Red Team - Pruebas de seguridad adversarias
Lectura de 2 min aprox.
Un equipo rojo (red team) es un equipo especializado que examina la postura de seguridad de una organización desde la perspectiva de un atacante. Combina los métodos que usan los atacantes reales - ingeniería social, intrusión física y exploits técnicos - para probar de forma realista hasta qué punto resisten realmente las defensas de la organización. Originado en los ejercicios militares, este concepto se ha extendido ampliamente en el campo de la ciberseguridad desde la década de 2000, y los ejercicios periódicos se realizan principalmente en instituciones financieras y operadores de infraestructuras críticas.
La diferencia con las pruebas de penetración
Los ejercicios de equipo rojo a menudo se confunden con las pruebas de penetración, pero difieren enormemente en objetivo, alcance y duración.
| Aspecto | Pruebas de penetración | Ejercicio de equipo rojo |
|---|---|---|
| Objetivo | Encontrar vulnerabilidades técnicas | Evaluar la capacidad defensiva de toda la organización |
| Alcance | Sistemas o redes específicos | Toda la organización (personas, procesos, tecnología) |
| Duración | 1 - 4 semanas | De varias semanas a varios meses |
| Métodos | Principalmente pruebas técnicas | También incluye ingeniería social e intrusión física |
| Conocimiento de los defensores | A menudo se les notifica con antelación | Solo unos pocos directivos están al tanto |
| Entregables | Una lista de vulnerabilidades y propuestas de corrección | Escenarios de ataque y propuestas de mejora organizativa |
La relación entre los equipos rojo, azul y morado
Imita a los atacantes y aprovecha las brechas de las defensas. Lograr el objetivo sin ser detectado es el criterio de éxito.
El SOC y los equipos de respuesta a incidentes pertenecen a esta categoría. Se encargan de detectar, contener y recuperarse de los ataques.
Un enfoque colaborativo en el que los equipos rojo y azul comparten sus conocimientos para mejorar continuamente las capacidades defensivas.
Aprovechar el marco MITRE ATT&CK
En los ejercicios modernos de equipo rojo, el marco MITRE ATT&CK funciona como un lenguaje común. ATT&CK sistematiza las tácticas (Tactics) y técnicas (Techniques) que usan los atacantes reales, y los equipos rojos diseñan escenarios de ataque a partir de la matriz ATT&CK al formular sus planes de ejercicio. Al usar también los ID de ATT&CK en los informes posteriores al ejercicio, el equipo azul puede evaluar cuantitativamente qué técnicas específicas no tiene la capacidad de detectar. Al combinarlo con la inteligencia de amenazas, es posible realizar ejercicios centrados en las técnicas que realmente usan los grupos de ataque que tienen como objetivo a tu organización.
El flujo típico de un ejercicio de equipo rojo
Antes de comenzar el ejercicio, es esencial definir claramente las «Reglas de Enfrentamiento (Rules of Engagement)». Los sistemas fuera del alcance, el rango de métodos de ataque permitidos, los contactos de emergencia, etc., se documentan y son aprobados por la dirección. Omitir este paso conlleva el riesgo de que el ejercicio se confunda con un incidente real o de que cause interrupciones no deseadas en los sistemas de negocio.
Relación coste-beneficio y frecuencia
El coste de un ejercicio de equipo rojo a gran escala, según su tamaño y duración, oscila entre varios millones y decenas de millones de yenes. Dado que cuesta varias veces más que una prueba de penetración, no todas las organizaciones pueden realizar uno cada año. Como pauta general, se recomienda que las instituciones financieras y los operadores de infraestructuras críticas realicen uno una vez al año, y las demás empresas una vez cada 2 - 3 años. Entre ejercicios, es realista complementar con pruebas de penetración y análisis de vulnerabilidades.libros prácticos sobre ejercicios de equipo rojo (Amazon) también son una referencia útil.
Conceptos erróneos comunes
La idea de que «si un ejercicio de equipo rojo no logra penetrar, estás a salvo» es peligrosa. Como el ejercicio se realiza dentro de un tiempo y un presupuesto limitados, el hecho de no haber podido penetrar significa únicamente que «no pudimos penetrar con esos métodos». Los atacantes reales pueden probar todos los medios posibles sin límite de tiempo.
Para maximizar los resultados de un ejercicio de equipo rojo, es importante posicionarlo como parte de un programa de seguridad integral combinado con contramedidas contra amenazas internas y una lista de verificación de seguridad. Como medio para verificar la eficacia de una política de contraseñas corporativa, un ejercicio de equipo rojo también es sumamente eficaz.
¿Te resultó útil este artículo?