Inicio Servicios de Ciberseguridad Documentación técnica Contacto

Desarrollo y organización

El desarrollo de un Red Team, será un proceso que durará entre 6 y 12 semanas, y que se debe realizar de forma periódica, realizando ejercicios de Red Team de forma cíclica a lo largo del año, garantizando así una madurez en la seguridad de la organización. En este sentido, lo aconsejable realizar dos ejercicios de Red Team al año, en función del tamaño de la organización.

Un ejercicio de Red Team siempre simulará un ataque real, es por eso que el enfoque en la búsqueda de vectores comenzará con la recolección de información a nivel perimetral, intentando obtener un vector de acceso por esta vía. Identificando y atacando cualquier activo perteneciente a la organización a través de internet. En caso de no obtener acceso a través de parte perimetral, se estudiarán posibles escenarios que se pueden llevar a cabo para la obtención de dicho vector de acceso, en base a la información obtenida previamente en la fase de recolección de información. En este punto se pueden contemplar ataques vía Wi-Fi, intrusión física, Phishing, etc. (Ver Escenarios y vectores de acceso).

No obstante, dependiendo de las características del ejercicio, la madurez del mismo y los ejercicios ejecutados previamente, la búsqueda de vectores podría comenzar por un escenario distinto al perimetral.

Un ejercicio de Red Team consta de 6 fases que contemplan desde la planificación inicial hasta la entrega de resultados finales.

Fases de un ejercicio de Red Team

  • Planificación inicial: se pondrá en contexto junto con el White Team los objetivos a alcanzar y se contemplarán en esta planificación inicial los posibles escenarios a llevar a cabo, en caso de que el equipo de Red Team no identifique un vector de acceso inicial. Además, se establecerán una series de reuniones periódicas que permitan al White Team conocer el avance del ejercicio y los objetivos.

  • Reconocimiento externo: se identificará toda la información posible que pertenezca a la organización vía internet. Esto es, identificación de sedes, activos y filiales pertenecientes a la organización, identificación de puertos y servicios, enumeración pasiva y activa de dominios, búsqueda de Leaks en bases de datos públicas, etc.

  • Búsqueda de vectores de acceso: se llevará a cabo una búsqueda de vulnerabilidades en los activos pertenecientes a la organización que permitan un vector de acceso a la red interna o DMZ. Si la búsqueda de vectores no se alcanza con éxito en la parte perimetral se propondrán otros escenarios.

  • Movimiento lateral y persistencia: uno de los objetivos del ejercicio es que el ataque no sea detectado es por eso, que una vez se tenga un acceso a la red interna, se identifiquen equipos con salida a internet, para el despliegue de multiples persistencias, de tal forma que si la intrusión o algunas de las persistencias fueran detectadas y eliminada por el equipo de respuesta ante incidentes, el Red Team pudiera seguir manteniendo el acceso a la red mediante el resto de persistencias.

  • Control de la organización: se intentará tener el mayor control de la infraestructura. En el caso de Directorio Activo el control de los principales dominios de la organización mediante la elevación de privilegios.

  • Objetivos del ejercicio: se intentará tomar el control de los objetivos establecidos del ejercicios. Estos variarán dependiendo de la organización. Acceso a Bases de Datos de cliente, a sistemas críticos SCADA, SWIFT, etc.

  • Fin del ejercicio y entrega de resultados: Tras la finalización del ejercicio se elaborarán tres informes con el detalle del proceso de intrusión para ayudar a los equipos pertinentes a conocer y mejorar las debilidades frente a un ataque dirigido.

Valor añadido

Si el ejercicio de Red Team se ejecutó con éxito, alcanzando los objetivos establecidos y sin ser detectados por el Blue Team, se pueden llevar a cabo una serie de acciones para identificar el nivel de seguridad de la organización.

Para ello se puede llevar a cabo pruebas de exfiltración de información y pruebas de ruido.

Exfiltración de información

Se intentará exfiltrar información de contenga información sensible hacia servidores externos controlados por el Red Team, mediante diferentes métodos: canales cifrados y no cifrados, exfiltración a través de servicios Cloud conocidos como Google Drive, One Drive, etc., e intento de envío de la información a través de dominios e IPs no conocidas por los sistemas de la organización.

Pruebas de ruido

El objetivo es llevar a cabo una serie de pruebas de menor a mayor grado de agresividad con el objetivo de que sean detectadas. Estas pruebas consistirán en el despliegue controlado de malware, creación de cuentas en el Directorio Activo, cambio de permisos en determinadas cuentas, acceso a Controladores de Domino, etc.

Con estas pruebas, se pretende medir el nivel de madurez del equipo de respuesta ante incidentes. Evaluando el tiempo en ser detectada la acción con el fin de fortalecer las debilidades que se identifiquen.

PreviousObjetivos y AlcanceNextEscenarios y vectores de acceso

Last updated