Pruebas de penetración vs equipo rojo (Red Team): aclarando la confusión

Si bien es posible que la industria no llegue a un consenso sobre la terminología de las pruebas de seguridad comunes en el corto plazo, al menos podemos definir cómo usar estos términos, especialmente cuando se trata de realizar simulación de adversarios, pruebas de penetración y ejercicios de trabajo en equipo rojo.

Una forma común de describir la relación entre las pruebas de penetración de red y el equipo rojo es pensar en las pruebas de penetración de red como un boxeador golpeando un saco de boxeo, mientras que el equipo rojo es más parecido a un boxeador que trabaja con un compañero de combate que contraatacará.

Pruebas de penetración versus equipo rojo. A menudo escuchamos que se usan indistintamente, pero en realidad son dos cosas distintas. Entonces, ¿cuál es exactamente la diferencia entre los términos prueba de pluma versus equipo rojo?

En este artículo explicaremos, con el objetivo de ayudarte a aprender más sobre cuál podría ser el mejor para tu organización, las diferencias y similitudes entre Pruebas de penetración y Red Team.

Red Teaming Vesus Pen Testing

El término y la idea de la formación de equipos rojos se hizo popular en las comunidades militares y de inteligencia a principios de la década de 2000 y, más recientemente, ganó terreno en el mundo de la ciberseguridad.

Parte de la confusión entre la prueba de la pluma y el equipo rojo se debe a que las personas a menudo usan la palabra «rojo» o el término «equipo rojo» para describir a cualquiera que ejecute pruebas de seguridad ofensivas, y «azul» o «equipo azul» para describir a cualquiera que esté trabajando en el lado defensivo. Por lo tanto, la actividad «roja» podría verse como cualquier tipo de prueba de seguridad ofensiva.

Entonces, ¿qué es la formación de equipos rojos en el contexto de la ciberseguridad y en qué se diferencia de otros tipos de pruebas proporcionadas por especialistas en seguridad ofensivos?

Pruebas de penetración

Al ver tu red, aplicación, dispositivo y / o seguridad física a través de los ojos de un mal actor, las pruebas de penetración descubren las vulnerabilidades de ciberseguridad de una organización.

Un probador de penetración experimentado puede identificar:

  • ¿Dónde podría atacarte un hacker?
  • Cómo atacarían
  • Cómo les iría a tus defensas
  • La posible magnitud de la brecha

Las pruebas de penetración buscan identificar fallos en la capa de aplicación, fallos a nivel de red y sistema, y ​​oportunidades para comprometer las barreras de seguridad física también.

Si bien las pruebas automatizadas pueden identificar algunos problemas de ciberseguridad, las pruebas de penetración verdaderas también consideran manualmente la vulnerabilidad de la empresa a los ataques.

En el complejo panorama de la ciberseguridad, las pruebas de penetración se han convertido en una necesidad para la mayoría de las industrias. En muchos, de hecho, es requerido por ley.

Por ejemplo:

  • Las organizaciones de salud garantizan la seguridad de los datos de atención médica
  • Las instituciones financieras prueban el cumplimiento de la normativa
  • Las empresas que aceptan o procesan tarjetas de pago deben cumplir con los estándares de la industria de tarjetas de pago
  • Las entidades de infraestructura crítica deben seguir las pautas establecidas

Incluso las empresas que podrían pensar que no tienen información valiosa para proteger podrían estar en riesgo de que alguien intente apoderarse de la red, instalar malware, interrumpir los servicios y más. Con tantos actores malos por ahí, las pruebas de penetración se mantienen al día con la tecnología en evolución.

Después de todo, tu equipo de TI desarrolla, mantiene y monitoriza tu programa de seguridad a diario. Sin embargo, no importa lo  bien que hagan el trabajo, podrían beneficiarse de la perspectiva de un extraño a través de pruebas de terceros.

Red Team

Las pruebas de penetración se proponen encontrar tantas vulnerabilidades y problemas de configuración como sea posible, explotarlos y determinar los niveles de riesgo.

Una forma entretenida de verlo es que los pen testing son piratas, listos para alborotar y saquear donde y cuando puedan. En esta analogía, los teamers rojos serían más como ninjas, planeando sigilosamente ataques multifacéticos, controlados y enfocados.

Las operaciones del equipo rojo tienen objetivos reducidos y un enfoque simultáneo. A menudo involucran a más personas, recursos y tiempo a medida que profundizan para comprender completamente el nivel realista de riesgo y vulnerabilidades contra los activos tecnológicos, humanos y físicos de una organización.

El trabajo en equipo rojo generalmente es empleado por organizaciones con posturas de seguridad más maduras o sofisticadas. Después de haber realizado pruebas de penetración y parcheado la mayoría de las vulnerabilidades, ahora están buscando a alguien que ingrese e intente nuevamente acceder a información confidencial o violar las defensas, de cualquier manera que pueda, desde muchos ángulos diferentes.

Esto abre la puerta a un equipo de expertos en seguridad, centrado en un objetivo particular, aprovechando las vulnerabilidades internas mediante el uso de enfoques de ingeniería social física y electrónica en las personas de la organización, y explotando las debilidades físicas para obtener acceso a las instalaciones.

Los equipos rojos se toman su tiempo, queriendo evitar la detección (tal como lo haría el cibercriminal). Estos consultores de seguridad están altamente capacitados para:

  • Identificar vulnerabilidades físicas, de hardware, de software y humanas.
  • Obtener una comprensión más realista del riesgo para la organización
  • Ayudar a solucionar y corregir todas las debilidades de seguridad identificadas.

Similitudes

Entre esos tipos de evaluación, el equipo pentest y el rojo existen varias similitudes:

  • Ambos son tipos de evaluación de seguridad, lo que significa que su objetivo es mejorar la seguridad de una organización.
  • Los dos se basan en comportarse, hasta cierto punto, como un atacante.
  • Ambos se centran en los resultados en lugar de la cobertura, por lo que no están diseñados para decir todo lo malo de una empresa, sino para mostrar los problemas específicos que descubrieron.
  • Los dos deben ser utilizados por clientes de mayor madurez, es decir, clientes que ya han pasado por múltiples rondas de evaluación de vulnerabilidades y parches.

Diferencias

Los compromisos del Equipo Rojo y las Pruebas de penetración tienen mucho en común, pero también son bastante distintos entre sí.

  • Prueba de penetración: una evaluación técnica en un período de tiempo diseñado para lograr un objetivo específico, por ejemplo, robar datos de clientes, obtener un administrador de dominio o modificar información salarial confidencial.
  • Compromiso del equipo rojo: una evaluación a largo plazo o continua basada en la campaña que emula a los adversarios del mundo real del objetivo para mejorar la calidad de las defensas de seguridad de la información corporativa, que, si existe, sería el equipo azul de la compañía.

Las principales distinciones entre Penetration Test y Red Team son:

  • Duración: los compromisos del Equipo Rojo deben ser campañas que duran semanas, meses o años. El equipo azul y los usuarios del objetivo siempre deben estar en un estado de incertidumbre sobre si un comportamiento extraño dado es el resultado del Equipo Rojo o de un adversario real. No se obtiene eso con una evaluación de una o dos semanas.
  • Multi-dominio: mientras que las pruebas de penetración pueden cruzarse en múltiples dominios, por ejemplo, físico, social, de red, aplicación, etc., un buen equipo rojo casi siempre lo hace.
  • Emulación Adversaria: El elemento que separa una Prueba de Penetración aleatoria de un compromiso del Equipo Rojo Real es que las Pruebas de Penetración generalmente implican arrojar herramientas y técnicas comunes a un objetivo, mientras que un Equipo Rojo debería golpear a la organización con ataques que son muy similares a lo que ellos hacen. Eso incluye innovación constante en términos de herramientas, técnicas y procedimientos.

Entrenamiento de un maestro rojo

Las evaluaciones del equipo rojo comienzan con el reconocimiento para recopilar tanta información como sea posible sobre el objetivo para aprender sobre las personas, la tecnología y el entorno para construir y adquirir las herramientas adecuadas para el compromiso.

Al utilizar la recopilación de inteligencia de código abierto, los equipos de Red pueden obtener una comprensión más profunda de la infraestructura, las instalaciones y los empleados para comprender mejor el objetivo y sus operaciones.

Esto permite además el uso de armas como la creación de cargas de archivos maliciosos personalizados, la preparación de clonadores RFID, la configuración de troyanos de hardware o la creación de personas / empresas falsificadas.

Como parte de la ejecución, los Teamers rojos llevarán a cabo acciones en el objetivo, como la ingeniería social cara a cara o la siembra de troyanos de hardware, al tiempo que observarán las oportunidades de explotación.

La siguiente etapa es explotar esas debilidades y comprometer los servidores / aplicaciones / redes o evitar los controles físicos para prepararse para la escalada.

En la fase de instalación, los equipos rojos establecen una cabeza de playa aprovechando el paso de explotación. Quizás con servidores comprometidos o instalación de carga útil de archivos maliciosos, o utilizando impresiones de claves físicas y cerrando puertas, la operación busca ganar comando y control.

Una vez que el acceso remoto a los sistemas explotados es estable y confiable, se prepara el escenario para las acciones reales sobre el objetivo, como la filtración de datos críticos, información o activos físicos.

Lo bueno es que cuando esto sucede como parte de una evaluación del Equipo Rojo, la organización también obtiene la información necesaria del informe adjunto y el apoyo de expertos en seguridad para arreglar, remediar, capacitar y cualquier otra cosa que necesite para garantizar la seguridad.

Necesidad de estandarización

La industria de pruebas de seguridad de TI es relativamente nueva en comparación con otras profesiones, y con ese nuevo dominio vienen algunos dolores de crecimiento en la búsqueda de estandarizar diferentes enfoques.

Observa la importancia de la palabra «solicitud». Ese componente es una pieza del rompecabezas de pruebas de seguridad que a menudo se pasa por alto.

Si las empresas no están facultadas para comprender adecuadamente los diferentes tipos de pruebas de seguridad, definir sus requisitos y solicitar pruebas de seguridad utilizando la terminología estándar, no pueden hacer una comparación de proveedores de manzanas con manzanas y, lo que es más importante, pueden seguir viendo una gran variación en la calidad de las pruebas recibidas, el resultado final y lo que pueden hacer con los resultados a largo plazo.

La industria misma a menudo usa terminología conflictiva, exacerbando el problema. Por cada tienda de pruebas boutique altamente calificada o empresa de pruebas madura, hay muchos proveedores de pruebas no calificados, posiblemente en parte debido a la inmadurez y la falta de estandarización en la industria en su conjunto.

Para ayudar a abordar los desafíos en el lado de las adquisiciones, se ha creado una guía de adquisiciones para ayudar a educar a los clientes sobre cómo solicitar el tipo apropiado de prueba y cómo comparar proveedores de pruebas de manera clara y concisa.

Puede darse el caso de que la propia industria de seguridad solo pueda alinearse con una definición / entrega común de ejercicios de equipo rojo después de la adopción de pautas claras.

Cómo elegir la prueba correcta para tus necesidades

Las pruebas de seguridad de la aplicación y las pruebas de penetración de la red son una buena opción para los controles puntuales.

Por ejemplo, supongamos que has lanzado una nueva solución y, como parte de su ciclo de vida de desarrollo de software, deseas asegurarte de que la aplicación se haya codificado correctamente y que el servidor web subyacente y la DMZ asociada se hayan fortalecido y configurado según las mejores prácticas.

Alternativamente, es posible que desees saber lo difícil que sería para un atacante comprometer el ordenador de un usuario a través del phishing y usar ese acceso para escalar sus privilegios en la red, moverse lateralmente, acceder a un intercambio de archivos confidenciales u obtener control sobre el entorno y comprometer la cuenta de un usuario privilegiado.

Este tipo de pruebas de penetración es extremadamente importante. Ayuda a las organizaciones a verificar las rutas comunes que utilizan los atacantes para comprometer las aplicaciones o la red subyacente. Las pruebas de penetración son rápidas, demoran de 1 a 3 semanas en promedio en completarse.

Los ejercicios de ajuste de equipo son una excelente manera de cerrar la brecha entre las pruebas de penetración y los compromisos de equipo rojo más adversos y centrados en la táctica. Estos ejercicios ayudan a los equipos de seguridad a comprender mejor la cobertura de su pila de seguridad, educar al equipo azul sobre técnicas comunes y preparar al equipo antes de los compromisos manuales del equipo rojo.

El equipo púrpura es el más adecuado para probar escenarios de mesa centrados en un subconjunto específico de técnicas, pero no puede replicar las acciones menos predecibles y el alcance más amplio de un adversario avanzado durante un ejercicio de equipo rojo.

El ajuste de control puede ser una excelente manera de obtener rápidamente una comprensión básica de las capacidades de detección de su pila de seguridad. Una desventaja del ajuste de control es que los marcos automatizados a menudo no tienen en cuenta las variaciones en las técnicas comunes que los atacantes pueden usar en función de sus propios libros de jugadas o TTP únicos, ni reflejan la realidad de un atacante que apunta a objetivos específicos del negocio.

Ahí es donde entran en juego los compromisos del equipo rojo. Su objetivo es emular los TTP de un adversario avanzado para comprometer a una organización con una pila de seguridad bien diseñada, evadir un equipo maduro de caza de amenazas y lograr objetivos específicos de casos de negocios en el transcurso de 1 a 3 meses.

Los compromisos de equipo rojo se centran en comprender la capacidad de una organización para protegerse, detectar y responder a un ataque avanzado.

Las pruebas de penetración, la formación de equipos rojos y el ajuste de equipos / control morados juegan papeles importantes en el programa general de pruebas de seguridad de una organización. La clave es saber en qué parte de su estrategia general usarlos.