Qué es un Red Team

Descripción

Un Red Team es un equipo de personas técnicas altamente cualificadas en el ámbito de la seguridad informática, encargados de llevar a cabo la simulación de ataques reales contra una organización con el fin de evaluar el nivel de seguridad de dicha organización frente a un ataque real dirigido.

En la practica, las empresas contratan ejercicios de Red Team para poder poner a prueba la seguridad de la organización. Este tipo de ejercicios supone una de las evaluaciones de seguridad más avanzadas que una organización puede realizar, simulando con precisión los últimos tipos y métodos de ataques dirigidos y utilizados por hackers, evaluando los diferentes niveles de amenaza existentes y brindando resultados basados en la evidencia de vectores de acceso y compromiso de la organización.

Un ejercicio de Red Team cuenta con una serie de características que los diferencia del resto de auditorías y tests de intrusión tradicionales, extendiéndose tanto en objetivo y enfoque, como en los escenarios llevados a cabo durante el desarrollo de los ejercicios.

Objetivo

Como parte de un ejercicio de Red Team, el objetivo es evaluar las capacidades de detección y respuesta de la organización, comprometiendo la seguridad de la misma y tomando el control de los sistemas. Como resultado final, se pondrá en evidencia el nivel de acceso obtenido y los objetivos alcanzados, previamente establecidos en el inicio del ejercicio. Pudiendo ser estos en función del tipo de organización, la obtención de información sensible de datos de cliente, acceso a los ATMs, control de una infraestructura SCADA, etc.

Enfoque

La información de la que dispone dispone el equipo de Red Team cuando al iniciar el ejercicio se reduce al nombre de la organización, siendo a todos los efectos un enfoque de Caja Negra.

En este sentido, la comunicación entre el Red Team y el equipo que encargó el ejercicio (White Team) es siempre fluida mediante reuniones periódicas para poner en contexto los avances del ejercicio. En ningún momento el Red Team recibirá información que le pueda ayudar con la intrusión.

El Red Team intentará tomar el control de los activos pertenecientes a la organización cualquier forma posible y realizando los ataques de la forma más silenciosa posible, evitando la detección por parte de Blue Team, simulando ser un atacante real o un APT (amenaza persistente avanzada).

Por este motivo, un ejercicio de Red Team contempla varias vías de intento de acceso a la organización que no se limitan solo a un vector de acceso externo para la intrusión. Estos son los llamados escenarios.

Escenarios

La búsqueda de un vector de acceso en la organización puede incluir distintos tipos de escenarios en función del nivel de acceso que se vaya obteniendo durante el desarrollo del ejercicio.

Estos escenarios contemplan cualquier tipo de intrusión que realizaría un atacante real, partiendo de la búsqueda de un vector de acceso a nivel de perímetro, identificando y atacando aquellos activos expuestos en internet pertenecientes a la organización, y pudiendo derivar en ataques Wi-Fi, de ingeniería social, intrusión física, o cualquier tipo de escenario que pueda ser aprovechado para la intrusión.

En este aspecto, un Red Team puede emplear cualquier tipo de tecnología necesaria para alcanzar el objetivo: la intrusion y toma de control. Esto es, desde el clonado de tarjetas RFID, la compra de dominios para ataques de phishing o exfiltracion de información, etc.

Al tratarse de ejercicios de seguridad mucho más avanzados y sofisticados, el tiempo empleado para un ejercicio de Red Team también es mayor.

Duración

Los ejercicios de Red Team también suelen tener una duración más larga que las pruebas de penetración. Una prueba de penetración a menudo se lleva a cabo durante 1 o 2 semanas, mientras que una evaluación de un ejercicio de Red Team puede durar de 6 a 12 semanas en función del tamaño de la empresa y objetivo, y se lleva a cabo por un mínimo de 2 especialistas de seguridad informática ofensiva y un Red Team leader.

Entregables

Al finalizar un ejercicio de Red Team se elaborarán y se entregarán tres tipos de documentos que ayuden a la empresa a evaluar las debilidades de su seguridad, permitiendo mediante estos documentos poner en marcha las mejoras en las medidas de seguridad sus sistemas.

• Informe ejecutivo: resumirá los aspectos más importantes realizando una evaluación de riesgos y posibles pérdidas, y poniendo en contexto las debilidades y fortalezas. Además se realizan una serie de recomendaciones en base a los resultados obtenidos. Este informe ayuda a comprender el estado de la organización a un nivel no técnico.

• Informe técnico: este informe contiene una descripción en detalle de la metodología empleada, alcance de las pruebas, descripción de las pruebas realizadas y el detalle a alto nivel del proceso de intrusión. Ayuda a los equipos técnicos de la organización a conocer en detalle el proceso de intrusión para poder llevar a cabo las medidas necesarias.

• Registro de acciones: es un documento que registra el Time stamp de las acciones realizadas, comandos utilizados, origen-destino de los ataques, detalle de las herramientas utilizadas y malware desplegado en los sistemas. Este documento permite a los equipos técnicos realizar un seguimiento de todas las acciones llevadas a cabo durante el ejercicio, correlacionando los ataques con los eventos y logs de los sistemas. Se trata de un documento para el SOC y Blue Team.