ProHoster > Blog > administración > Red Teaming es una compleja simulación de ataques. Metodología y herramientas

Red Teaming es una compleja simulación de ataques. Metodología y herramientas

Red Teaming es una compleja simulación de ataques. Metodología y herramientas
Fuente: Acunetix

Red Teaming (ataque del equipo rojo) es una simulación compleja de ataques reales para evaluar la ciberseguridad de los sistemas. El "Equipo Rojo" es un grupo pentesters (especialistas realizando una prueba de penetración en el sistema). Pueden ser empleados externos o empleados de su organización, pero en todos los casos su función es la misma: imitar las acciones de los intrusos e intentar penetrar en su sistema.

Junto con los "equipos rojos" en ciberseguridad, hay varios otros. Entonces, por ejemplo, el "equipo azul" (Blue Team) trabaja junto con el rojo, pero sus actividades están dirigidas a mejorar la seguridad de la infraestructura del sistema desde adentro. El Equipo Púrpura es el vínculo que ayuda a los otros dos equipos a desarrollar estrategias de ataque y defensa. Sin embargo, el redtiming es uno de los métodos menos comprendidos para gestionar la ciberseguridad y muchas organizaciones se muestran reacias a adoptar esta práctica.
En este artículo, explicaremos en detalle qué se esconde detrás del concepto de Red Teaming y cómo la implementación de prácticas complejas de simulación de ataques reales puede ayudar a mejorar la seguridad de su organización. El propósito de este artículo es mostrar cómo este método puede aumentar significativamente la seguridad de sus sistemas de información.

Descripción general de equipos rojos

Red Teaming es una compleja simulación de ataques. Metodología y herramientas

Aunque en nuestro tiempo, los equipos "rojo" y "azul" se asocian principalmente con el campo de la tecnología de la información y la ciberseguridad, estos conceptos fueron acuñados por los militares. En general, fue en el ejército donde escuché por primera vez estos conceptos. Trabajar como analista de ciberseguridad en la década de 1980 era muy diferente al actual: el acceso a los sistemas informáticos encriptados estaba mucho más restringido que en la actualidad.

Por lo demás, mi primera experiencia con los juegos de guerra (simulación, simulación e interacción) fue muy similar al complejo proceso de simulación de ataques de hoy en día, que ha llegado a la seguridad cibernética. Como ahora, se prestó gran atención al uso de métodos de ingeniería social para convencer a los empleados de que den al "enemigo" acceso indebido a los sistemas militares. Por lo tanto, aunque los métodos técnicos de simulación de ataques han avanzado significativamente desde los años 80, vale la pena señalar que muchas de las principales herramientas del enfoque de confrontación, y especialmente las técnicas de ingeniería social, son en gran medida independientes de la plataforma.

El valor central de la imitación compleja de ataques reales tampoco ha cambiado desde los años 80. Al simular un ataque a sus sistemas, es más fácil para usted descubrir vulnerabilidades y comprender cómo pueden explotarse. Y aunque el redteaming solía ser utilizado principalmente por hackers de sombrero blanco y profesionales de la ciberseguridad que buscaban vulnerabilidades a través de pruebas de penetración, ahora se ha vuelto más utilizado en la ciberseguridad y los negocios.

La clave para la redtiming es comprender que realmente no se puede tener una idea de la seguridad de los sistemas hasta que son atacados. Y en lugar de correr el riesgo de ser atacado por atacantes reales, es mucho más seguro simular dicho ataque con un comando rojo.

Red Teaming: casos de uso

Una manera fácil de entender los conceptos básicos de redtiming es mirar algunos ejemplos. Aquí hay dos de ellos:

  • Escenario 1. Imagine que un sitio de servicio al cliente ha sido evaluado y probado con éxito. Parecería que esto sugiere que todo está en orden. Sin embargo, más tarde, en un ataque simulado complejo, el equipo rojo descubre que, si bien la aplicación de servicio al cliente en sí está bien, la función de chat de terceros no puede identificar a las personas con precisión, y esto hace posible engañar a los representantes de servicio al cliente para que cambien su dirección de correo electrónico. .en la cuenta (como resultado de lo cual una nueva persona, un atacante, puede obtener acceso).
  • Escenario 2. Como resultado de las pruebas de penetración, se descubrió que todos los controles de acceso remoto y VPN eran seguros. Sin embargo, luego el representante del "equipo rojo" pasa libremente por el mostrador de registro y saca la computadora portátil de uno de los empleados.

En los dos casos anteriores, el "equipo rojo" verifica no solo la confiabilidad de cada sistema individual, sino también todo el sistema en su conjunto en busca de debilidades.

¿Quién necesita una simulación de ataque complejo?

Red Teaming es una compleja simulación de ataques. Metodología y herramientas

En pocas palabras, casi cualquier empresa puede beneficiarse del redtiming. Como se muestra en nuestro Informe de riesgos de datos globales de 2019., un número alarmantemente grande de organizaciones tienen la falsa creencia de que tienen control total sobre sus datos. Descubrimos, por ejemplo, que en promedio el 22 % de las carpetas de una empresa están disponibles para todos los empleados y que el 87 % de las empresas tienen más de 1000 archivos confidenciales desactualizados en sus sistemas.

Si su empresa no está en la industria de la tecnología, puede parecer que el redtiming no le hará mucho bien. Pero no lo es. La ciberseguridad no se trata solo de proteger la información confidencial.

Los malhechores tratan igualmente de apoderarse de las tecnologías independientemente de la esfera de actividad de la empresa. Por ejemplo, pueden tratar de obtener acceso a su red para ocultar sus acciones para hacerse cargo de otro sistema o red en otra parte del mundo. Con este tipo de ataque, los atacantes no necesitan sus datos. Quieren infectar sus computadoras con malware para convertir su sistema en un grupo de botnets con su ayuda.

Para las empresas más pequeñas, puede ser difícil encontrar recursos para canjear. En este caso, tiene sentido confiar este proceso a un contratista externo.

Red Teaming: Recomendaciones

El momento y la frecuencia óptimos para el redtiming dependen del sector en el que trabaje y de la madurez de sus herramientas de ciberseguridad.

En particular, debe tener actividades automatizadas como la exploración de activos y el análisis de vulnerabilidades. Su organización también debe combinar la tecnología automatizada con la supervisión humana mediante la realización periódica de pruebas de penetración completas.
Después de completar varios ciclos comerciales de pruebas de penetración y encontrar vulnerabilidades, puede pasar a una simulación compleja de un ataque real. En esta etapa, la redtiming le traerá beneficios tangibles. Sin embargo, tratar de hacerlo antes de tener los conceptos básicos de ciberseguridad no traerá resultados tangibles.

Es probable que un equipo de sombrero blanco pueda comprometer un sistema no preparado de manera tan rápida y fácil que obtenga muy poca información para tomar medidas adicionales. Para que tenga un efecto real, la información obtenida por el "equipo rojo" debe compararse con pruebas de penetración anteriores y evaluaciones de vulnerabilidad.

¿Qué son las pruebas de penetración?

Red Teaming es una compleja simulación de ataques. Metodología y herramientas

La imitación compleja de un ataque real (Red Teaming) a menudo se confunde con pruebas de penetración (pentest), pero los dos métodos son ligeramente diferentes. Más precisamente, las pruebas de penetración son solo uno de los métodos de redtiming.

El papel de un Pentester bien definido. El trabajo de los pentesters se divide en cuatro etapas principales: planificación, descubrimiento de información, ataque e informes. Como puede ver, los pentesters hacen más que solo buscar vulnerabilidades de software. Intentan ponerse en el lugar de los piratas informáticos y, una vez que ingresan a su sistema, comienza su verdadero trabajo.

Descubren vulnerabilidades y luego realizan nuevos ataques basados ​​en la información recibida, moviéndose a través de la jerarquía de carpetas. Esto es lo que distingue a los probadores de penetración de aquellos que son contratados solo para encontrar vulnerabilidades, utilizando software de escaneo de puertos o detección de virus. Un pentester experimentado puede determinar:

  • dónde los piratas informáticos pueden dirigir su ataque;
  • la forma en que atacarán los hackers;
  • ¿Cómo se comportará su defensa?
  • posible alcance de la infracción.

Las pruebas de penetración se centran en identificar las debilidades a nivel de la aplicación y la red, así como las oportunidades para superar las barreras de seguridad física. Si bien las pruebas automatizadas pueden revelar algunos problemas de ciberseguridad, las pruebas de penetración manuales también tienen en cuenta la vulnerabilidad de una empresa a los ataques.

Equipo Rojo vs. pruebas de penetración

Sin duda, las pruebas de penetración son importantes, pero son solo una parte de toda una serie de actividades de redtiming. Las actividades del "equipo rojo" tienen objetivos mucho más amplios que los de los pentesters, que a menudo simplemente buscan acceder a la red. Redteaming a menudo involucra más personas, recursos y tiempo, ya que el equipo rojo profundiza para comprender completamente el verdadero nivel de riesgo y vulnerabilidad en la tecnología y los activos humanos y físicos de la organización.

Además, hay otras diferencias. El redtiming suele ser utilizado por organizaciones con medidas de ciberseguridad más maduras y avanzadas (aunque no siempre es así en la práctica).

Por lo general, son empresas que ya han realizado pruebas de penetración y solucionado la mayoría de las vulnerabilidades encontradas y ahora están buscando a alguien que pueda volver a intentar acceder a información confidencial o romper la protección de alguna manera.
Es por eso que redtiming se basa en un equipo de expertos en seguridad enfocados en un objetivo específico. Apuntan a las vulnerabilidades internas y utilizan técnicas de ingeniería social electrónicas y físicas en los empleados de la organización. A diferencia de los pentesters, los equipos rojos se toman su tiempo durante sus ataques, queriendo evitar la detección como lo haría un ciberdelincuente real.

Beneficios del equipo rojo

Red Teaming es una compleja simulación de ataques. Metodología y herramientas

La simulación compleja de ataques reales tiene muchas ventajas, pero lo más importante es que este enfoque le permite obtener una imagen completa del nivel de ciberseguridad de una organización. Un proceso típico de ataque simulado de extremo a extremo incluiría pruebas de penetración (red, aplicación, teléfono móvil y otros dispositivos), ingeniería social (en vivo en el sitio, llamadas telefónicas, correo electrónico o mensajes de texto y chat) e intrusión física. (romper cerraduras, detectar zonas muertas de cámaras de seguridad, eludir sistemas de advertencia). Si hay vulnerabilidades en cualquiera de estos aspectos de su sistema, se encontrarán.

Una vez que se encuentran las vulnerabilidades, se pueden corregir. Un procedimiento de simulación de ataque efectivo no termina con el descubrimiento de vulnerabilidades. Una vez que las fallas de seguridad estén claramente identificadas, querrá trabajar para corregirlas y volver a probarlas. De hecho, el verdadero trabajo suele comenzar después de una intrusión del equipo rojo, cuando analizas el ataque de forma forense y tratas de mitigar las vulnerabilidades encontradas.

Además de estos dos beneficios principales, redtiming también ofrece otros muchos. Entonces, el "equipo rojo" puede:

  • identificar riesgos y vulnerabilidades a ataques en activos de información comercial clave;
  • simular los métodos, tácticas y procedimientos de atacantes reales en un entorno con riesgo limitado y controlado;
  • Evalúe la capacidad de su organización para detectar, responder y prevenir amenazas complejas y dirigidas;
  • Fomentar una estrecha colaboración con los departamentos de seguridad y los equipos azules para proporcionar una mitigación significativa y realizar talleres prácticos integrales después de las vulnerabilidades descubiertas.

¿Cómo funciona Red Teaming?

Una excelente manera de comprender cómo funciona el redtiming es ver cómo funciona normalmente. El proceso habitual de simulación de ataques complejos consta de varias etapas:

  • La organización acuerda con el "equipo rojo" (interno o externo) el propósito del ataque. Por ejemplo, tal objetivo podría ser recuperar información confidencial de un servidor en particular.
  • Luego, el "equipo rojo" realiza un reconocimiento del objetivo. El resultado es un diagrama de los sistemas de destino, incluidos los servicios de red, las aplicaciones web y los portales internos para empleados. .
  • Después de eso, se buscan vulnerabilidades en el sistema de destino, que generalmente se implementan mediante ataques de phishing o XSS. .
  • Una vez que se obtienen los tokens de acceso, el equipo rojo los usa para investigar más vulnerabilidades. .
  • Cuando se descubran otras vulnerabilidades, el “equipo rojo” buscará aumentar su nivel de acceso al nivel necesario para lograr el objetivo. .
  • Al obtener acceso a los datos o activos de destino, la tarea de ataque se considera completada.

De hecho, un especialista experimentado del equipo rojo utilizará una gran cantidad de métodos diferentes para completar cada uno de estos pasos. Sin embargo, la conclusión clave del ejemplo anterior es que las pequeñas vulnerabilidades en los sistemas individuales pueden convertirse en fallas catastróficas si se encadenan.

¿Qué se debe tener en cuenta al referirse al "equipo rojo"?

Red Teaming es una compleja simulación de ataques. Metodología y herramientas

Para aprovechar al máximo el redtiming, debe prepararse con cuidado. Los sistemas y procesos utilizados por cada organización son diferentes, y el nivel de calidad del redtiming se logra cuando está orientado a encontrar vulnerabilidades en sus sistemas. Por este motivo, es importante tener en cuenta una serie de factores:

Sabes lo que estas buscando

En primer lugar, es importante comprender qué sistemas y procesos desea verificar. Quizás sepa que quiere probar una aplicación web, pero no entiende muy bien lo que realmente significa y qué otros sistemas están integrados con sus aplicaciones web. Por lo tanto, es importante que tenga un buen conocimiento de sus propios sistemas y corrija las vulnerabilidades obvias antes de iniciar una simulación compleja de un ataque real.

Conozca su red

Esto está relacionado con la recomendación anterior, pero se trata más de las características técnicas de su red. Cuanto mejor pueda cuantificar su entorno de prueba, más preciso y específico será su equipo rojo.

Conoce tu presupuesto

Redtiming se puede realizar en diferentes niveles, pero simular la gama completa de ataques en su red, incluida la ingeniería social y la intrusión física, puede ser costoso. Por esta razón, es importante comprender cuánto puede gastar en dicho cheque y, en consecuencia, delinear su alcance.

Conozca su nivel de riesgo

Algunas organizaciones pueden tolerar un nivel de riesgo bastante alto como parte de sus procedimientos comerciales estándar. Otros necesitarán limitar mucho más su nivel de riesgo, especialmente si la empresa opera en una industria altamente regulada. Por lo tanto, al realizar redtiming, es importante centrarse en los riesgos que realmente representan un peligro para su negocio.

Red Teaming: herramientas y tácticas

Red Teaming es una compleja simulación de ataques. Metodología y herramientas

Si se implementa correctamente, el "equipo rojo" llevará a cabo un ataque a gran escala en sus redes utilizando todas las herramientas y métodos utilizados por los piratas informáticos. Entre otras cosas, esto incluye:

  • Pruebas de penetración de aplicaciones - tiene como objetivo identificar las debilidades a nivel de la aplicación, como la falsificación de solicitudes entre sitios, fallas en la entrada de datos, administración de sesión débil y muchas otras.
  • Pruebas de penetración de red - tiene como objetivo identificar las debilidades a nivel de la red y del sistema, incluidas las configuraciones incorrectas, las vulnerabilidades de la red inalámbrica, los servicios no autorizados y más.
  • Pruebas de penetración física — verificar la efectividad, así como las fortalezas y debilidades de los controles de seguridad física en la vida real.
  • Ingeniería social - tiene como objetivo explotar las debilidades de las personas y la naturaleza humana, probando la susceptibilidad de las personas al engaño, la persuasión y la manipulación a través de correos electrónicos de phishing, llamadas telefónicas y mensajes de texto, así como contacto físico en el acto.

Todos los anteriores son componentes de redtiming. Es una simulación de ataque en capas completa diseñada para determinar qué tan bien su gente, redes, aplicaciones y controles de seguridad física pueden resistir un ataque de un atacante real.

Desarrollo continuo de los métodos Red Teaming

La naturaleza de la compleja simulación de ataques reales, en la que los equipos rojos intentan encontrar nuevas vulnerabilidades de seguridad y los equipos azules intentan corregirlas, conduce al desarrollo constante de métodos para tales comprobaciones. Por esta razón, es difícil compilar una lista actualizada de técnicas modernas de redtiming, ya que se vuelven obsoletas rápidamente.

Por lo tanto, la mayoría de los miembros del equipo rojo pasarán al menos parte de su tiempo aprendiendo sobre nuevas vulnerabilidades y explotándolas, utilizando los muchos recursos proporcionados por la comunidad del equipo rojo. Estas son las más populares de estas comunidades:

  • Academia Pentester es un servicio de suscripción que ofrece cursos de video en línea enfocados principalmente en pruebas de penetración, así como cursos sobre análisis forense de sistemas operativos, tareas de ingeniería social y lenguaje ensamblador de seguridad de la información.
  • Vicente Yiú es un "operador de ciberseguridad ofensivo" que bloguea regularmente sobre métodos para la simulación compleja de ataques reales y es una buena fuente de nuevos enfoques.
  • Twitter también es una buena fuente si está buscando información actualizada sobre redtiming. Puedes encontrarlo con hashtags #equipo rojo и #equiporojo.
  • Daniel Miessler es otro especialista experimentado en redtiming que produce un boletín y podcast, dirige veb-site y escribe mucho sobre las tendencias actuales del equipo rojo. Entre sus artículos recientes: "Purple Team Pentest significa que sus equipos rojo y azul han fallado" и "Recompensas de vulnerabilidad y cuándo usar la evaluación de vulnerabilidad, las pruebas de penetración y la simulación integral de ataques".
  • trago diario es un boletín de seguridad web patrocinado por PortSwigger Web Security. Este es un buen recurso para conocer los últimos desarrollos y noticias en el campo del redtiming: hacks, fugas de datos, exploits, vulnerabilidades de aplicaciones web y nuevas tecnologías de seguridad.
  • florian hansemann es un hacker de sombrero blanco y probador de penetración que cubre regularmente nuevas tácticas del equipo rojo en su блоге.
  • MWR labs es una buena fuente, aunque extremadamente técnica, de noticias sobre redtiming. Publican útiles para los equipos rojos. Instrumentosy su Feed de Twitter contiene consejos para resolver problemas a los que se enfrentan los probadores de seguridad.
  • Emad Shanab - Abogado y "hacker blanco". Su feed de Twitter tiene técnicas útiles para los "equipos rojos", como escribir inyecciones SQL y falsificar tokens OAuth.
  • Tácticas adversarias, técnicas y conocimientos comunes de Mitre (ATT & CK) es una base de conocimiento curada del comportamiento del atacante. Realiza un seguimiento de las fases del ciclo de vida de los atacantes y las plataformas a las que se dirigen.
  • El libro de jugadas del hacker es una guía para hackers que, aunque es bastante antigua, cubre muchas de las técnicas fundamentales que todavía están en el corazón de la compleja imitación de ataques reales. El autor Peter Kim también tiene Feed de Twitter, en el que ofrece consejos de piratería y otra información.
  • SANS Institute es otro importante proveedor de materiales de formación en ciberseguridad. Su Feed de TwitterCentrado en análisis forense digital y respuesta a incidentes, contiene las últimas noticias sobre cursos SANS y consejos de profesionales expertos.
  • Algunas de las noticias más interesantes sobre redtiming se publican en Diario del equipo rojo. Hay artículos centrados en la tecnología, como la comparación de Red Teaming con las pruebas de penetración, así como artículos analíticos como The Red Team Specialist Manifesto.
  • Finalmente, Awesome Red Teaming es una comunidad de GitHub que ofrece lista muy detallada recursos dedicados a Red Teaming. Cubre prácticamente todos los aspectos técnicos de las actividades de un equipo rojo, desde obtener acceso inicial, realizar actividades maliciosas hasta recopilar y extraer datos.

"Equipo azul" - ¿qué es?

Red Teaming es una compleja simulación de ataques. Metodología y herramientas

Con tantos equipos multicolores, puede ser difícil determinar qué tipo necesita su organización.

Una alternativa al equipo rojo, y más concretamente otro tipo de equipo que se puede utilizar junto con el equipo rojo, es el equipo azul. El Equipo Azul también evalúa la seguridad de la red e identifica cualquier vulnerabilidad potencial de la infraestructura. Sin embargo, ella tiene un objetivo diferente. Se necesitan equipos de este tipo para encontrar formas de proteger, cambiar y reagrupar los mecanismos de defensa para que la respuesta a incidentes sea mucho más efectiva.

Al igual que el equipo rojo, el equipo azul debe tener el mismo conocimiento de las tácticas, técnicas y procedimientos del atacante para crear estrategias de respuesta basadas en ellos. Sin embargo, las funciones del equipo azul no se limitan a defenderse de los ataques. También participa en el fortalecimiento de toda la infraestructura de seguridad, utilizando, por ejemplo, un sistema de detección de intrusos (IDS) que proporciona un análisis continuo de actividad inusual y sospechosa.

Estos son algunos de los pasos que toma el "equipo azul":

  • auditoría de seguridad, en particular auditoría de DNS;
  • análisis de registro y memoria;
  • análisis de paquetes de datos de red;
  • análisis de datos de riesgo;
  • análisis de huella digital;
  • Ingeniería inversa;
  • pruebas DDoS;
  • desarrollo de escenarios de implementación de riesgos.

Diferencias entre los equipos rojo y azul.

Una pregunta común para muchas organizaciones es qué equipo deben usar, rojo o azul. Este problema también suele ir acompañado de animosidad amistosa entre personas que trabajan "en lados opuestos de las barricadas". En realidad, ninguno de los comandos tiene sentido sin el otro. Entonces, la respuesta correcta a esta pregunta es que ambos equipos son importantes.

El Equipo Rojo está atacando y se utiliza para probar la preparación del Equipo Azul para defender. A veces, el equipo rojo puede encontrar vulnerabilidades que el equipo azul ha pasado por alto por completo, en cuyo caso el equipo rojo debe mostrar cómo se pueden solucionar esas vulnerabilidades.

Es vital que ambos equipos trabajen juntos contra los ciberdelincuentes para fortalecer la seguridad de la información.

Por eso, no tiene sentido elegir solo un lado o invertir en un solo tipo de equipo. Es importante recordar que el objetivo de ambas partes es prevenir el ciberdelito.
En otras palabras, las empresas deben establecer la cooperación mutua de ambos equipos para proporcionar una auditoría integral, con registros de todos los ataques y comprobaciones realizadas, registros de las características detectadas.

El "equipo rojo" brinda información sobre las operaciones que realizaron durante el ataque simulado, mientras que el equipo azul brinda información sobre las acciones que tomaron para llenar los vacíos y corregir las vulnerabilidades encontradas.

La importancia de ambos equipos no puede subestimarse. Sin sus auditorías de seguridad continuas, pruebas de penetración y mejoras de infraestructura, las empresas no serían conscientes del estado de su propia seguridad. Al menos hasta que se filtren los datos y quede dolorosamente claro que las medidas de seguridad no fueron suficientes.

¿Qué es un equipo morado?

El "Equipo Púrpura" nació de los intentos de unir a los Equipos Rojo y Azul. El Equipo Púrpura es más un concepto que un tipo de equipo separado. Se ve mejor como una combinación de equipos rojos y azules. Ella involucra a ambos equipos, ayudándolos a trabajar juntos.

El Equipo Púrpura puede ayudar a los equipos de seguridad a mejorar la detección de vulnerabilidades, el descubrimiento de amenazas y el monitoreo de redes modelando con precisión escenarios de amenazas comunes y ayudando a crear nuevos métodos de detección y prevención de amenazas.

Algunas organizaciones utilizan un Equipo Púrpura para actividades enfocadas una sola vez que definen claramente los objetivos de seguridad, los plazos y los resultados clave. Esto incluye reconocer las debilidades en el ataque y la defensa, así como identificar los requisitos futuros de capacitación y tecnología.

Un enfoque alternativo que ahora cobra impulso es ver al Equipo Púrpura como un modelo visionario que funciona en toda la organización para ayudar a crear y mejorar continuamente una cultura de seguridad cibernética.

Conclusión

Red Teaming, o simulación de ataque complejo, es una técnica poderosa para probar las vulnerabilidades de seguridad de una organización, pero debe usarse con cuidado. En particular, para usarlo, necesita tener suficiente medios avanzados para proteger la seguridad de la informaciónDe lo contrario, puede que no justifique las esperanzas puestas en él.
Redtiming puede revelar vulnerabilidades en su sistema que ni siquiera sabía que existían y ayudar a solucionarlas. Al adoptar un enfoque de confrontación entre los equipos azul y rojo, puede simular lo que haría un pirata informático real si quisiera robar sus datos o dañar sus activos.

Fuente: habr.com

Añadir un comentario