Intenciones de un Equipo Rojo

  • Posted on: 26 June 2020
  • By: ReYDeS

La intención de un Equipo Rojo es simular ataques contra una organización, para evaluar los sistemas de información y sus instalaciones relacionadas. Es una generalización muy amplia, y el termino “ataque” es muchas veces inapropiadamente agresivo con relación al comportamiento de los Equipos Rojos y actores maliciosos los cuales imitan. En muchos casos el propósito de un actor malicioso es ganar inteligencia o robar información. Tales metas se ven afectadas negativamente por las acciones de ataques agresivos, pues el actor en estos escenarios es probable intente pasar desapercibido tanto como sea posible. La emulación del adversario es quizás la más adecuada y precisa descripción de la actividad de los Equipos Rojos. La intención de esta emulación es mejorar la comprensión de las capacidades e insuficiencias en la defensa, detección, y respuesta con respecto a los actores de amenaza.

La emulación de adversarios por Equipos Rojos viene en diversas formas, y pueden ser clasificada ampliamente como un intento de compromiso holístico, un intento de compromiso específico, o un compromiso asumido. Un intento de compromiso holístico es aquel donde el Equipo Rojo va completamente a la superficie de ataque de la organización en evaluación, con la propósito de comprometerla tanto como sea posible. Intentos de compromiso específico son aquellos en el cual un cierto subconjunto de la superficie de ataque es priorizado para la evaluación, y el resto de la organización queda fuera de los limites. El compromiso asumido es una evaluación de Equipo Rojo el cual inicia con un acceso otorgado hacia los evaluadores, asumiendo la infiltración exitosa de un actor. Cada una de estas clases de evaluaciones de Equipo Rojo tienen sus propios retos, complejidades y subclases, además cada uno son apropiados en diferentes escenarios.

Un compromiso holístico puede ser considerado como la forma más verdadera en los referente a la emulación de un adversario, pues la meta es el compromiso completo, y el punto de origen para los evaluadores es probablemente Internet. En esta situación la organización obtiene una simulación más realista para evaluar las defensas contra la detección y respuesta. Sin embargo este tipo de evaluaciones es también la menos eficiente, y es probable proporcione resultados incompletos. Si la evaluación no es capaz de comprometer una porción definida de la organización; debido a los límites de tiempo o deficiencias de capacidades; los resultados de la evaluación pueden ofrecer una falsa sensación de seguridad.

Los intentos de compromiso holístico pueden también ser considerados en muchas subclases. Aunque la totalidad de la organización es aquello a evaluar, frecuentemente las avenidas para la entrega de ataque se especifican. Un ataque holístico completo por ejemplo, es aquel donde cualquier avenida es considerada como apropiada. Estas avenidas pueden ser conexiones de Internet, intentos físicos de irrumpir dentro de las instalaciones para permitir ciber ataques, interceptar la cadena de suministros, o interceptar las rutas de comunicación, como redes cableadas o inalámbricas, utilizadas por la organización. La mayoría de veces un ataque holísico de Equipo Rojo es realizado sobre un subconjunto de una o más avenidas. La evaluación de compromiso holístico más común de un Equipo Rojo, es probable apunte hacia la organización completa, utilizando solo la perspectiva de avenidas conectadas a Internet.

Las evaluaciones de compromiso específico ofrecen algo más eficiente y personal para una organización. Estos no proporcionan el gran cuadro potencial de la postura de seguridad, lo cual se puede lograr a través de un compromiso holístico. Sin embargo el compromiso específico es probable conduzca hacia un descubrimiento exitoso, y por lo tanto mitigación de las vulnerabilidades presentes en un subconjunto de la organización. Siempre y cuando este subconjunto esta compuesto de activos priorizados adecuadamente, puede ser una manera extremadamente eficiente y efectiva de realizar una evaluación de Equipo Rojo.

Diferentes tipos de objetivos delinean las diversas subclases de evaluaciones de compromiso específico. Un compromiso específico puede ser tan limitado como una aplicación específica ejecutándose en un dispositivo específico, con un nivel de usuario específico. Este tipo de pruebas es común en implementación nuevas e importantes de software de aplicación dentro de la organización. La superficie de ataque aunque pequeña, contiene potencialmente algunos de los grandes riesgos enfrentados por una organización. Un compromiso específico puede también ser un conjunto priorizado de usuarios, sistemas, o aplicaciones dentro de la organización. Los objetos y tipos de seguridad específicos (o combinación) sobre los cuales se enfoca la evaluación conducen el proceso de la misma.

Las evaluaciones de compromiso asumido son aquellos los cuales se inclinan a ser más eficientes, mientras proporcionan un cuadro potencialmente menos realista de un adversario. Cuando se analiza y se le da un alcance correcto, este tipo de evaluaciones de Equipo Rojo proporciona el mejor costo beneficio para la mejora de la postura de seguridad.

El compromiso asumido puede dividirse en dos tipos de acceso desde el cual empieza la evaluación y su localización dentro de una organización. Si los intentos de compromiso holístico o específico intentan aprovecharse de una campaña de correo electrónico para propagar malware contra una organización, asumido la evaluación de compromiso simplemente se empieza la evaluación desde el tipo de acceso la cual dicha campaña permitiría si fuera exitosa. En este escenario, las evaluaciones de compromiso asumido ahorran potencialmente semanas de tiempo de espera, para un usuario abra malware en un correo electrónico, y evada los riesgos legales y éticos de tales operaciones. Si el acceso definido en las evaluaciones de compromiso específico es un acceso definido de usuario, o una máquina completa hacia una organización, esto sacrifica algo de realismo en pos de la eficiencia.

El entrenamiento de empleados con relación a correos electrónicos maliciosos, puede no ser evaluada en un compromiso asumido. Sin embargo operar bajo la suposición de alguien será engañado, eventualmente permite pase el tiempo descubriendo vulnerabilidades más peligrosas y mitigables, comparado con las vulnerabilidades siempre presente del error humano.

Fuentes:

https://en.wikipedia.org/wiki/Red_team
https://blog.rapid7.com/2016/06/23/penetration-testing-vs-red-teaming-th...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1