Get best of the week

5 mitos sobre Red Teaming



El término Red Teaming ha sido escuchado por todos los que están involucrados en la seguridad de la información directa o indirectamente. Pero no todos entienden completamente qué es: ¿por qué necesitamos una evaluación de la efectividad del equipo de respuesta a incidentes? ¿Cuál es esta forma de entrenamiento para el equipo defensor? A menudo, Red Teaming se entrega para pruebas de penetración integrales: proporcionan pruebas de penetración clásicas, aunque avanzadas, a un precio varias veces mayor. Algunas grandes empresas están buscando sus propios especialistas en Red Teaming y, muy probablemente, tampoco entienden completamente qué tareas resolverán con su ayuda. ¿Qué es Red Teaming como servicio y qué no es Red Teaming? Sobre esto a continuación.

Referencia de la historia


Como muchas otras cosas en nuestra vida diaria (cinta adhesiva, microondas, productos enlatados, etc.), el término Red Teaming proviene del complejo militar-industrial. Durante la Guerra de Vietnam, los pilotos militares estadounidenses practicaron habilidades de combate aéreo y aprendieron sus propios errores, aumentando así su nivel de habilidad sin pérdida real de pilotos y aviones. Pero el nombre "equipo rojo", muy probablemente, apareció durante la confrontación con la Unión Soviética. Históricamente, el ataque "rojo" y la defensa "azul".


A los guardias en Budapest también les gustó este término;)

¿Qué es Red Teaming?


Mito # 1. Red Teaming es una prueba integral de penetración o auditoría.


Existen tres tipos principales de trabajo para verificar el nivel de seguridad de una empresa.

  1. (Vulnerability Assessment) – , . , . .
  2. (Penetrating Test) – ( ) -. . . , (, ) (, ).
  3. Red Teaming – , , . Red Teaming – . ( , ). IOC ( , , .), . , .

Red Teaming – , (TTP) , , .
Simular las acciones de los atacantes por parte de un equipo de atacantes entrena el automatismo de la respuesta a incidentes y brinda a los defensores una conciencia situacional de las herramientas y tácticas de los atacantes.

Red Teaming se centra en operaciones de seguridad integradas que incluyen personas, procesos y tecnologías. Red Teaming se enfoca directamente en entrenar al equipo defensivo y evaluar cómo el servicio de seguridad puede contrarrestar las acciones reales del adversario. Las fallas técnicas y las vulnerabilidades en este caso son secundarias; la pregunta clave es: cómo con su ayuda el intruso puede influir en las actividades de la organización.

En el corazón de Red Teaming está el escenario del enemigo. Los escenarios distinguen a Red Teaming de las pruebas de penetración, y también determinan el progreso del proyecto. Los escenarios le permiten simular las acciones de un adversario específico (un grupo APT específico) o simular las acciones de un presunto atacante.

Red Teaming utiliza métodos y técnicas de seguridad ofensivos, pero por su naturaleza es parte de la seguridad defensiva y parte de SOC, por lo tanto, no puede existir sin el Equipo Azul.

Un equipo atacante es un grupo independiente de profesionales que observa la seguridad de una organización desde la posición de un adversario. El equipo encuentra formas alternativas de lograr sus objetivos y desafía a los defensores de la organización a probar su preparación para amenazas reales. La independencia ayuda a los atacantes a evaluar de forma precisa e imparcial los niveles de seguridad, al tiempo que evita muchos sesgos.

Mito número 2. Una organización puede tener su propio equipo rojo interno


Para mantener la independencia, el equipo atacante debe ser externo. Y la falta de conocimiento sobre el sistema atacado y su protección (a excepción de la información que se obtuvo en una etapa temprana del proyecto) permitirá una mejor preparación y desarrollo de la estrategia correcta de implementación del proyecto. El equipo rojo interno solo puede tener una forma limitada, y es mejor llamarlo el término "equipo púrpura" (una mezcla de colores rojo y azul) o Caza de amenazas. Este es un grupo de especialistas dentro de la compañía que puede llevar a cabo varios ataques a la infraestructura y al mismo tiempo establecer controles para detectar tales ataques. Pero el grupo externo debe evaluar la efectividad.

Metas


Como cualquier actividad, Red Teaming tiene un propósito. Los objetivos de los atacantes pueden ser diferentes (lo principal es que no violan la ley ni los secretos comerciales), por ejemplo:

  • ;
  • ;
  • ;
  • ;
  • (DLP);
  • ;
  • .

№ 3. Red Teaming – ,


No hay ganadores ni perdedores en Red Teaming. Los atacantes no tienen el objetivo de capturar silenciosamente el servidor o la red de la organización. En la etapa inicial, el equipo atacante operará en silencio, pero tan pronto como se acerque al objetivo "a la distancia de un brazo", comenzará a "hacer ruido" para atraer la atención de los defensores. Si detectan y bloquean a los atacantes en una etapa temprana, no podrán descubrir cómo puede continuar el enemigo. Pero si no hay ganadores y perdedores, ¿cómo determinar el éxito?

Éxito


El éxito de Red Teaming no está determinado por qué tan bien el equipo atacante capture la red. El proyecto Red Teaming tiene éxito cuando el equipo atacante cumple sus objetivos y el equipo de defensa puede aprender y mejorar el nivel de seguridad de la organización.

El éxito también se puede determinar respondiendo las siguientes preguntas:

  • ¿Cuánto tiempo detecta el equipo de defensa a los atacantes?
  • ¿Las herramientas disponibles detectan atacantes?
  • ¿El equipo de defensa sigue su TTP cuando las acciones del equipo atacante generan una alarma?
  • ¿Puede el equipo de defensa detectar canales de comunicación con el centro de comando de ataque (C2)?
  • ¿Pueden los defensores compilar un perfil de atacante basado en indicadores de compromiso (IOC) en la red y los hosts?

Gotcha!


¿Cómo determinar que el proyecto Red Teaming está en la etapa de finalización (y es hora de escribir un informe)? Este ítem es discutido y aprobado al inicio. En general, hay varias opciones:

  • . . , Red Teaming , , . , .
  • . «» , «», .
  • El equipo defensor descubrió las acciones del equipo atacante. Hay una trampa aquí. Si el equipo defensor en una etapa temprana detectó un ataque, por ejemplo, un ataque de phishing o la instalación de un canal de comunicación con el centro de comando (C2), y gritó "¡sí, nos metimos en él!", Reaccionó correctamente: el objetivo se logró. En este caso, vale la pena discutir de antemano la posibilidad de que los defensores observen las acciones adicionales de los atacantes. Aquí ya puede monitorear hasta cierto punto y, por lo tanto, verificar qué controles de seguridad se activan y cuáles no y requieren configuraciones adicionales. Los defensores en cualquier momento podrán desconectar los canales de comunicación y decir "¡atrapado!", Pero antes de eso tendrán tiempo para familiarizarse con las nuevas técnicas.

Beneficio


¿Cuáles son los beneficios clave de Red Teaming? La capacidad de cambiar el ángulo de visión de la seguridad de la información en la empresa:

  • ver el estado real de seguridad y los puntos débiles (antes de que alguien especialmente "dotado" lo haga desde afuera);
  • identificar brechas en procesos, procedimientos y técnicas (y eliminar, por supuesto);
  • averiguar si el servicio de SI está haciendo bien su trabajo, sin las consecuencias de un incidente real;
  • comprender mejor las tácticas, métodos, procedimientos del enemigo y gastar el presupuesto en seguridad de la información de manera más eficiente;
  • crear conciencia entre el personal de IS, los gerentes y el personal.

Si el proyecto Red Teaming no mejora el nivel de seguridad, entonces no tiene sentido llevarlo a cabo.

Mito # 4. Solo las organizaciones de seguridad maduras pueden necesitar Red Teaming.


Red Teaming puede ser utilizada por organizaciones con cualquier nivel de madurez de seguridad de la información. Un requisito previo es un equipo de defensores y procesos para responder a incidentes y amenazas.

Red and Teaming ayudará a las organizaciones con nivel de entrada y de madurez media a evaluar su capacidad para enfrentar a un adversario experimentado: comprender qué forma de crecer, qué controles de seguridad implementar. Y también desarrollar automatismos para la respuesta correcta a incidentes.

Para una organización con un nivel de seguridad maduro, esto será la capacitación y el desarrollo de sus habilidades. Pero además de esto, podrán ver nuevas técnicas y tácticas que aún no han encontrado.

Estructura organizativa


Los siguientes equipos participan en el proyecto:

  • Equipo Rojo ( Equipo Rojo) - atacando. Especialistas que simulan ataques a una organización.
  • (Blue Team) – . , .
  • (White Team) – . , CISO. , : , , . . , , ( ) (IOC), . , «» . , Red Team, , Blue Team. .

A menudo, el Equipo Blanco se confunde con el Equipo Púrpura.

Mito número 5. El costo muy alto del proyecto Red Teaming


Quizás el tema más importante que interesa a cualquier cliente es el precio. El alto costo de Red Teaming es una estratagema de marketing. Un nombre incomprensible, una nueva tendencia en la industria de la seguridad de la información: todo esto a menudo conduce a una inflación irrazonable del precio de un servicio.

El costo de Red Teaming se calcula en función de la duración del proyecto, que a su vez depende del escenario elegido. Cuanto más complejo es el guión, más trabajo tiene.
La duración del proyecto Red Teaming se debe al hecho de que el equipo atacante debe actuar de forma encubierta para no revelarse antes de tiempo. La duración promedio del proyecto es de aproximadamente 12 semanas. A modo de comparación: las pruebas de penetración integrales, que incluyen el perímetro externo, la infraestructura interna, la ingeniería social y el análisis de redes inalámbricas, duran un promedio de 7 semanas (se puede completar más rápido si el contratista realiza las etapas en paralelo).

Incluso antes del comienzo de la parte principal, el equipo atacante lleva a cabo el reconocimiento pasivo y la recopilación de datos, prepara la infraestructura y finaliza o desarrolla sus propias herramientas de acuerdo con la información recibida. Y al final del proyecto, se organiza una consulta adicional de los empleados del cliente. Todos estos costos laborales se tienen en cuenta en el costo total.

Se deduce lógicamente que el precio de Red Teaming será más alto que las pruebas integrales de penetración. Pero al mismo tiempo, por supuesto, no excederá su costo diez veces.

Finalización del trabajo


El informe es una forma de prueba de trabajo. Sin embargo, su valor principal es que puede (y debe) analizarse y utilizarse para mejorar la seguridad en la empresa. Por lo tanto, su calidad es extremadamente importante.

El informe Red Teaming puede ser bastante diferente de las pruebas de penetración y los informes de análisis de seguridad. Dado que el trabajo se centra principalmente en el guión, el informe se basa en un historial de acciones.

El informe contendrá la siguiente información:

  • Conclusión de alto nivel sobre el estado de seguridad y la disposición de los defensores para enfrentar amenazas reales
  • ,
  • . , (IOC)
  • ,
  • ,
  • .

Al final del proyecto, son posibles varias reuniones con representantes de ambas partes. Una es guiar a la organización, con un enfoque en la imagen general del proyecto. Los resultados de Red Teaming pueden afectar el trabajo futuro de la organización: requieren fondos para eliminar las deficiencias encontradas o cambiar la tabla de personal. Si los resultados de Red Teaming se utilizarán para mejorar la seguridad de la organización (de lo contrario, dicho trabajo no tiene sentido), entonces la conciencia e interés de la administración es muy importante.

Otra reunión es técnica. Este es un intercambio de información bidireccional entre atacantes, defensores y el coordinador del proyecto del lado del cliente. Incluye una revisión detallada de alta tecnología de las acciones del equipo atacante y defensivo tomadas durante el proyecto. Permite a ambas partes hacer preguntas en el contexto de ataques implementados y responder a ellas, recibir recomendaciones de mejora e ideas para nuevas metodologías. Esto permite mejorar la capacidad de los defensores y los equipos atacantes. Tales reuniones son parte del proyecto y sus beneficios pueden ser invaluables.

Conclusión


El tema de Red Teaming es muy extenso y no se puede considerar completamente en un artículo. Sin embargo, de lo anterior, podemos sacar algunas conclusiones cortas básicas:

  • Los principales beneficios de Red Teaming son la capacitación y el intercambio de conocimientos.
  • Red Teaming
  • Red Teaming – ( )
  • Red Teaming – , , , .

: , , «-»

More articles:


All Articles