RED TEAM

Evaluación de ciberserguridad
con Red Team

La evaluación de ciberseguridad de tipo Red Team consiste en llevar a cabo contra la organización que se desea evaluar ciberataques como los que podría perpetrar un atacante real (grupo de atacantes, organización rival, etc.), con sus mismos métodos y recursos, con el objetivo de identificar y explotar posibles puntos débiles en las medidas de prevención, detección y respuesta de la organización atacada.

No obstante, si bien los ataques se conciben y realizan de la forma más realista posible, para tener una visión exacta de la resistencia de la organización analizada frente a ataques reales, los ejercicios de Red Team lógicamente presentan una diferencia fundamental con respecto a ataques realizados por una organización enemiga real: el ataque se realiza con la autorización de la organización atacada, con el compromiso por parte del Red Team de no causar daño real a la organización atacada y reportar a la organización atacada, a la finalización de cada ejercicio de ataque del Red Team, todas las posibles vulnerabilidades identificadas durante el mismo.

Nuestro servicio de Red Team proporciona a nuestros clientes respuestas a preguntas cómo:

  • ¿Es mi empresa vulnerable a un ciberataque a través de un determinado vector?
  • ¿Cómo de protegida está mi organización frente a un ataque dirigido APT?
  • ¿Cuáles son las áreas más vulnerables?
  • ¿Son eficaces las medidas de protección frente a ciberamenazas que una organización tiene puestas en práctica?


La realización de manera iterativa de evaluaciones de seguridad de tipo Red Team permite a la organización mejorar progresiva y significativamente su nivel de protección frente a ciberataques, a un nivel que no sería alcancable mediante la realización únicamente de análisis de vulnerabilidades y/o pruebas de intrusión («pentests»).

En definitiva, se trata de ir un paso por delante de los atacantes, detectando vulnerabilidades y/o fallos y poder prevenir una vulneración en la seguridad de la empresa que podría suponerle pérdidas irreparables.

¿En qué se diferencia una evaluación de tipo Red Team de un Pentest (prueba de intrusión) o de un Análisis de Vulnerabilidades?

Un análisis de vulnerabilidades consiste en analizar la superficie de exposición de una organización en busca de potenciales vulnerabilidades conocidas: comparar las versiones del software instalado con las afectadas por vulnerabilidades conocidas, ejecutar herramientas automáticas de búsqueda de vulnerabilidades conocidas, etc. Esta es una actividad básica que es necesario realizar en cualquier caso.

Una prueba de intrusión (Pentest) consiste en realizar un ataque dirigido contra un entorno acotado, normalmente limitado en tiempo a una dedicación que no suele superar tres semanas, con el objetivo identificar el mayor número de vulnerabilidades posibles de dicho entorno en el tiempo asignado. Se trata de una prueba en la que el alcance debe estar muy bien definido y limitado para hacer un uso eficiente del tiempo dedicado al análisis. La realización de pruebas de intrusión permite encontrar vulnerabilidades en los entornos analizados que no serían identificables mediante el uso de herramientas automáticas de análisis de vulnerabilidades.

Por último, una evaluación de tipo Red Team proporciona una perspectiva mucho más realista de las capacidades de la organización para protegerse (prevenir, detectar y responder) frente a ataques reales. En ella se marca un objetivo último, y el Red Team tiene libertad para explorar caminos alternativos de ataque que puedan permitir lograr ese objetivo. El Red Team realizará labores de reconocimiento, identificará vectores y técnicas de ataque específicas y dirigidas a vulnerar la organización objetivo, desarrollará las herramientas que sean necesarias (incluyendo la concepción y despliegue de APTs) y llevará a cabo los ataques como lo haría un atacante real. Todo ello siempre en perfecta coordinación con la persona de contacto de la organización objetivo, para que el ataque sea lo más controlado y seguro posible.

La duración y dedicación de cada ejercicio de Red Team se pacta teniendo en cuenta el escenario de recursos y conocimientos del adversario que se quiere simular, pero normalmente no suele estar por debajo de los tres meses. El orden de magnitud es por tanto muy superior a los otros dos tipos de pruebas comentadas anteriormente. Este tipo de evaluación no persigue un análisis exhaustivo de todas las posibles vulnerabilidades presentes en los sistemas sino que se centra en encontrar el camino de mínima resistencia para lograr el objetivo marcado, en unas condiciones totalmente análogas a las que tendría un atacante real, ofreciendo una perspectiva diferente y complementaria a las anteriores.

¿Cuáles son los factores más importantes a la hora de elegir un Red Team?

En Layakk estamos convencidos de que para que un ejercicio de Red Team sea realmente efectivo y eficiente son fundamentales los siguientes tres factores, no necesariamente en orden de importancia.

Un primer factor es sin duda la capacidad técnica y de pensamiento lateral del Red Team, para imaginar e implementar ataques como lo haría un adversario real.

Un segundo factor es la capacidad comunicativa del Red Team respecto de los resultados obtenidos. Recordemos que el objetivo de todo el ejercicio es mejorar la seguridad de la organización, y eso sólo se logra mediante el análisis detallado por parte de la organización de toda la información de vulnerabilidades identificada por el Red Team durante el ataque, que debe por tanto ser comunicada por el Red Team a la organización a la finalización del ejercicio.

Finalmente, un tercer factor, quizás el más importante, es el de la confiabilidad del Red Team. La organización necesita depositar en el Red Team la confianza de que éste cumplirá escrupulosamente con los objetivos de la evaluación, reportando toda la información relevante al final del mismo, y tratando con el máximo cuidado cualquier información a la que pudiera lograr acceso durante la realización del servicio. En Layakk somos conscientes de la responsabilidad que supone dicha confianza y nos orgullece poder decir que nuestros clientes suelen convertirse en compañeros de viaje permanentes en la mejora de su seguridad.

¿De dónde proviene el nombre de Red Team?

El nombre «Red Team» proviene de la realización de este tipo de ejercicios de entrenamiento, tradicionalmente en entornos militares, en los que un equipo realiza el papel de defensor, arbitrariamente denominado «Blue Team» (equipo azul), y otro equipo realiza el papel de atacante, arbitrariamente denominado «Red Team» (equipo rojo).

¿Podéis aportar referencias?

La confidencialidad es un valor fundamental en nuestra relación con nuestros clientes y por ello no desvelamos con quien trabajamos, salvo autorización expresa por parte del cliente, cosa que no solicitamos para nuestra publicidad. Lo más cercano a una lista de referencias son las presentaciones públicas que ocasionalmente realizamos sobre técnicas de ataque que hemos utilizado en el pasado en ejercicios de Red Team (previa anonimización y aprobación por parte del cliente) y que están accesibles en Internet. En la sección de investigación de nuestra web se encuentran enlazadas algunas de ellas.

CONTACTE CON

NOSOTROS:

Puede ponerse en contacto con nosotros a través de la siguiente dirección de correo electrónico:

TAMBIÉN PUEDES SEGUIRNOS

EN REDES: