Realizar un Red Team

¿A quién va dirigido?

A cualquier organización, pública o privada, incluidas las pequeñas y medianas empresas (PYMES), que deseen ser más resilientes y estar más protegidas frente a las ciberamenazas con el objetivo de asegurar la continuidad de su negocio.

Attack

¿Qué es un ejercicio de Red Team?

Un ejercicio de Red Team consiste en la simulación de un ataque sobre la infraestructura de una organización. Este ejercicio permite analizar el nivel de protección y respuesta de una organización frente a posibles ataques, para de esta forma poder reforzar su seguridad.

El equipo de Red Team está formado por expertos en seguridad, habitualmente personal dedicado al hacking ético, que buscarán realizar una intrusión real y controlada sobre una organización, pero con un alcance limitado bajo un contrato.

Objetivos

El objetivo de este tipo de ejercicios es, utilizando las técnicas, tácticas y procedimientos (TTPs) de intrusión que podrían utilizar unos atacantes reales, evaluar el impacto que tendrían estas actividades sobre las personas, procesos y tecnología empleada para defender el entorno objetivo del ejercicio.

Los objetivos de un Red Team se pueden resumir en los siguientes puntos:

Someter los sistemas, redes, aplicaciones y demás a pruebas desde los ojos de un adversario.
Poner en valor la seguridad de una infraestructura tecnológica para posteriormente establecer una fortificación de todos los sistemas de la organización.
Analizar los procedimientos para la gestión de incidentes que tenga la entidad.
En base a los resultados obtenidos explorar las consecuencias y su impacto, para así elaborar un plan de acción de mejora a corto, medio y largo plazo.
Formar a los equipos de monitorización, detección y respuesta de la entidad, para mejorar su respuesta ante posibles ciberataques.

Beneficios

Es posible detectar debilidades, en procedimientos o en infraestructuras, antes de que un atacante lo identifique en un ciberataque real.
Se evalúa la capacidad de la entidad para detectar, responder y prevenir amenazas y ataques.
Viendo las debilidades que podría tener la organización, posteriormente se realizan las mejoras pertinentes para que los ataques realizados en un entorno controlado no puedan realizarlo atacantes no autorizados.

Fases del Red Team

Las fases del Red Team varían en función del framework y de la metodología de ataque empleada. Entre estos destacan:

TIBER-EU: https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
OTAN Cyber Red Teaming: https://ccdcoe.org/uploads/2018/10/Cyber_Red_Team.pdf
CBEST: https://www.crest-approved.org/schemes/cbest/index.html

Se indican a continuación las fases más comunes:

Fase 1. Definición y planificación

Fases En esta primera fase se define qué escenarios se realizarán, sobre qué entorno y cuáles son los objetivos a conseguir (obtención de información sensible, acceso a la red interna, etc). Se definirán los equipos de trabajo y las personas de contacto en cada una de las partes. Finalmente, se establecerá también en qué período de tiempo se realizarán los ataques y la duración de éstos.

Fase 2. Reconocimiento externo

Durante esta fase se analiza el entorno del objetivo (macro y micro inteligencia) con el objetivo de modelar los posibles vectores de ataque. En esta misma fase se empieza a probar cada parte e identificar las vulnerabilidades que puedan permitir realizar una intrusión.

Fase 3. Compromiso inicial

En este paso se buscará explotar una vulnerabilidad de severidad crítica que permita dar paso a la intrusión. Pueden ser desde ataques de fuerza bruta que permitan obtener usuarios, lanzamiento de un correo de phishing, lanzamiento de un exploit, subida de ficheros que permita pivotar a la red interna, etc.

Fase 4. Acceso interno

El “atacante” se hace con el control de un activo y se establece en el mismo para atacar hacia el interior. Es un ejercicio que varía dependiendo del escenario y su tiempo no es exacto: el ejercicio puede durar cuestión de minutos o días.

Fase 5. Elevación de privilegios

Root Esta fase consiste en la obtención de privilegios elevados en la infraestructura interna con el objetivo de tomar el control de algunos sistemas con permisos de administración.

Fase 6. Reconocimiento interno

Teniendo ya el control de activos de la entidad, el atacante comienza a descubrir en qué lugar de la red interna se encuentra, qué mecanismos de control identifica en la red, etc. El objetivo es descubrir el mapa de red e identificar posibles vulnerabilidades a utilizar para expandirse y moverse dentro de la red.

Fase 7. Movimientos Laterales

Una vez dentro de la red interna de la entidad y con una idea de cómo es la infraestructura, el “atacante” elige nuevos objetivos y trata de atacarlos y comprometerlos. Esto dará lugar a un salto entre redes internas dentro de la organización.

Fase 8. Finalización y documentación

Una vez el ejercicio ha finalizado, con la consecución o no de los objetivos planteados al inicio, habrá que documentar el proceso y los hallazgos de una manera clara y legible. Entre otros aspectos, habrá que detallar la cronología de las acciones, los vectores de ataque utilizados, nivel de acceso conseguido y riesgos asociados al ataque simulado.

¿Dónde recibir asesoramiento o contratar la elaboración de un Red Team?

Desde el BCSC, se pone a disposición de las empresas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco