¿Red Team? Si, pero en igualdad de condiciones

Avatar

Al considerar el entorno en el que normalmente se desarrollan los ejercicios de Red Team que intentan emular un ataque real que pudiera realizar por ejemplo un APT (Advanced Persistent Threat), se comprueba que la situación es claramente desfavorable para el equipo que está llevando a cabo la emulación. Encontramos principalmente dos elementos que hacen muy difícil la igualdad y que son normalmente elementos limitantes en cualquier tipo de proyecto: el horizonte temporal y los recursos financieros.

El hecho de que las actividades del ejercicio de Red Team deba realizarse en un periodo concreto supone una limitación temporal que es claramente una desventaja a la hora de emular un atacante real. Simplemente el tiempo del que dispone un atacante real para identificar la organización sobre la cual quiere lanzar el ataque es mayor que cualquier horizonte temporal definido para una simulación de ataque. Añadamos a esto la capacidad financiera y recursos de los que disponen estos tipos de organizaciones/grupos y la posición del ejercicio de Red Team queda siempre en desventaja frente a la de un ataque real.

¿Como igualar fuerzas?

En un escenario ideal se deberían tomar medidas para poder competir con un adversario real y modificar el proceso normal de un ejercicio de Red Team para permitir llegar a situaciones que se parecen a la realidad que nos podemos encontrar con un atacante real. Se debe buscar una metodología eficiente y efectiva que permite asemejar el impacto de un ataque rea dentro de las posibilidades económicas y temporales del proyecto. A modo de ejemplo es un gasto de recursos inútil dedicar dos semanas de ejercicio a intentar penetrar la organización sin obtener resultados y no haber dado la oportunidad al equipo encargado del ejercicio de probar un escenario en el que se dé por supuesto que el atacante ya ha penetrado y está en disposición de ejercer un daño letal a las operaciones de la organización atacada.

Sería más razonable plantearse la pregunta a la inversa. Si sabemos que disponen de recursos para esperar su oportunidad y penetrar la organización: de qué manera vamos a dificultar al atacante que consiga su objetivo final.

¿Que alternativas tenemos?

La alternativa pasa por un cambio en el enfoque del ejercicio: identificar los activos de riesgo y hacer el análisis de vulnerabilidades recorriendo el camino a la inversa. De dentro hacia fuera. Solo así tenemos un ejercicio de Red Team que compensa las desventajas frente a los APT. Aquí está más información sobre la diferencia entre Análisis de Vulnerabilidades, Test de Intrusión y Red Team. 

Si tienes dudas sobre alguno de nuestros servicios o estás interesado en alguno de ellos no dudes en contactar con nosotros

Autor: Servando Gonzalez

Leave a Comment

Mejorar postura ciberseguridadteletrabajo