¿Cuál es la diferencia entre un Pentesting y un ejercicio de Red Team? El entendimiento común es que un ejercicio del Red Team es una prueba de penetración con esteroides, pero ¿Qué significa eso?.

Si bien ambos programas son realizados por hackers éticos, ya sean residentes internos o contratados externamente, la diferencia es más profunda.

En pocas palabras, se realiza una prueba de penetración para descubrir vulnerabilidades explotables y configuraciones incorrectas que potencialmente podrían servir a los piratas informáticos poco éticos. Principalmente prueban la efectividad de los controles de seguridad y la conciencia de seguridad de los empleados.

El propósito de un ejercicio de equipo rojo, además de descubrir vulnerabilidades explotables, es ejercitar la efectividad operativa del equipo de seguridad, el equipo azul. Un ejercicio del equipo rojo desafía las capacidades y la tecnología de soporte del equipo azul para detectar, responder y recuperarse de una infracción. El objetivo es mejorar sus procedimientos de respuesta y gestión de incidentes.

El desafío con las pruebas de penetración y los ejercicios en equipo rojo es que requieren una cantidad relativamente alta de recursos. Una prueba de penetración puede durar de 1 a 3 semanas y un ejercicio de equipo rojo durante 4 a 8 semanas y, por lo general, se realizan anualmente, si es que se realizan.

El entorno cibernético actual es uno de cambios rápidos y constantes. Está impulsado por la evolución de las amenazas y las tácticas y técnicas adversas, y por el ritmo acelerado de cambio en TI y las adaptaciones a la pila de seguridad. Esto ha creado la necesidad de pruebas de seguridad frecuentes y la demanda de validación de seguridad continua y automatizada o simulación de violaciones y ataques (BAS).

Estas soluciones descubren y ayudan a remediar vulnerabilidades explotables y configuraciones incorrectas, y se pueden realizar de forma segura en el entorno de producción. Permiten a los equipos de seguridad medir y mejorar la eficacia operativa de sus controles de seguridad con más frecuencia que las pruebas de penetración. ¿Pero pueden usarse en un ejercicio del equipo rojo?

Hay dos enfoques que deben tenerse en cuenta. La primera, la automatización del equipo rojo, tiene la ventaja obvia de aumentar la eficiencia operativa de un equipo rojo. Les permite automatizar acciones repetitivas e investigativas, identificar debilidades y vulnerabilidades explotables, y les proporciona una buena imagen de lo que están enfrentando rápidamente.

En principio, esto no está muy lejos de lo que proporciona BAS hoy en día al admitir un amplio conjunto de simulaciones de ataques y proporcionar una biblioteca rica de ejecuciones atómicas codificadas en el marco MITRE ATT & CK. Incluso brindan a los equipos rojos la capacidad de diseñar sus propias ejecuciones. La automatización del equipo rojo puede respaldar las actividades del equipo rojo, pero el valor es limitado, y la mayoría de los equipos rojos tienen su propio conjunto de herramientas propias desarrolladas para el mismo propósito.

Un nuevo enfoque, la simulación del equipo rojo, lleva estas capacidades un paso más allá. Permite a un equipo rojo crear escenarios de ataque complejos que se ejecutan en toda la cadena de eliminación, básicamente creando flujos APT personalizados. En lugar de ejecutar un banco de comandos para encontrar una debilidad, realiza un flujo secuenciado de ejecuciones de múltiples rutas.

La principal ventaja de este enfoque es que incorpora lógica en el flujo. A medida que avanza la simulación, aprovecha los hallazgos de ejecuciones anteriores además de las fuentes de datos y herramientas externas. Incluso descargará herramientas en una máquina de destino, según las dependencias de una ejecución.

Por ejemplo, un flujo de muestra podría incluir Mimikatz proporcionando entrada de credenciales a una técnica basada en PSexec y colocarlo en el disco PSexec en la máquina de destino si falta. Una simulación de equipo rojo puede incluir todas las etapas de un ataque desde el acceso inicial hasta el impacto e incluso el reconocimiento realizado en la etapa previa al ataque.

Los beneficios de la simulación del equipo rojo se extienden más allá de la eficiencia operativa tanto para los equipos rojos internos como para las empresas que brindan servicios del equipo rojo. Los escenarios se pueden reproducir para validar las lecciones aprendidas de ejercicios anteriores. Los equipos rojos que operan en empresas globales pueden cubrir más geografías.

Incluso con la simulación del equipo rojo, el factor humano sigue siendo clave para evaluar el resultado de un ejercicio y proporcionar orientación para mejorar la gestión de incidentes y los procedimientos de respuesta, pero hace que los ejercicios del equipo rojo sean accesibles y alcanzables para un mercado más grande, donde el costo es un factor limitante.

Fuente y redacción: thehackernews.com

Compartir