miércoles, 24 de febrero de 2021

Red Team "No siempre lo mejor es lo más difícil"

¿Qué es el Red Team?

Un equipo de Red Team es un grupo de pentesters altamente cualificados que son contratados por una organización para probar sus defensas y mejorar su eficiencia. Básicamente, es la forma para utilizar estrategias, sistemas y metodologías para simular un escenario real y preparar las defensas de la compañía. Dichos ataques tienen que representar un ataque real de ciberdelincuentes bajo un entorno controlado.

El concepto de Red Team es un concepto que procede del entorno militar. Se observó que para mejorar la defensa debían ser atacados para encontrar y mejorar sus puntos débiles. Por lo que se transformaría en los denominados "War Games", dónde los defensores o fuerzas aliadas, denominadas Blue Team, deberían defenderse de los atacantes.

En el ámbito de la seguridad informática, el equipo a pesar de tener este role ofensivo, no es más que un mero defensor. Son una herramienta que permite a las organizaciones defenderse mejor de los agresores hostiles, aprender y mejorar de sus errores.

"Attack is the secret of defense; defense is the planning of an attack"
The Art of War, Sun Tzu.
Cuando nos referimos a un ejercicio de Red Team nos referimos a realizar una prueba de penetración que abarca absolutamente todo, no existe un objetivo determinado, sino que todo pasa a ser explotable y no hay limitaciones más allá de lo pactado con el cliente.

En este tipo de ejercicio se usan técnicas vanguardistas del hacking. El uso y desarrollo de los últimos exploits contra las últimas vulnerabilidades e incluso el uso de la explotación de 0-days.

¿Pero realmente, lo más complejo es lo más efectivo?

 No todo lo más efectivo es lo más complejo

Como bien el propio nombre de la sección lo indica y respondiendo a la pregunta anterior no. No siempre lo más efectivo es explotar un 0-day, sino que buscar un tipo de ataque más básico, pero bien preparado como podría ser un ataque de Ingeniería Social.

La Ingeniería Social es la práctica de obtener información confidencial a través de la manipulación de los usuarios.

Prácticamente casi cualquier informe que consultemos estos últimos años (incluso remontándonos unos cuantos hacia atrás) deja claro que la mayor cantidad de ciberataques (alrededor del 90%-95%) se deben a fallos humanos, es decir, son ataques de tipo de Ingeniería Social.

El usuario es el eslabón débil de la seguridad

El Phishing es uno de los métodos más utilizados y eficaces por los cibercriminales para estafar y obtener información confidencial de forma fraudulenta, como podrían ser unas credenciales o información detallada sobre tarjetas de crédito o incluso la redirección a páginas fraudulentas.

Mientras que la gran mayoría de las campañas de phishing tratan de enviar correos electrónicos masivos al mayor número de personas posible, el spear phishing ataca a un individuo concreto u organización específica. Éste es el más peligroso de todos, ya que con un buen pretexting, es decir la creación de un escenario lo más realista posible, con los pretextos más creíbles, el usuario logrará ser engañado exitosamente. Una práctica muy eficiente a la hora de realizar o establecer el pretexting, es el Water-Holing. El Water-Holing es la identificación de los sitios web que los empleados de la organización visitan con regularidad y por lo tanto tiene un mayor nivel de confianza, como pueden ser, por ejemplo, los medios de comunicación o blogs que suelan leer.

Hay muchos otros métodos eficaces como el Phishing que requieren la manipulación del propio usuario, como la suplantación de un punto de acceso Wi-Fi, también conocido como Rogue Access Point, donde los propios usuarios son víctima del robo de credenciales, desde la propia credencial de acceso del Punto de Accesso WiFi original, a incluso el robo de credenciales en paneles de login de portales internos de la organización.

Realiza el ejercicio en tu organización

En la actualidad la ciberseguridad está teniendo más relevancia en el mercado empresarial, debido a la gran cantidad de ataques que han transcurrido en poco tiempo.

Por eso con la realización de un ejercicio de Red Team se puede exprimir un sin fin de beneficios. Durante el ejercicio se comprobarán las capacidades de detección, las capacidades de respuesta y las capacidades de análisis con el fin de mejorar efectivamente las capacidades de monitorización y detección de ataques cibernéticos, progresar adecuadamente en la capacidad de respuesta ante incidentes reales, aportar métricas y evidencias al análisis de riesgos corporativos y concluir planes de contingencia eficaces ante amenazas.

Además, el ejercicio es utilizado para obtener una idea realista del nivel de riesgo y de seguridad el cual permite identificar el nivel de protección enfrente a esto. El impacto real de negocio que provocaría un ataque dirigido como el compromiso de los principales activos de la organización es comprobado por el ejercicio del Red Team.

AUTOR:

Este artículo está basado en el webinar publicado en nuestro canal de YouTube "Red Team: No siempre lo mejor es lo más difícil", disponible aquí: https://youtu.be/_xf7L3G_vZQ.