This post is also available in: Português Español
Los equipos rojos (red team) y azules (blue team) juegan un papel importante en la defensa contra los ataques cibernéticos, que amenazan los datos confidenciales de los clientes y la información comercial privada. Trabajan en un entorno que puede parecerse a un juego electrónico, donde un equipo ataca un territorio y el otro defiende. Sin embargo, dentro de la vida real, donde se aplican técnicas de invasión y protección para que tengan una acción efectiva y auténtica.
En este contexto, los equipos rojos están formados por profesionales de la seguridad ofensiva, especialistas en sistemas de ataque e intrusión. Los equipos azules son profesionales de la seguridad defensiva, responsables de mantener intactas y funcionales las protecciones de la red interna contra todas las ciberamenazas. Los equipos rojos simulan ataques contra los equipos azules para probar la efectividad de la seguridad de la red. Estos ejércitos de rojo y azul brindan una solución de seguridad completa, que ofrece defensas sólidas y al mismo tiempo genera conciencia sobre cómo evoluciona el delito cibernético.
Por tanto, se puede decir que Red Team actúa como un adversario que busca sortear los controles de ciberseguridad. Sus miembros suelen ser hackers éticos independientes que evalúan objetivamente la seguridad del sistema.
Utilizan todas las técnicas disponibles para encontrar debilidades en las personas, los procesos y la tecnología para obtener acceso no autorizado, pero sin causar un daño real. Al final de estos ataques simulados, los equipos rojos hacen recomendaciones y planifican cómo fortalecer la postura de seguridad de una empresa, a través de informes y contenido relevante.
Read Team en acción
Es común que un equipo rojo dedique más tiempo a planificar un ataque que a ponerlo en acción. Así que buscan varios métodos para descubrir cómo obtener acceso a una red explotando sus vulnerabilidades.
Los ataques de ingeniería social, por ejemplo, se basan en el reconocimiento y la investigación para ofrecer campañas de spear phishing selectivo. Del mismo modo, antes de realizar una prueba de penetración, se utilizan analizadores de protocolos para explorar la red y recopilar la mayor cantidad de información posible sobre el sistema.
Entre la información más común recopilada durante esta fase está descubrir qué sistemas operativos están activos, así como identificar la marca y los modelos de equipos de red, como servidores, firewalls, switches, enrutadores, puntos de acceso y computadoras.
Un red team también recopila detalles sobre controles físicos (puertas, cerraduras, cámaras, personal de seguridad), y también descubre qué puertos están expuestos en un firewall, para permitir o bloquear tráfico específico. De esta forma, crean un mapa de la red para determinar qué hosts ejecutan qué servicios y hacia dónde se envía el tráfico.
Después que el equipo rojo tiene una imagen más completa del sistema, desarrolla un plan de acción diseñado para identificar vulnerabilidades específicas en función de la información recopilada.
Un miembro del equipo rojo puede identificar, por ejemplo, que un servidor ejecuta Microsoft Windows Server 2016 R2y que las políticas de dominio predeterminadas aún están vigentes.
El problema de que siga en modo predeterminado es que depende de los administradores de red actualizar las políticas, algo que Microsoft recomienda hacer lo antes posible para fortalecer la seguridad de la red. Por lo tanto, si todo sigue en su estado predeterminado, un atacante podría aprovechar esta vulnerabilidad.
Una vez que se identifican las vulnerabilidades, es hora de explotar esas debilidades para ingresar a la red. Es típico de los ciberdelincuentes que, luego de acceder al sistema, utilicen técnicas para escalar privilegios, a través de las cuales intentan robar las credenciales de un administrador que tiene mayor acceso a los niveles más altos de información delicada.
Ataques Varios
Los equipos rojos utilizan una variedad de métodos y herramientas para explotar las debilidades y vulnerabilidades de una red. Debe tenerse en cuenta que utilizarán todos los medios que sean necesarios, de acuerdo con los términos del contrato, para entrar en su sistema, y no se darán por vencidos hasta que lo logren. Dependiendo de la vulnerabilidad encontrada, pueden implementar malwares para infectar hosts o incluso eludir los controles de seguridad física mediante la clonación de tarjetas de acceso.
En este contexto, un equipo rojo puede realizar una prueba de penetración, también conocida como piratería ética. En esta modalidad, intentan acceder a un sistema mediante un software específico. Por ejemplo, ‘John the Ripper’ es un programa para descifrar contraseñas. Puede detectar qué tipo de cifrado se utiliza y tratar de evitarlo.
Las acciones, sin embargo, pueden ser más integrales. Después de todo, existen trucos de ingeniería social, en los que la idea es persuadir o engañar a los empleados de una empresa para que revelen sus credenciales o permitan el acceso a un área restringida. El phishing , por otro lado, implica el envío de correos electrónicos aparentemente auténticos, que inducen a los empleados a realizar ciertas acciones, como ingresar a un sitio web falso e ingresar el nombre de usuario y la contraseña.
A menudo, un red team usa software de interceptación de comunicaciones, como rastreadores de paquetes y analizadores de protocolos, que se pueden usar para mapear una red o leer mensajes enviados en texto claro. El propósito de estas herramientas es obtener información específica sobre el sistema de una empresa. Por ejemplo, si un atacante sabe que un servidor está ejecutando un sistema operativo de Microsoft, centrará sus ataques en explotar las vulnerabilidades de Microsoft, lo que le llevará mucho menos tiempo descubrir cómo hackear con éxito.
¿Y quién es el blue team?
Un Blue Team está formado por profesionales de la seguridad que tienen una visión interna de la empresa. Su tarea es proteger todo el entorno de tecnologías de la información de la empresa contra cualquier tipo de ciberamenaza.
De este modo, sus miembros conocen perfectamente los objetivos comerciales y la estrategia de seguridad de la empresa. Por lo tanto, su tarea es fortalecer las protecciones para que ningún intruso pueda comprometer el sistema.
Cuando entra en acción, el primer acto de un blue team es recopilar datos, documentar exactamente lo que debe protegerse: realizar una evaluación de riesgos. Luego, sus miembros restringen el acceso al sistema de varias maneras, incluida la reparación de vulnerabilidades encontradas, la introducción de políticas de contraseña más estrictas y la sensibilización de los empleados para garantizar que comprendan y cumplan con los procedimientos de seguridad.
Por lo tanto, a menudo se implementan varias herramientas de monitoreo, lo que permite registrar y verificar la información relacionada con el acceso a los sistemas en busca de actividades inusuales. Luego, los equipos azules realizarán verificaciones periódicas del sistema, con auditorías de DNS, escaneos de vulnerabilidades de red internas o externas y captura de muestras de tráfico de red para su análisis.
Además, los equipos azules deben establecer medidas de seguridad en torno a los activos clave de la empresa. Comienzan su plan defensivo identificando activos críticos, documentando su importancia para el negocio y qué impactos tendría la ausencia de estos activos.
Por ello, sus integrantes realizan evaluaciones de riesgos, identificando las amenazas contra cada elemento y las debilidades que estas amenazas pueden aprovechar. Al evaluar los riesgos y priorizarlos, el equipo azul desarrolla un plan de acción para implementar controles que puedan disminuir el daño o la probabilidad de que se materialicen vulnerabilidades contra los activos.
En esta etapa, la participación de los gerentes es crucial, ya que solo ellos pueden decidir aceptar un riesgo o implementar controles de mitigación contra él. La selección de controles a menudo se basa en un análisis de costo-beneficio para garantizar que los controles de seguridad brinden el máximo de su potencial al negocio, y a un precio asequible
Por ejemplo, un equipo azul podría identificar que la red de la empresa es vulnerable a un ataque DDoS. Esta infracción reduce la disponibilidad de la red para los usuarios legítimos al enviar solicitudes de tráfico incompletas a un servidor. Cada una de estas solicitudes requiere recursos para realizar una acción, por lo que tales ataques paralizan una red.
Entonces, el equipo calcula la pérdida si ocurre la amenaza. Según el análisis de costo-beneficio y alineado con los objetivos comerciales, un equipo azul consideraría instalar un sistema de detección y prevención de intrusiones para minimizar el riesgo de ataques DDoS.
Ejercicios azules
Los Blue Teams utilizan una amplia variedad de métodos y herramientas como contramedidas para proteger una red de ciberataques. Según la situación, pueden determinar que es necesario instalar firewalls adicionales para bloquear el acceso a una red interna. O bien, identifican que el riesgo de ataques de ingeniería social es tan alto que justifica el costo de implementar capacitación de concientización sobre seguridad en toda la empresa.
En esta realidad, pueden realizar auditorías de DNS para evitar ataques de phishing, resolver problemas de DNS obsoletos, evitar el tiempo de inactividad debido a la eliminación de registros de DNS y prevenir ataques web y de DNS. Los equipos azules también pueden concentrarse en instalar software de seguridad de punto final en dispositivos externos, como computadoras portátiles y teléfonos inteligentes, y garantizar que los controles de acceso del firewall estén configurados correctamente y que el software antivirus esté siempre actualizado.
Los ejercicios del equipo azul también pueden incluir la implementación de soluciones SIEM para registrar eventos, así como detectar actividad inusual del sistema e identificar un ataque. Además, pueden segregar redes y asegurarse de que estén configuradas correctamente.
Otra opción es utilizar regularmente software de análisis de vulnerabilidades, así como sistemas de seguridad que utilicen software antivirus o antimalware.
Beneficios aportados por los equipos
La implementación de una estrategia de Red Team y Blue Team permite a una empresa aprovechar la presencia de dos enfoques y conjuntos de habilidades totalmente diferentes. También aporta cierto grado de competitividad a la tarea, lo que fomenta un alto rendimiento por parte de ambos equipos.
El red team es esencial, ya que identifica vulnerabilidades, pero solo puede resaltar el estado actual del sistema. Por otro lado, el blue team es crítico porque ofrece protección a largo plazo, asegurando que las defensas permanezcan fuertes y monitoreando constantemente el sistema.
Aún así, la principal ventaja es la mejora continua en la postura de seguridad de la empresa, encontrando puntos de atención y luego llenando esos vacíos con los controles apropiados.
Además, la comunicación entre los dos equipos es el factor más importante en el éxito de ambos. El equipo azul debe mantenerse actualizado sobre las nuevas tecnologías para mejorar la seguridad y debe compartir estos hallazgos con el equipo rojo. Asimismo, el Red Team debe estar siempre atento a las innovaciones en las amenazas y técnicas de penetración utilizadas por los crackers, asesorando al Equipo Azul en los métodos de prevención.
Sin embargo, dependiendo del objetivo, el equipo rojo no necesariamente informa al equipo azul sobre una prueba planificada. Por ejemplo, si el objetivo es simular un escenario de respuesta de la vida real a una amenaza “legítima”, entonces no es recomendable realizar una comunicación previa a la prueba.
Alguien de la gerencia debe estar al tanto de la prueba, generalmente el líder del equipo azul. Esto asegura que el escenario de respuesta aún se prueba, pero con un control más estricto cuando la situación se intensifica.
Al final de la prueba, los dos equipos recopilan información e informan sobre sus hallazgos. El equipo rojo advierte al equipo azul si logran penetrar las defensas y brinda consejos sobre cómo bloquear intentos similares en un escenario de la vida real. Asimismo, el Blue team deberá informar al Equipo Rojo si sus procedimientos de seguimiento han detectado o no un intento de ataque.
Luego, los dos equipos deben trabajar juntos para planificar, desarrollar e implementar controles de seguridad más estrictos según sea necesario. Es decir, en esta disputa gana la empresa, que tendrá detalles vitales sobre cómo mantenerse segura y preparada frente a los ataques de los ciberdelincuentes.
This post is also available in: Português Español