Red Teaming es una compleja simulación de ataque. Metodología y herramientas

Fuente: Acunetix



Red Teaming es una compleja simulación de ataques reales para evaluar la ciberseguridad de los sistemas. El “equipo rojo” es un grupo de pentesters (especialistas que realizan una prueba de penetración). Pueden ser contratados desde fuera o empleados de su organización, pero en todos los casos su función es la misma: imitar las acciones de los intrusos e intentar penetrar en su sistema.



Junto con los "equipos rojos" en ciberseguridad, hay varios otros. Por ejemplo, el Blue Team trabaja junto con el Red Team, pero sus actividades están dirigidas a mejorar la seguridad de la infraestructura del sistema desde el interior. El equipo púrpura es el enlace para ayudar a los otros dos equipos a desarrollar estrategias ofensivas y defensivas. Sin embargo, el redtiming es uno de los métodos de gestión de la ciberseguridad menos comprendidos, y muchas organizaciones aún se muestran reacias a utilizar esta práctica.

En este artículo, explicaremos en detalle qué hay detrás del concepto de Red Teaming y cómo la implementación de una simulación integral de ataques del mundo real puede ayudar a mejorar la seguridad de su organización. El propósito de este artículo es mostrar cómo este método puede mejorar significativamente la seguridad de sus sistemas de información.

Red Teaming: descripción general

Aunque hoy en día los equipos "rojos" y "azules" están asociados principalmente con el campo de la tecnología de la información y la ciberseguridad, estos conceptos fueron inventados por los militares. En general, fue en el ejército donde escuché por primera vez estos conceptos. Trabajar como analista de ciberseguridad en la década de 1980 era muy diferente de lo que es hoy: el acceso a sistemas informáticos cifrados estaba mucho más restringido de lo que es ahora.



Por lo demás, mi primera experiencia con los juegos de guerra (modelado, simulación y organización de interacciones) fue muy similar al complejo proceso de simulación de ataques de hoy, que se ha generalizado en la ciberseguridad. Como ahora, se ha prestado gran atención al uso de técnicas de ingeniería social para persuadir a los empleados de que otorguen al "enemigo" acceso ilegal a los sistemas militares. Por lo tanto, si bien las técnicas técnicas para simular ataques han avanzado significativamente desde la década de 1980, vale la pena señalar que muchas de las herramientas principales del enfoque adversario, y especialmente las técnicas de ingeniería social, son en gran medida independientes de la plataforma.



El valor fundamental de la simulación compleja de ataques del mundo real también se ha mantenido sin cambios desde la década de 1980. Al simular un ataque a sus sistemas, le resultará más fácil descubrir vulnerabilidades y comprender cómo se pueden explotar. Si bien solía ser utilizado principalmente por piratas informáticos de sombrero blanco y profesionales de la ciberseguridad que buscaban vulnerabilidades a través de pruebas de penetración, ahora tiene usos más amplios en la ciberseguridad y los negocios.



La clave para volver a formar equipos es comprender que, en realidad, no puede hacerse una idea de la seguridad de sus sistemas hasta que sean atacados. Y en lugar de exponerse a un ataque de un atacante real, es mucho más seguro simular tal ataque utilizando un "comando rojo".

Casos de uso de Red Teaming

Una forma sencilla de comprender los conceptos básicos de la redirección es mirar algunos ejemplos. Aquí hay dos de ellos:

• Escenario 1: Imagine que se llevó a cabo una prueba de penetración en un sitio de servicio al cliente y la verificación fue exitosa. Parecería que esto indica que todo está en orden. Sin embargo, más tarde, como resultado de una compleja simulación de ataque, el Equipo Rojo descubre que, aunque la aplicación de servicio al cliente en sí está en orden, la función de chat de terceros no puede identificar a las personas con precisión, y esto brinda la oportunidad de engañar a los representantes de servicio al cliente para que cambien su dirección de correo electrónico. en la cuenta (como resultado de lo cual una nueva persona, un atacante, puede obtener acceso).
• Escenario 2. Pentesting descubrió que todos los controles de acceso remoto y VPN eran seguros. Sin embargo, un representante del "equipo rojo" pasa libremente por el mostrador de facturación y saca la computadora portátil de uno de los empleados.

En los dos casos anteriores, el "equipo rojo" comprueba no sólo la fiabilidad de cada sistema individual, sino también el sistema completo en su conjunto para detectar la presencia de debilidades.

¿Quién necesita una simulación de ataque compleja?

En pocas palabras, prácticamente cualquier empresa puede beneficiarse de la redirección. Como se muestra en nuestro Informe de riesgo de datos globales de 2019 , un número abrumador de organizaciones tienen la falsa creencia de que tienen un control total sobre sus datos. Encontramos, por ejemplo, que, en promedio, el 22% de las carpetas de la empresa están disponibles para todos los empleados y que el 87% de las empresas tienen más de 1000 archivos confidenciales desactualizados en sus sistemas.



Si su empresa no pertenece a la industria tecnológica, puede parecer que la redirección no le servirá de mucho. Pero este no es el caso. La ciberseguridad no se trata solo de proteger la información confidencial.



Los atacantes están igualmente tratando de apoderarse de la tecnología independientemente de la industria de la empresa. Por ejemplo, pueden intentar obtener acceso a su red para ocultar sus acciones y hacerse cargo de otro sistema o red en otra parte del mundo. En este tipo de ataque, los atacantes no necesitan sus datos. Quieren infectar sus computadoras con malware para usarlas y convertir su sistema en un grupo de botnets.



Para las empresas pequeñas, puede resultar difícil encontrar los recursos para realizar la redirección. En este caso, tiene sentido subcontratar el proceso a un contratista externo.

Recomendaciones de Red Teaming

El momento y la frecuencia óptimos de redireccionamiento dependen del sector en el que trabaje y de la sofisticación de sus herramientas de ciberseguridad.



En particular, debe tener actividades automatizadas como la exploración de activos y el análisis de vulnerabilidades. Su organización también necesita combinar la tecnología automatizada con el control humano mediante la realización de pruebas de penetración sólidas de forma regular.

Después de completar varios ciclos comerciales de pruebas de penetración y buscar vulnerabilidades, puede iniciar una simulación completa de un ataque real. En esta etapa, la redirección le brindará beneficios tangibles. Sin embargo, intentar hacerlo antes de poner en marcha las bases de la ciberseguridad no dará sus frutos.



Es probable que un equipo de piratas informáticos de sombrero blanco pueda poner en peligro un sistema no preparado con tanta rapidez y facilidad que usted tiene muy poca información para tomar medidas adicionales. Para lograr un impacto real, la información obtenida por el "equipo rojo" debe compararse con pruebas de penetración y evaluaciones de vulnerabilidad anteriores.

¿Qué son las pruebas de penetración?

La simulación compleja de un ataque real (Red Teaming) a menudo se confunde con las pruebas de penetración (pruebas de penetración) , pero los dos métodos son ligeramente diferentes. Más precisamente, las pruebas de penetración son solo uno de los métodos de redtiming.



El papel del pentester está bastante bien definido . El trabajo de los pentesters se divide en cuatro fases principales: planificación, descubrimiento de información, ataque e informes. Como puede ver, los pentesters hacen más que buscar vulnerabilidades de software. Intentan ponerse en la piel de los piratas informáticos y, una vez que ingresan a su sistema, comienza su verdadero trabajo.



Descubren vulnerabilidades y luego lanzan nuevos ataques basados ​​en la información que reciben, navegando por la jerarquía de carpetas. Así es como los profesionales de las pruebas de penetración se diferencian de aquellos que son contratados solo para buscar vulnerabilidades utilizando software de escaneo de puertos o detección de virus. Un pentester experimentado puede determinar:

• donde los piratas informáticos pueden dirigir su ataque;
• la forma en que los piratas informáticos atacarán;
• cómo se comportará tu defensa;
• la posible escala de la infracción.

Las pruebas de penetración buscan identificar fallas a nivel de la aplicación y la red, así como oportunidades para superar las barreras de seguridad física. Si bien las pruebas automatizadas pueden revelar algunos problemas de ciberseguridad, las pruebas de penetración manuales también tienen en cuenta la vulnerabilidad de la empresa a los ataques.

Equipo rojo vs. pruebas de penetración

Las pruebas de penetración son ciertamente importantes, pero son solo una parte de una gran cantidad de actividades de redtiming. Las actividades del "equipo rojo" tienen objetivos mucho más amplios que los de los pentesters, que a menudo simplemente buscan acceder a la red. La reducción a menudo implica más personas, recursos y tiempo a medida que el Equipo Rojo profundiza para comprender completamente el verdadero nivel de riesgo y vulnerabilidad en la tecnología y los activos humanos y físicos de una organización.



Además, existen otras diferencias. El redteaming suele ser utilizado por organizaciones con medidas de ciberseguridad más maduras y avanzadas (aunque en la práctica este no es siempre el caso).



Por lo general, estas son empresas que ya han realizado pruebas de penetración y han solucionado la mayoría de las vulnerabilidades encontradas, y ahora están buscando a alguien que pueda volver a intentar acceder a información confidencial o piratear la seguridad de cualquier forma.

Es por eso que redtiming se basa en un equipo de expertos en seguridad enfocados en un objetivo específico. Apuntan a vulnerabilidades internas y emplean técnicas de ingeniería social tanto electrónicas como físicas en los empleados de la organización. A diferencia de los pentesters, los equipos rojos se toman su tiempo durante sus ataques, queriendo evitar ser detectados, como lo haría un verdadero ciberdelincuente.

Ventajas de Red Teaming

Hay muchas ventajas en la simulación integral de ataques del mundo real, pero lo más importante es que este enfoque proporciona una imagen completa del nivel de ciberseguridad de una organización. Un proceso típico de simulación de ataque de extremo a extremo incluiría pruebas de penetración (red, aplicación, teléfono móvil y otros dispositivos), ingeniería social (comunicación en vivo en el sitio, llamadas telefónicas, correo electrónico o mensajes de texto y chat) e intrusión física ( abrir cerraduras, detectar zonas muertas de cámaras de seguridad, evitar los sistemas de alerta). Si hay vulnerabilidades en alguno de estos aspectos de su sistema, se detectarán.



Una vez que se encuentran las vulnerabilidades, se pueden corregir. Un procedimiento de simulación de ataque eficaz no termina cuando se descubren vulnerabilidades. Una vez que las fallas de seguridad estén claramente identificadas, querrá trabajar para corregirlas y volver a probarlas. De hecho, el trabajo real suele comenzar después de la intrusión del Equipo Rojo, cuando se realiza un análisis forense del ataque y se intenta reducir las vulnerabilidades encontradas.



Además de estos dos beneficios principales, la redirección también ofrece otros. Por tanto, el "equipo rojo" puede:

• identificar riesgos y vulnerabilidades a ataques en activos de información empresarial clave;
• simular los métodos, tácticas y procedimientos de atacantes reales en un entorno con riesgo limitado y controlado;
• Evalúe la capacidad de su organización para detectar, responder y prevenir amenazas específicas complejas
• estimular la interacción cercana con los departamentos de seguridad de la información y los "equipos azules" para garantizar una mitigación significativa y realizar talleres prácticos integrales basados ​​en las vulnerabilidades descubiertas.

¿Cómo funciona Red Teaming?

Una excelente manera de comprender cómo funciona la redirección es observar cómo ocurre normalmente. Un proceso típico de simulación de ataque complejo consta de varias etapas:

• La organización acordará con el "equipo rojo" (interno o externo) el propósito del ataque. Por ejemplo, tal objetivo puede ser recuperar información confidencial de un servidor específico.
• « » . , , - . .
• , XSS-. .
• , « » . .
• « » . .
• .

De hecho, un practicante experimentado del Equipo Rojo utilizará una gran variedad de métodos diferentes para completar cada uno de estos pasos. Sin embargo, la conclusión clave del ejemplo anterior es que las pequeñas vulnerabilidades en sistemas individuales pueden convertirse en fallas catastróficas cuando se encadenan.

¿Qué se debe tener en cuenta al referirse al "equipo rojo"?

Para aprovechar al máximo su redirección, debe prepararse con cuidado. Los sistemas y procesos utilizados por cada organización son diferentes, y el nivel de calidad de redireccionamiento se logra cuando se busca encontrar vulnerabilidades en sus sistemas. Por esta razón, es importante considerar varios factores:

Sabes lo que estas buscando

En primer lugar, es importante comprender qué sistemas y procesos desea probar. Es posible que sepa que desea probar una aplicación web, pero no es muy consciente de lo que esto significa realmente y qué otros sistemas están integrados con sus aplicaciones web. Por lo tanto, es importante que conozca bien sus propios sistemas y corrija las vulnerabilidades obvias antes de embarcarse en una simulación completa de un ataque real.

Conozca su red

Esto está relacionado con la recomendación anterior, pero más sobre las especificaciones técnicas de su red. Cuanto mejor pueda cuantificar el entorno de prueba, más preciso y específico será su Equipo Rojo.

Conoce tu presupuesto

Las temporizaciones rojas se pueden realizar en diferentes niveles, pero simular la gama completa de ataques en su red, incluida la ingeniería social y la intrusión física, puede ser costoso. Por esta razón, es importante comprender cuánto puede gastar en dicho cheque y, en consecuencia, describir su alcance.

Conozca su nivel de riesgo

Algunas organizaciones pueden tolerar un nivel de riesgo bastante alto como parte de sus procedimientos comerciales estándar. Otros deberán limitar su nivel de riesgo en un grado mucho mayor, especialmente si la empresa opera en una industria altamente regulada. Por lo tanto, es importante concentrarse en los riesgos que realmente representan una amenaza para su negocio al realizar una operación de red.

Red Teaming: herramientas y tácticas

Si se implementa correctamente, el Equipo Rojo lanzará un ataque a gran escala en sus redes utilizando todas las herramientas y técnicas utilizadas por los piratas informáticos. Esto incluye, entre otros:

• Prueba de penetración de aplicaciones : tiene como objetivo identificar fallas en el nivel de la aplicación, como falsificación de solicitudes entre sitios, fallas en la entrada de datos, administración de sesiones débiles y muchas otras.
• Pruebas de penetración de red : tiene como objetivo identificar fallas a nivel de red y sistema, incluidas configuraciones incorrectas, vulnerabilidades inalámbricas, servicios no autorizados y más.
• Prueba de penetración física : prueba de la efectividad y las fortalezas y debilidades de los controles de seguridad física en la vida real.
• Ingeniería social : tiene como objetivo explotar las debilidades de las personas y la naturaleza humana, probando la susceptibilidad de las personas al engaño, la persuasión y la manipulación a través de correos electrónicos de phishing, llamadas telefónicas y mensajes de texto, y contacto físico en el lugar.

Todos los anteriores son componentes de la redirección. Se trata de una simulación de ataque completa y de múltiples capas diseñada para determinar qué tan bien su gente, redes, aplicaciones y controles de seguridad física pueden resistir un ataque de un atacante real.

Desarrollo continuo de métodos Red Teaming

La naturaleza de las complejas simulaciones de ataques del mundo real, en las que los equipos rojos intentan encontrar nuevas vulnerabilidades de seguridad y los equipos azules intentan solucionarlas, lleva al desarrollo constante de métodos para tales comprobaciones. Por esta razón, es difícil compilar una lista actualizada de técnicas modernas de redtime, ya que rápidamente se vuelven obsoletas.



Por lo tanto, la mayoría de los re-temperadores pasarán al menos parte de su tiempo investigando nuevas vulnerabilidades y cómo explotarlas, utilizando los muchos recursos proporcionados por la comunidad de Red Teams. Las más populares de estas comunidades son:

• Pentester Academy — , -, , , , , .
• (Vincent Yiu) — « », .
• Twitter — , . #redteam #redteaming.
• (Daniel Miessler) — , , - « ». : « , » « , , ».
• Daily Swig -— -, PortSwigger Web Security. , — , , , - .
• (Florian Hansemann) — « » , « » .
• MWR labs — , . , Twitter , .
• (Emad Shanab) — « ». Twitter , « », SQL- OAuth.
• Mitre's Adversarial Tactics, Techniques and Common Knowledge (ATT & CK) — . , .
• The Hacker Playbook — , , , , . (Peter Kim) Twitter, .
• SANS Institute — . Twitter-, , SANS -.
• Red Team Journal. , , Red Teaming , , « ».
• , Awesome Red Teaming — GitHub, , Red Teaming. « », , .

« » — ?

Con tantos equipos multicolores, puede resultar difícil determinar qué tipo necesita su organización.



Una de las alternativas al equipo rojo, o mejor dicho otro tipo de equipo que se puede utilizar en conjunto con el equipo rojo, es el equipo azul. Blue Team también evalúa la seguridad de la red e identifica cualquier vulnerabilidad potencial en la infraestructura. Sin embargo, tiene un propósito diferente. Se necesitan equipos de este tipo para encontrar formas de defender, cambiar y reagrupar las defensas para que la respuesta a incidentes sea mucho más eficaz.



Al igual que el equipo rojo, el azul debe tener el mismo conocimiento de las tácticas, técnicas y procedimientos del atacante para poder crear estrategias de respuesta basadas en ellos. Sin embargo, las responsabilidades de Blue Team no se limitan a defenderse de los ataques. También participa en el fortalecimiento de toda la infraestructura de seguridad utilizando, por ejemplo, un sistema de detección de intrusiones (IDS), que proporciona un análisis continuo de actividades inusuales y sospechosas.



Estos son algunos de los pasos que toma Blue Team:

• auditoría de seguridad, en particular auditoría de DNS;
• análisis de registros y memoria;
• análisis de paquetes de datos de red;
• análisis de datos de riesgo;
• análisis de huella digital;
• Ingeniería inversa;
• Pruebas DDoS;
• desarrollo de escenarios para la implementación de riesgos.

Diferencias entre los equipos rojo y azul

Una pregunta común para muchas organizaciones es qué equipo deben usar: rojo o azul. Esta pregunta también suele ir acompañada de una amistosa hostilidad entre las personas que trabajan "en lados opuestos de las barricadas". En realidad, ningún comando tiene sentido sin el otro. Entonces, la respuesta correcta a esta pregunta es que ambos equipos son importantes.



El "equipo rojo" ataca y se utiliza para probar la preparación del "equipo azul" para la defensa. A veces, el equipo rojo puede encontrar vulnerabilidades que el equipo azul pasó por alto por completo, en cuyo caso el equipo rojo debe mostrar cómo se pueden solucionar estas vulnerabilidades.



Es vital que ambos equipos trabajen juntos contra los ciberdelincuentes para fortalecer la seguridad de la información.



Por esta razón, no tiene sentido elegir solo un lado o invertir en un solo tipo de equipo. Es importante recordar que el objetivo de ambas partes es prevenir el ciberdelito.

En otras palabras, las empresas deben establecer una cooperación mutua entre ambos equipos para proporcionar una auditoría integral, con registros de todos los ataques y verificaciones realizadas, registros de las características descubiertas.



El equipo rojo proporciona información sobre las operaciones que realizaron durante la simulación de ataque y el equipo azul sobre las acciones que realizaron para llenar los vacíos y corregir las vulnerabilidades encontradas.



No se puede subestimar la importancia de ambos equipos. Sin sus auditorías de seguridad continuas, pruebas de penetración y mejoras de infraestructura, las empresas no serían conscientes de su propio estado de seguridad. Al menos hasta que se produzca una fuga de datos y quede dolorosamente claro que las medidas de seguridad no fueron suficientes.

¿Qué es el Purple Team?

El equipo púrpura es el resultado de los intentos de combinar los equipos rojo y azul. El Purple Team es un concepto más que un tipo de equipo separado. Se ve mejor como una combinación de los equipos rojo y azul. Ella involucra a ambos equipos, ayudándolos a trabajar juntos.



Team Purple puede ayudar a los equipos de seguridad a mejorar la detección de vulnerabilidades, análisis de amenazas y monitoreo de red al modelar con precisión escenarios de amenazas comunes y ayudar a crear nuevos métodos para detectar y prevenir amenazas.



Algunas organizaciones utilizan el "equipo púrpura" para actividades específicas específicas que definen claramente los objetivos de seguridad, los plazos y los resultados clave. Esto incluye reconocer las deficiencias en ataque y defensa, e identificar futuros requisitos de capacitación y tecnología.



Un enfoque alternativo que ahora está ganando terreno es ver al Purple Team como un modelo conceptual que funciona en toda la organización para fomentar una cultura de ciberseguridad y mejora continua.

Conclusión

Red Teaming, o Comprehensive Attack Simulation, es un método poderoso para probar las vulnerabilidades de seguridad de una organización, pero debe usarse con precaución. En particular, para usarlo, debe tener medios suficientemente desarrollados de protección de seguridad de la información , de lo contrario, es posible que no cumpla con las expectativas puestas en él.

Red-temping puede revelar vulnerabilidades en su sistema que nunca imaginó y ayudar a solucionarlas. Al adoptar un enfoque de confrontación entre los equipos azul y rojo, puede simular las acciones de un pirata informático real si quisiera robar sus datos o dañar sus activos.