Los equipos rojos (Red Teams) actualmente son noticia, pero muchas organizaciones tienen dudas sobre qué hacen exactamente y cómo pueden trabajar con sus propios grupos de seguridad. Esta guía explica qué es un equipo rojo, por qué es necesario, cómo opera, cómo trabajar con equipos externos e internos, y mucho más. Un equipo rojo es un grupo de personas altamente calificadas que emulan los métodos de ataque que utilizaría un atacante real. A veces llamados «hackers éticos», ellos ayudan a mejorar la ciberseguridad de las organizaciones revelando deficiencias en las defensas de ciberseguridad y cómo podría explotarlas un atacante real. El objetivo de un ejercicio de ‘Red Teaming’ (simulación de un ataque en la vida real), según el NIST, es «mejorar la ciberseguridad de la empresa demostrando los impactos de ataques exitosos”. El equipo rojo puede proporcionar confianza a la dirección en su postura de seguridad gracias a los resultados obtenidos en el contexto del panorama actual de las ciber amenazas. El equipo rojo generalmente trabaja en conjunto con un equipo azul (Blue Team) interno -los defensores- quienes son responsables de mantener la postura de seguridad de la organización.
El equipo rojo lleva a cabo tareas de reconocimiento, se infiltra en las redes e intenta acceder a activos empresariales valiosos, proporcionando deducciones relevantes para que el equipo azul pueda ayudar a la organización a estar preparada para el próximo ataque. El equipo rojo es astuto, pues imita el enfoque de los hackers sofisticados, pero al mismo tiempo debe seguir siendo ético y profesional. Esto requiere de un equipo experimentado y profesional que conozca a fondo las tácticas, técnicas y procedimientos (TTP) de los atacantes, así como las herramientas y marcos que utilizan.
Los ejercicios de los equipos rojos generalmente tienen lugar una o dos veces al año. Sin embargo, cuando se produce un ataque importante, tiene sentido realizar una evaluación por parte del equipo rojo que se centre en ese ataque específico (por ejemplo, un ataque de ‘ransomware’ [ciber secuestro de datos] que afecte a otras organizaciones del mismo sector). Esto puede revelar deficiencias que la organización debe atender si quiere responder adecuadamente. Muchas organizaciones tienen su propio equipo rojo interno, el cual lleva a cabo ejercicios periódicos de ‘Red Teaming’. Aun así, la mayoría de las empresas querrán mejorarlo con equipos externos. Los equipos internos pueden verse indebidamente influenciados por la organización y la política de la compañía, o pueden concentrarse en métodos específicos excluyendo otros que podrían suponer una amenaza mayor. El mejor modo de proceder es utilizar equipos rojos tanto internos como externos. Esto ofrece flexibilidad para incorporar nuevas perspectivas y hacer frente rápidamente a las amenazas emergentes, teniendo en cuenta que se tarda una media de 277 días para descubrir y contener una brecha.
Pasos para una estrategia eficaz del equipo rojo:
La intervención de un equipo rojo no es una tarea rápida. Implica varios pasos y algunos de ellos pueden ser largos. Éstos incluyen:
1) Determinar el alcance de la intervención
2) Recopilar información general
3) Investigación y reconocimiento
4) Desarrollar el plan de trabajo
5) Ejecutar el plan, descubriendo debilidades y deficiencias que no se han detectado
6) Documentar y comunicar los hallazgos
Descarga el documento completo aquí:
