¿Qué es una evaluación del Red Team y por qué es tan importante?

Información sobre proyectos, documentos confidenciales, facturas, código fuente de las soluciones desarrolladas por la compañía… Esta es la información que el grupo malicioso HellCat sostiene haber sustraído a Ascom, una multinacional suiza especializada en implementar sistemas de comunicaciones en empresas.

Los actores hostiles emplearon credenciales comprometidas de profesionales de Ascom para acceder a Jira, un software de gestión de tickets usado por miles de empresas en todo el mundo.

Este incidente evidencia, una vez más, la importancia de que las compañías con un elevado nivel de madurez tecnológica lleven a cabo una evaluación de Red Team para descubrir las debilidades existentes en su estrategia de seguridad y subsanarlas antes de que los ciberdelincuentes les saquen partido.

¿Qué es una evaluación de Red Team?

Una evaluación de Red Team es un servicio de ciberseguridad ofensiva que va mucho más allá de una mera auditoría de seguridad. Puesto que consiste en la simulación de ataques reales por parte de profesionales con un profundo conocimiento de las técnicas, tácticas y procedimientos de los actores maliciosos.

De tal forma que mediante la simulación de ataques hiperrealistas se puede poner a prueba el comportamiento de los mecanismos de prevención, detección y respuesta a incidentes de una compañía de cara a optimizarlos y aumentar su resiliencia.

A continuación, abordamos los aspectos clave los servicios de Red Team.

¿Cuáles son las características de una evaluación de Red Team?

La mejor forma de explicar en qué consiste una evaluación de Red Team es desgranando sus características principales. Puesto que a través de ellas podemos ver las notables diferencias entre una evaluación de Red Team y otros servicios de ciberseguridad como el pentesting o la auditoría de seguridad.

• Simulación. La primera característica de una evaluación de Red Team es que se trata de un ciberataque simulado. Por ejemplo, en muchos ejercicios de Red Team se llevan a cabo simulaciones de ransomware, de cara a estudiar cómo reaccionaría una organización ante un ataque real en el que los actores maliciosos buscasen infectar con ransomware los activos empresariales para robar datos, amenazar la continuidad de negocio o extorsionar a la compañía.
• Ocultación. A diferencia de otros servicios de ciberseguridad, una evaluación de Red Team se lleva a cabo sin que las capas defensivas de la empresa estén al corriente. Además, para cumplir todos sus objetivos, los profesionales del Red Team necesitan pasar completamente desapercibidos, por lo que llevan a cabo tácticas de ofuscación para incrementar la persistencia.
• Objetivos. Las auditorías de seguridad solo buscan detectar vulnerabilidades en la infraestructura de una organización, mientras que los servicios de pentesting se centran en conseguir un objetivo concreto, para lo que deben detectar y explotar vulnerabilidades. Mientras que en una evaluación de Red Team también se definen objetivos específicos, pero el nivel de ambición de los mismos es superior, ya que se tiene la misión de comprometer la seguridad de la organización en la que se lleva a cabo el ejercicio. Así, se busca comprometer a los tres pilares de una organización:
  • a. La tecnología.
  • b. Las personas.
  • c. Los procedimientos.
• Alcance. El alcance de una evaluación de Red Team es la totalidad de la empresa que se somete a ella. Esta cuestión aleja a la evaluación de Red Team de los test de intrusión, que presentan un alcance limitado. Por ejemplo, un activo de negocio concreto. Además, debemos tener en cuenta que a la hora de diseñar un ejercicio de Red Team se pueden asumir múltiples escenarios de ataque, de tal forma que se maximice el éxito de la evaluación de Red Team.
• Duración. Habida cuenta de lo ambiciosos que son los objetivos de una evaluación de Red Team y de la amplitud de su alcance, resulta lógico que su duración sea mucho más larga que la de otros servicios de ciberseguridad. Así, es común que una evaluación de Red Team se extienda más allá de los tres meses.

¿Qué se debe tener en cuenta antes de realizar una evaluación de Red Team?

Las características que venimos de señalar nos muestran que una evaluación de Red Team es un servicio de ciberseguridad avanzado que no resulta igual de valioso para cualquier empresa. ¿Por qué?

Las organizaciones con un nivel de madurez tecnológica y ciberseguridad bajo no necesitan someterse a una evaluación de Red Team. En cambio, para las compañías con una infraestructura tecnológica potente y una ciberexposición elevada, se tratan de servicios de gran valor añadido.

¿Cómo pueden dilucidar las empresas si necesitan una evaluación de Red Team? Deben:

1. Listar todos los activos que forman parte de su infraestructura tecnológica y constatar su relevancia para el funcionamiento del negocio, incluyendo el software y hardware de terceros.
2. Analizar detenidamente cuál sería el impacto de un incidente grave sobre su operatividad, salud financiera y reputación.
3. Contemplar las obligaciones legales en materia de ciberseguridad, así como las consecuencias jurídicas de incidentes graves, como la infracción de la normativa de protección de datos por una brecha de seguridad.
4. Conocer las principales amenazas que se ciernen sobre su sector económico y las compañías de su tamaño.

Esta información no solo es útil para deliberar sobre la pertinencia de llevar a cabo una evaluación de Red Team, sino que es crítica a la hora de pactar los ejercicios que se van a realizar.

¿Cómo funciona una evaluación de Red Team?

Para entender el funcionamiento de una evaluación de Red Team debemos desgranar las fases que la conforman y que guardan semejanzas con la Cyber Kill Chain, es decir, la secuenciación de un ciberataque real. Al fin y al cabo, los profesionales a cargo de una evaluación de Red Team deben simular el comportamiento de los actores maliciosos reales.

1. Recopilación de información de inteligencia sobre la organización y las amenazas a las que se enfrenta.
2. Diseño de los escenarios de Red Team. A partir de la información obtenida en la fase anterior y del conocimiento acumulado por los profesionales a cargo de la evaluación de Red Team se diseñan escenarios de ataque específicos para la organización.
3. Detección de vulnerabilidades. Se realiza una búsqueda exhaustiva de vulnerabilidades explotables para comprometer la seguridad de la compañía.
4. Explotación de vulnerabilidades. Se explotan de manera activa las vulnerabilidades empleando las técnicas, tácticas y procedimientos utilizados por los actores hostiles.
5. Movimiento lateral y escalado de privilegios. Los profesionales del Red Team ponen en marcha tácticas para moverse por los sistemas corporativos y escalar privilegios para poder alcanzar sus objetivos.
6. Persistencia y control remoto. Además, como ya apuntamos antes, también buscan persistir el máximo tiempo posible en los sistemas y redes de la empresa sin ser detectados. Para ello, emplean técnicas avanzas que permitan persistencia y control remoto.
7. Consecución de los objetivos. En la última fase de la simulación del ataque se llevan a cabo las acciones que evidencian la capacidad de comprometer activos o funciones críticas de la empresa.
8. Análisis. La información recopilada a lo largo de los ejercicios se emplea para elaborar un informe con recomendaciones que permitan a la compañía mejorar su postura de seguridad.

¿Cuáles son los beneficios para las empresas de someterse a una evaluación de Red Team?

Precisamente, los datos obtenidos durante una evaluación de Red Team junto al expertise de los profesionales que la realizan pueden reportar notables beneficios para las empresas:

1. Detectar vulnerabilidades transversales a la organización y medir las consecuencias de que sean explotadas con éxito.
2. Formar al Blue Team enfrentándolo a situaciones de ataque 100% realistas.
3. Optimizar la respuesta a incidentes de seguridad para reducir los tiempos de reacción y contener con eficacia a los actores maliciosos para reducir el impacto de los incidentes.
4. Disponer de un listado de recomendaciones para mejorar la postura de seguridad de una empresa e implementar mecanismos de prevención más eficaces.
5. Mejorar la resiliencia ante las amenazas persistentes avanzadas y limitar el impacto de los ataques más sofisticados.
6. Actualizar continuamente la estructura de seguridad teniendo en cuenta las técnicas, tácticas y procedimientos maliciosos más innovadores.
7. Cumplir con una normativa cada vez más exigente en materia de ciberseguridad. Llevar a cabo de manera periódica una evaluación de Red Team no solo contribuye a aumentar la resiliencia de una organización, sino que en algunos casos es obligatorio. Por ejemplo, las entidades financieras sometidas al reglamento DORA deben llevar a cabo las pruebas TLPT que incluyen la realización de una evaluación de Red Team.

Conclusiones: la importancia de someterse a evaluaciones periódicas

En definitiva, llevar a cabo una evaluación de Red Team de manera periódica es esencial para muchas compañías con un nivel de ciberexposición elevado y cuya continuidad de negocio podría verse amenazada por un incidente de seguridad grave.

Mediante este tipo de servicio, una empresa puede:

• Comprobar la eficiencia de sus mecanismos y equipos de prevención, detección y respuesta a incidentes.
• Medir el impacto de los ciberataques potenciales en activos y funciones críticas a nivel de negocio.
• Implementar las medidas recomendadas por los profesionales del Red Team para incrementar su resiliencia.