos los controles; y monitorizan la seguridad de la compañía para saber si está funcionando.

La gran diferencia entre un Red Team y un atacante real es el tiempo. Ahí es donde un atacante esponsorizado juega con ventaja: puede alargar el proceso una, dos, tres semanas. Incluso meses. 
 

 

VENTAJAS DE CONTAR CON UN RED TEAM

La mejor defensa es un buen ataque y, por ello, adquiere una importancia vital elaborar una estrategia de ciberseguridad en la que se pongan las primeras piedras. Además, es importante contar con el apoyo de un SOC (Security Operation Center) y realizar auditorías para tener controladas esas vulnerabilidades. 

Así, la prevención es fundamental. Lanzar de forma regular campañas de concienciación entre los empleados y, sobre todo, comprobar si son efectivas. También destaca como premisa la protección: Entender los distintos niveles de protección, trabajar sobre los posibles fallos y si estos son básicos, avanzados o fruto de errores humanos. En definitiva, establecer cuáles son más complejos y cuáles más sencillos. 

La compañía tiene que comprobar que el equipo de detección está trabajando de manera eficiente, y si las alertas o incidentes de seguridad llegan. Una vez detectada una alerta, se elabora un análisis del incidente para determinar cuál de ellos es el malicioso, qué ha hecho, qué equipos ha “robado”. Con toda esa información, se hace un matcheo (unión) entre análisis y equipos de la compañía. Es entonces cuando la compañía estará preparada para contraatacar.

El análisis de inteligencia previo es fundamental. Aspectos tan diversos como el número de empleados o el diseño que la compañía tiene en la nube, son algunos de los parámetros que deben considerarse. Si bien, dicho análisis siempre estará determinado por el tiempo de duración del proyecto. 

Tras esta primera fase, comienza el reconocimiento y mapeo de la superficie de ataque. Por ejemplo, analizando qué activos puede tener la empresa en la nube, qué tipo de proveedor de la nube utiliza (como Amazon Web Services o Google), o bien las aplicaciones que utiliza y si están actualizadas o no. Esa radiografía permite detectar lo que se conoce como vectores de acceso: pequeñas brechas para apropiarse de los datos de la organización. Con un objetivo ya marcado, comienza la fase de identificar la explotación y consolidación de un vector principal. 

Las maneras de acceder tras el análisis previo son varias. Por ejemplo, se podría entrar por webmail o a través de la VPN. Todo para averiguar cómo está de implementada la ciberseguridad en la compañía. En previsión de que los sistemas de seguridad pudiesen detectar esta intromisión, se hace imprescindible establecer las conocidas como back doors (puertas traseras) para tener salidas en el caso de que esa falla se bloquease.

Como intrusos dentro de los sistemas de la empresa, el siguiente paso de un RTS es identificar y tomar el control de las cuentas de administrador. El objetivo es tener acceso privilegiado sobre la infraestructura. Llegados a este punto, es cuando comienza el ciberejercicio. 

Al finalizar, se realiza un entrenamiento en prevención ante este tipo de ataques. Uno de los que está en boga es el de internal attack simulation (simulación de ataque interno) que normaliza la intrusión real de técnicas, tácticas y procedimientos que utiliza un ransomware (robo de datos). 

Los RTS reportan múltiples beneficios a una compañía. Evaluar los procedimientos y protocolos de los sistemas de seguridad es crítico y con los RTS los riesgos se pueden medir en tiempo real. Es más, los RTS alertan al Blue Team: el reverso de estos equipos y quienes se encargan de activar los mecanismos de defensa de la empresa. Así, el Red Team obliga al analista a gestionar las alertas que saltan como si fueran reales. 

Para que un RTS funcione, una de las claves es que se componga de un equipo multidisciplinar, con expertos en distintas áreas y que el trabajo se haga siempre en equipo.

 

CLAVES PARA UNA BUENA CIBERSEGURIDAD

 

DEL ANÁLISIS AL ATAQUE: FASES DEL TRABAJO EN RTS