Análisis de Vulnerabilidades, Test de Intrusión y Red Team

Análisis de Vulnerabilidades, Test de Intrusión y Red Team son unos tipos de evaluaciones con características diferentes pero que en muchas ocasiones, de forma errónea, se usan de forma intercambiada.  No es extraño ver que cuando se habla de ellos a alto nivel, los tres se acaben englobando en proyectos de Ethical Hacking. Esto hace que no se entienden correctamente los objetivos, beneficios y resultados de cada una de estas actividades haciendo un grato favor a la industria de la seguridad informática.
Si obtenemos las definiciones de la publicación especial del NIST 800-53 rev 4 para cada una de estas evaluaciones veremos lo siguiente:
Análisis de Vulnerabilidades: “Systematic examination of an information system or product to determine the adequacy of security measures, identify security deficiencies, provide data from which to predict the effectiveness of proposed security measures, and confirm the adequacy of such measures after implementation.”
Test de Intrusión: “A test methodology in which assessors, typically working under specific constraints, attempt to circumvent or defeat the security features of an information system.”
Red Team: “An exercise, reflecting real-world conditions, that is conducted as a simulated adversarial attempt to compromise organizational missions and/or business processes to provide a comprehensive assessment of the security capability of the information system and organization.”
Así tenemos que un Análisis de Vulnerabilidades (en inglés Vulnerability Assessment) está centrado en analizar sistemas con el objetivo de detectar vulnerabilidades y priorizarlas según su riesgo. En este tipo de evaluaciones la explotación de las vulnerabilidades no es parte del alcance y la verificación de estas se da en juicio al resultado de las herramientas utilizadas. Este tipo de análisis nos da una visión muy amplia del número y tipo de vulnerabilidades pero con muy poca profundidad. Tras aplicar las mitigaciones después de los resultados de un Análisis de Vulnerabilidades se reducirá la superficie de ataque.
Por otro lado, los Test de Intrusión son ataques simulados sobre sistemas con el objetivo de ver el riesgo real tras la explotación de vulnerabilidades. En estos tests se intentan descubrir todas las vulnerabilidades posibles, explotarlas y ver los riesgos asociados a ellas. Por lo tanto, tienen un alcance amplio pero con una profundidad superior al de los Vulnerability Assessment. El resultado final tras aplicar mitigaciones también será la reducción de la superficie de ataque.
Por último, los ejercicios de Red Team, pese a que en la teoría puedan parecer similares a los Test de Intrusión debido a la explotación de vulnerabilidades y al uso de herramientas similares, se diferencian principalmente por el objetivo y la intención del ejercicio. El objetivo del Red Team es entrenar al equipo de seguridad y respuesta a incidentes además de medir los tiempos de respuesta así como la efectividad de la tecnología, las personas y los procesos. Es importante indicar que en los ejercicios de Red Team se simulan escenarios reales basados en información de las tácticas, técnicas y procedimientos utilizados a día de hoy por grupos implicados en intrusiones. El alcance del Red Team es mucho menos amplio que en un Test de Intrusión, ya que solo se explotarán las vulnerabilidades necesarias para cumplir los objetivos, pero por otro lado tienen mucha más profundidad.
Por lo tanto, podemos ver de forma clara que los tres ejercicios son diferentes entre ellos y tienen unos objetivos diferentes. Mientras que los Análisis de Vulnerabilidades y los Test de Intrusión se basan en reducir la superficie de ataque de formas diferentes, los ejercicios de Red Team se centran en entrenar y probar la efectividad y la capacidad de respuesta del equipo de CiberSeguridad.
En A2SECURE ofrecemos estos servicios de forma independiente, adaptándonos a las necesidades de nuestros clientes y ofreciendo los servicios que más valor aportan para cada caso. Si tienes dudas sobre alguno de estos servicios o estás interesado en alguno de ellos no dudes en contactar con nosotros. 
Autor: Adan Álvarez