Red Team
¿Qué es el Red Team?
El RedTeam es el equipo de profesionales de ciberseguridad que trabajan de manera ofensiva realizando ataques y utilizando herramientas como un Hacker con el con la finalidad de emular situaciones críticas de ciberseguridad, explotar vulnerabilidades y comprometer los equipos, datos y redes para proporcionar al equipo Blue Team situaciones reales donde poder defenderse y solucionar posibles ataques.
El equipo de Red Team puede ser interno o externo a la empresa y su finalidad siempre estará asociada a atacar y exponer la ciberseguridad por lo que cuando realicen las acciones nunca avisarán al equipo Blue Team ni a la empresa, ya que el ataque tiene que ser sorpresa buscando comprometer los recursos, datos o sistemas más valiosos ya que realizar ataques en sistemas vulnerables pero que no suponen un riesgo real no ayudará a mejorar la ciberseguridad de la empresa.
Por lo tanto, un escenario Red Team sirve para evaluar las capacidades de respuesta de la organización o Blue Team ante un ataque y poder analizar cómo valoran los riesgos, responden ante ellos y los solucionan. Con este entorno de ataque la empresa podrá obtener datos de valor, pero lo más importante, consigue que el equipo tenga recursos y experiencias ante un ataque real.
¿En qué situaciones se debe usar un Red Team?
Existen dos momentos en los que es especialmente interesante contar con un equipo Red Team y realizar las pruebas necesarias. Estos escenarios son:
- Nuevas amenazas o malwares: Cuando sale a la luz nuevas amenazas, malwares, o vulnerabilidades relacionadas que podrían afectar a la ciberseguridad de la empresa o que han afectado a empresas similares del sector, es interesante realizar simulaciones de este tipo de ataques para entender la envergadura del problema y si la empresa está capacitada para afrontar la situación y el ataque real.
- Nuevas políticas y/o software de ciberseguridad: Cuando la empresa actualiza sus recursos destinados a la ciberseguridad, crea nuevas políticas de protección o cambia los modos de actuación y las pautas a seguir ante un ataque, el equipo Red Team debería trabajar para valorar si las nuevas medidas implementadas son correctas, adecuadas y garantizan la ciberseguridad.
Metodología y pasos a seguir por el equipo Red Team
No existe una metodología ni unos pasos concretos. Cada equipo puede trabajar de una manera diferente en función de los objetivos definidos, recursos, herramientas, tiempos etc., pero si existen una serie de acciones que se recomienda realizar para que el trabajo del Red Team sea lo más efectivo posible.
- Definición del objetivo: Se debe fijar el objetivo del ataque priorizando aquellos recursos o elementos que puedan suponer una alerta grave para la empresa.
- Recopilación de información: El equipo obtiene datos sobre aplicaciones, empleados, redes e instalaciones. El objetivo es conocer cómo se utilizan los dispositivos físicos, equipos, datos, etc. En este punto se pueden descubrir tareas programadas, mala segmentación de red, trabajadores sin concienciaón en materia de ciberseguridad. Cuantos más datos se obtengan más sencillo será encontrar la puerta de acceso y poder realizar el ataque.
- Explotación de vulnerabilidades: El equipo utiliza distintos métodos de ataque, como el robo de contraseñas, el uso de credenciales débiles o el phishing o ingeniería social, para penetrar en el sistema y ejecutar la simulación del ataque.
- Escalada: El red team utiliza las brechas iniciales para descubrir y explotar otras vulnerabilidades. Examina la seguridad de la información, la seguridad en la nube, entre otros aspectos y cómo puede desde el punto donde se encuentra, poder moverse lateral o escalando privilegios para comprometer más recursos.
- Informe: Tras completar el ataque, el red team analiza y reporta las vulnerabilidades detectadas para que puedan ser corregidas.