Servicios de Red Team

Servicios de Red Team

Nuestros servicios de Red Team simulan un agente externo esponsorizado que desafía a una organización para mejorar su eficacia

Contacto

La misión del Red Team en ciberseguridad es simular un agente externo esponsorizado que realice un acceso no autorizado a los sistemas corporativos contemplando, además de la intrusión clásica, la persistencia a lo largo del tiempo, el escalado de privilegios en sistemas corporativos e incluso la alteración y robo de información estratégica para el negocio.

Para entender los beneficios que proporcionan los servicios de Red Team se deben contrastar sus diferencias con los tests de intrusión convencionales.

Un test de intrusión pretende obtener una foto del estado de la seguridad de un conjunto acotado de activos en un momento y condiciones concretas… Si bien el test de intrusión es una gran herramienta para descubrir vulnerabilidades ad-hoc, es incapaz de arrojar información contextualizada sobre la seguridad global de la infraestructura. La limitación en alcance y tiempo distorsiona los resultados respecto al estado real de la seguridad.

El Red Team informa de forma periódica de los descubrimientos, acciones y movimientos futuros a un conjunto reducido de interlocutores del cliente, de tal forma que siempre tendrá conocimiento de los avances de la campaña e información de primera mano sobre el funcionamiento del equipo defensor del cliente (Blue team).

Servicios de red team

Beneficios de los servicios de Red Team

Los servicios de Red Team ayudarán a detectar y contener una intrusión en las etapas tempranas. Todo ello evitará que se produzca el robo de información estratégica y la disrupción en la operativa normal del negocio. Este objetivo se logrará de forma paulatina gracias a:

  • Detección de debilidades transversales a la compañía.
  • Mejora de los procedimientos de respuesta, afianzando los procedimientos de respuesta.
  • Mejora de los sistemas de monitorización, identificando y solventando debilidades en el proceso de detección y análisis de eventos.
  • Entrenamiento del personal de seguridad, para responder frente a incidentes reales.

Todos estos beneficios directos del Red Team se traducen en una rápida evolución de las capacidades del equipo defensivo, permitiendo combatir situaciones reales a las que potencialmente se tendrá que enfrentar en el futuro de forma más eficaz.

Desde acceso a través del perímetro hasta Simulación de Ransomware

Escenarios de Red Team

Definiendo Escenarios de Red Team para simular Actores Maliciosos, tales como Atacantes Remotos, Empleados Maliciosos o Simulación de Ransomware entre otros.

Las compañías están continuamente expuestas a Actores Maliciosos o Adversarios que pueden generar riesgos de múltiples formas. Bajo este contexto, nuestro Red Team simula actores maliciosos o adversarios en busca de un objetivo en particular. A esto se le conoce como Escenario de Red Team.

La siguiente taba ilustra algunas alternativas que podrían ser utilizadas para definir algunos ejemplos representativos de Escenarios para un ejercicio de Red Team:

Actor Malicioso

  • Atacante remoto
  • Tercero o colaborador comprometido
  • Empleado descontento o comprometido
  • Competencia
  • Activista / Terrorista
  • Otros Actores Maliciosos de interés que pudieran ser acordados junto con el Cliente

Vector de Intrusión

  • Explotación de una vulnerabilidad
  • Ingeniería Social (incluyendo phishing)
  • Adivinación de contraseñas
  • WIFI o Ethernet
  • Acceso Remoto o VPN
  • Información filtrada (que pudiera incluir cuentas de usuario)

Objetivos

  • Elevación de privilegios
  • Compromiso de objetivos (ERP, Tesorería, OT, SCADA, etc.)
  • Despliegue de Ransomware
  • Obtención de información sensible
  • Filtrar/manipular/sabotear productos (software, patentes, etcétera)
  • Forzar pagos no autorizados
  • Cualquier otro objetivo acordado junto con el Cliente
Escenarios de Red Team

Ejemplos de escenarios Red Team

De hecho, al igual que sucede con un Actor Malicioso real, los servicios de Red Teaming pueden asumir múltiples escenarios para maximizar el éxito del ejercicio.

De este modo, seleccionando los Actores Maliciosos y Objetivos más relevantes, es posible definir un Escenario de Red Team particular representativo de un ataque real.. Los siguientes escenarios son sólo ejemplos representativos de ataques reales:

  • “Un competidor usando una cuenta de usuario expuesta con el objetivo de acceder a información sensible (patentes)”
  • “Un activista tratando de explotar una vulnerabilidad para acceder a la infraestructura SCADA para realizar actividades de sabotaje
  • “Un empleado descontento colabora para realizar un pago no autorizado a un tercero
  • “Una empresa colaboradora, con acceso a determinados servicios corporativos, está comprometida y facilita la propagación de ransomware a su cliente”

Simulación de ransomware

La lista anterior no tiene fin y cualquier escenario realista podría ser reproducido bajo un Escenario de Red Team

Si bien es cierto que Red Team es mucho más amplio que la realización de un único Escenario de Red Team, la Simulación de Ransomware es un escenario que ha ganado un importante atractivo en los últimos tiempos. A medida en que los ataques de ransomware son cada vez más frecuentes y sofisticados, las organizaciones incrementan esfuerzos para hacer frente a un potencial ataque de estas características. De hecho una organización debería poder contestar sin lugar a dudas a las siguientes preguntas:

  • ¿Está mi organización preparada para resistir un ataque de ransomware?
  • ¿Mis capas defensivas estarán preparadas para identificar, contener y recuperar la operativa tras un ataque dirigido de ransomware?
  • ¿Ha tenido la oportunidad mi organización de experimentar o aprender de ataques de ransomware?
prueba de simulación de ransomware
Red team ciberseguridad ejercicios

Resiliencia ante un ataque ransomware

En situación de que alguna de las preguntas anteriores sea negativa, se recomienda la realización de un Escenario de Red Team basado en la Simulación de Ransomware. Para este caso particular sugerimos la realización de las siguientes dos fases diferenciadas:

  1. Escenario de Red Team: Realización de actividades incluidas en un ejercicio de Simulación de Ransomware end-to-end.
  2. Gap-Analysis: Un advisor analiza la respuesta proporcionada por las capas defensivas de la organización, en términos de detección, contención y recuperación de activos durante el Escenario de Red Team, con el objetivo de identificar posibilidades de mejora.
Metodología de Red teaming
Escenario de Red Team focalizado en Simulación de Ransomware + Gap Analysis

Con independencia de los diferentes escenarios aquí expuestos, no duden en pedirnos consejo para definir aquel escenario que mejor se adapte a las necesidades de su organización.

Preguntas frecuentes sobre red team

¿Qué es un ejercicio de Red Team?

Un ejercicio de Red Team es el diseño y ejecución de una operación ofensiva dirigida a simular un determinado actor malicioso para testear las capas defensivas de una organización, permitiendo de este modo la identificación no solo de riesgos altos/críticos, si no que también la comprobación de las capacidades efectivas de detección y respuesta con las que cuenta la organización.

¿Cuál es la diferencia entre pentesting y un Red Teaming?

Mientras que un test de intrusión está generalmente limitado por un alcance en particular y focalizado principalmente en la detección de vulnerabilidades, un servicio de Red Team no debe disponer de restricciones estrictas en cuanto a alcance, al mismo tiempo que se centra principalmente en resiliencia en lugar de vulnerabilidades.

Bajo este contexto, el resultado de un ejercicio de Red Team es una representación de qué bien preparada está una organización para enfrentarse a un determinado Actor Malicioso.

¿Cuánto tiempo dura un ejercicio de Red Teaming?

Depende del ejercicio diseñado. Mientras que típicamente un ejercicio que comience desde Internet, sin conocimiento previo de la organización objetivo, puede requerir un mínimo de 3 meses para obtener resultados representativos de la situación real de las capas defensivas, otros ejercicios que puedan comenzar con cierto nivel de acceso a recursos internos podría requerir algo menos.

Cabe destacar que las organizaciones más maduras tienden a contratar operaciones de Red Team continuas, permitiendo de este modo la realización de múltiples ejercicios de Red Team al año.

¿Podría un servicio de Red Team causar algún daño o interrupción del servicio?

Como cualquier otro servicio ofensivo, un ejercicio de Red Team podría desencadenar situaciones indeseables de entre las cuales se encuentra el daño o interrupción de servicios. Esta es la razón por la que la Gestión de Riesgos durante un ejercicio de Red Team es un componente fundamental que incluye no sólo la utilización de equipos extremadamente experimentados y precisos si no que también el uso de pólizas de seguro capaces de cubrir este tipo de situaciones.

¿Cómo ayuda a una organización un ejercicio de Red Team vs Blue Team?

Durante un ejercicio de Red Team se comprueba tanto la tecnología como procedimientos y personal de Blue Team, facilitando que las capas defensivas funcionen según lo esperado.
Una vez completado un ejercicio de Red Team se pueden establecer sesiones de trabajo con el Blue Team para ayudar a las organizaciones en la identificación de áreas de mejora, al mismo tiempo que se compartan experiencias para estar preparados en el futuro.