Red Team – ¿Automatización o simulación?

equipo-rojo-pentest

¿Cuál es la diferencia entre una prueba de penetración y un ejercicio de equipo rojo? El entendimiento común es que un ejercicio de equipo rojo es una prueba de penetración con esteroides, pero ¿qué significa eso?

Si bien ambos programas son realizados por piratas informáticos éticos, ya sean residentes internos o contratados externamente, la diferencia es más profunda.

En pocas palabras, se realiza una prueba de penetración para descubrir vulnerabilidades explotables y configuraciones incorrectas que potencialmente servirían a piratas informáticos poco éticos. Principalmente prueban la efectividad de los controles de seguridad y la conciencia de seguridad de los empleados.

El propósito de un ejercicio de equipo rojo, además de descubrir vulnerabilidades explotables, es ejercitar la efectividad operativa del equipo de seguridad, el equipo azul. Un ejercicio del equipo rojo desafía las capacidades del equipo azul y la tecnología de apoyo para detectar, responder y recuperarse de una infracción. El objetivo es mejorar su gestión de incidentes y procedimientos de respuesta.

El desafío con las pruebas de penetración y los ejercicios del equipo rojo es que son relativamente intensivos en recursos. Una prueba de penetración puede durar de 1 a 3 semanas y un ejercicio de equipo rojo de 4 a 8 semanas y, por lo general, se realiza anualmente, si es que se realiza.

El entorno cibernético de hoy es uno de cambios rápidos y constantes. Está impulsado por la evolución de las amenazas y las tácticas y técnicas antagónicas, y por la tasa acelerada de cambio en TI y las adaptaciones a la pila de seguridad. Esto ha creado la necesidad de pruebas de seguridad frecuentes y la demanda de validación de seguridad continua y automatizada o simulación de ataques y brechas (BAS).

Estas soluciones descubren y ayudan a remediar las vulnerabilidades explotables y las configuraciones incorrectas, y se pueden realizar de forma segura en el entorno de producción. Permiten que los equipos de seguridad midan y mejoren la eficacia operativa de sus controles de seguridad con más frecuencia que las pruebas de penetración. Pero, ¿pueden usarse en un ejercicio del equipo rojo?

Hay dos enfoques que deben ser considerados. La primera, la automatización del equipo rojo, tiene la ventaja obvia de aumentar la eficiencia operativa de un equipo rojo. Les permite automatizar acciones repetitivas y de investigación, identificar debilidades y vulnerabilidades explotables, y les proporciona una buena imagen de a lo que se enfrentan, rápidamente.

En principio, esto no está muy lejos de lo que BAS proporciona hoy en día al admitir un amplio conjunto de simulaciones de ataque y proporcionar una rica biblioteca de ejecuciones atómicas codificadas en el marco MITRE ATT & CK. Incluso brindan a los equipos rojos la capacidad de crear sus propias ejecuciones. La automatización del equipo rojo puede respaldar las actividades del equipo rojo, pero el valor es limitado y la mayoría de los equipos rojos tienen su propio conjunto de herramientas propias desarrolladas para el mismo propósito.

Un nuevo enfoque, la simulación del equipo rojo, lleva estas capacidades un paso más allá. Permite que un equipo rojo cree escenarios de ataque complejos que se ejecutan en toda la cadena de eliminación, básicamente creando flujos APT personalizados. En lugar de ejecutar un banco de comandos para encontrar una debilidad, realiza un flujo de ejecuciones secuenciado de múltiples rutas.

La principal ventaja de este enfoque es que incorpora lógica en el flujo. A medida que avanza la simulación, aprovecha los hallazgos de ejecuciones anteriores además de fuentes de datos y herramientas externas. Incluso descargará herramientas en una máquina de destino, según las dependencias de una ejecución.

Por ejemplo, un flujo de muestra podría incluir Mimikatz proporcionando entrada de credenciales a una técnica basada en PSexec y soltar PSexec en el disco en la máquina de destino si falta. Una simulación de equipo rojo puede incluir todas las etapas de un ataque desde el acceso inicial hasta el impacto e incluso el reconocimiento realizado en la etapa previa al ataque.

Los beneficios de la simulación del equipo rojo se extienden más allá de la eficiencia operativa tanto para los equipos rojos internos como para las empresas que brindan servicios de equipo rojo. Los escenarios se pueden reproducir para validar las lecciones aprendidas de ejercicios anteriores. Los equipos rojos que operan en empresas globales pueden cubrir más geografías.

Incluso con la simulación del equipo rojo, el factor humano sigue siendo clave para evaluar el resultado de un ejercicio y brindar orientación para mejorar la gestión de incidentes y los procedimientos de respuesta, pero hace que los ejercicios del equipo rojo sean accesibles y factibles para un mercado más grande, donde el costo es un factor limitante.

Para obtener más información, visite www.cymulate.com y regístrese para una prueba gratuita.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática