Por: Diego Bruno, Consultor Senior en Red Teaming y Ciberseguridad, Xelere
Artículo escrito para la revista Cybersecurity de ITware Latam Ver artículo original
La adopción de nuevas tecnologías para la automatización y crecimiento del negocio es cada vez más rápida, lo que además de hacer compleja su administración, complica aún más su aseguramiento.
En materia de seguridad ofensiva, desde hace tiempo hay empresas que suelen contratar una vez al año un servicio “penetration test” externo. Aunque a veces es mejor que no hacer nada, este método puede dar resultados limitados. De la “foto anual”, se evolucionó hacia el pentest continuo (mensual, trimestral), para detectar temas a mitigar con mayor rapidez.
La siguiente evolución es el servicio de Red Team, que realiza actividades similares, pero con una perspectiva más holística que tiene como finalidad pasar por debajo del radar de cualquier método de protección que pueda tener implementado la organización (Firewalls, WAF, DLP, IDS, IPS, Antivirus, EDR, etc).
El Red Team está basado en tres pilares de análisis: Personas, Procesos y Tecnología. Busca probar las defensas tecnológicas, los mecanismos de monitoreo, respuesta y recuperación entre incidentes para luego mejorar los tiempos de detección (TTD) y de mitigación (TTM).
El servicio de Red Team está orientado a aquellas empresas y organizaciones que ya tienen un determinado nivel de madurez, probablemente con un Blue Team que se encarga de manejar la seguridad defensiva. De esta manera se busca saber si en caso de ser atacados se pueden detectar, contener y erradicar esos ataques y cuánto tiempo llevaría.
Los escenarios pueden basarse en actores de amenaza internos o externos o incluso de terceras partes, como por ejemplo proveedores externos que brindanun servicio específico a la empresa y que pueden ser vectores de ataque.
También pueden estar basados en APT conocidos y específicos a la industria a la cual pertenece la empresa. En estos casos seutilizan enfoques de tipo Adversary Emulation o Adversary Simulation.Además los escenarios o “engagements” del Red Team se basan en los TTP (Tácticas, Técnicas y Procedimientos) utilizados por las campañas de APT (Advance Persistent Threats).
Una fuente de referencia es la MITRE ATT&CK Matrix, que analiza en detalle estas TTPs https://attack.mitre.org y brinda un modelo para el comportamiento del adversario cibernético, sus diversas fases del ciclo de vida y las plataformas a las que se sabe que se dirigen. Esto permite planificar mejoras de seguridad y verificar el correcto funcionamiento de las defensas.
Desde la óptica del servicio de Red Team, y en relación al modelado de los escenarios, tanto propuestos como aquellos que van surgiendo a pedido del cliente, nos sirve para tomar dichos TTP y emular comportamientos en un determinado escenario de ejecución.