Antes de hablar de un Red Team, conviene recordar que una las mayores preocupaciones de los responsables de seguridad de las organizaciones de la sociedad moderna es un ataque dirigido –o amenaza persistente avanzada (APT, por sus siglas en inglés)–. Pero, ¿qué es y en qué consiste un ataque APT?
Dentro de los APT se engloba cualquier tipo de ataque que se dirija hacia una empresa, organización, infraestructura, estado, gobierno, estamento militar, etc., que esté conectado a Internet. Y puede dirigirse a una red interna compleja constituida por varias subredes, a una sola red o a un solo ordenador.
El ataque se produce con la intención de apoderarse de algo que tenga valor: dinero o información sensible. Y dentro de esta última se cuenta cualquier información que, secreta o no, pueda interesar al atacante, ser vendida o servir incluso para algún tipo de trueque con un tercero. A continuación, algunos ejemplos:
- Información militar estratégica que permita, a través de su conocimiento, dar ventaja a un posible rival o adversario.
- Información de la alta dirección de una empresa que facilite obtener una ventaja competitiva o adelantarse a una operación de compra o inversión.
- Datos personales que posibiliten a los atacantes realizar un ataque posterior o saber la condición económica del atacado.
- Datos del historial médico de pacientes.
- Futuros movimientos físicos de empleados de una empresa u organización.
- Diseños innovadores de bienes industriales, automóviles, aviones, barcos, etc.
- Investigaciones de medicamentos por parte de la industria farmacéutica.
- Datos de la estrategia de defensa de un acusado en un despacho de abogados.
El atacante o los grupos de atacantes pueden ser individuales, formar parte del crimen organizado, de una organización internacional o incluso de un estado y estar amparados por un gobierno o una empresa competidora interesada en nuestros movimientos en el mercado. En todos los casos, la información llegará a un destinatario que podrá utilizarla. Si no es así, será vendida a quien interese en una de las estructuras (web, foro, etc.) de la parte oculta de Internet, la darknet, a la que no podemos acceder con los buscadores convencionales. Se considera que la darknet es mucho más grande que la Internet visible y se compara con la imagen gráfica de un iceberg flotando en el mar. La parte sumergida equivale a la darknet.
La conexión entre bandas criminales en Internet es elevada y el obtentor de la información sabe perfectamente porqué y para quién realiza el ataque o a quién puede interesar la información obtenida en el caso de que encuentre una sorpresa inesperada en su ataque.
¿Cómo protegerse?
Las organizaciones que podemos ser posibles víctimas reforzamos el perímetro, pensando con buen criterio que cuantas más altas sean las almenas del castillo y más grueso su muro, más difícil le será a un atacante llegar al torreón interior donde vive la princesa. Para ponerle una guinda al pastel, simulamos ataques con el objetivo de comprobar lo fuertes que son nuestras medidas de defensa. Y para realizar estos tests de intrusión solemos contratar a organizaciones de confianza que siguen unos protocolos establecidos.
Para superarnos aún más, efectuamos correlación de logs y registros que nos generan alertas que revisamos de forma continua para establecer comportamientos maliciosos. Con esto y algunas medidas más como predicción, algoritmos de anticipación, evaluación continua de riesgos, prevención, etc., le comunicamos a la dirección de nuestra organización que ya pueden (podemos) dormir tranquilos. Estas medidas están bien y todas las organizaciones que se precien deben realizarlas, pero no son en absoluto suficientes.
Contentarse con esto sería no conocer profundamente el perfil de un hacker profesional, tenaz, paciente, imaginativo, motivado por el logro, etc., ni pensar en el mayor de los parámetros de los que dispone para obtener sus logros: el tiempo.
Red Team
Y de eso va el Red Team. Un Red Team es un organismo independiente dentro de una organización que sólo reporta a su “amo”. El propietario de la empresa, el consejero delegado, el director general o el director de medios en los casos de grandes organizaciones. El director de inteligencia, el responsable de IT, el ministro o un general si es un gobierno o el estamento militar. El director del hospital o el propietario del bufete si de médicos o abogados se tratase. No debe depender de nadie. Ni seguridad informática, ni departamento de infraestructuras, ni responsable de redes. De la independencia del Red Team depende su éxito. No debe ser arte y parte con ningún departamento de la misma organización.
Para nuestra entidad, un Red Team es un grupo independiente de ciberatacantes que reta a una organización para que pueda mejorar su efectividad
Si buscan en Internet, encontrarán algunas definiciones de Red Team. Para nosotros es un grupo independiente de ciberatacantes que reta a una organización para que pueda mejorar su efectividad, dedicado a comprometer dicha organización de la misma forma que lo haría un enemigo real y utilizando capacidades similares, es decir, sin ninguna orientación ni ayuda interna con el objetivo final de encontrar las puertas de entrada vulnerables de la organización y de mejorar su seguridad.
En definitiva, el objetivo principal de un Red Team es realizar un ataque real contra una entidad, utilizando las capacidades y los métodos que emplearía un atacante externo.
¿Cómo trabaja?
El Red Team es un grupo altamente organizado cuyos integrantes tienen una excelente capacidad que no se limita a los recursos clásicos, ya que utilizan cualquier técnica para conseguir su objetivo. En suma, lo que hace un atacante real. Táctica, paciencia y tiempo.
Un test de intrusión se dirige a un objetivo concreto con unas normas impuestas y acordadas entre la empresa contratante y la contratada, normalmente con el departamento informático o de seguridad informática. Los hackers no saben de normas ni de límites. Y si encuentran un obstáculo razonable cambiarán el lugar y modo del ataque para buscar otro camino que les conduzca a sus objetivos. Un Red Team es una réplica de los hackers: piensa y actúa como ellos. Entra, golpea y sale. Este aspecto de la salida con el botín también es importante. En un test de intrusión, la misma se limita por contrato. Nuestro razonamiento es el siguiente: está bien que el Red Team me demuestre que ha tenido acceso o que incluso vea mis intimidades, pero que no se las lleve… Como mucho, podemos exigir que cifre la información a un nivel razonable (por ejemplo, AES-256) antes de extraerla. Pero la extracción es una de las etapas más importantes de un ataque. Por eso, hacemos correlación de logs, afinamos nuestros sistemas de control de tráfico y antiataques dirigidos. Si el Red Team no se llevase el botín, nunca conoceríamos la efectividad de nuestras trampas, defensas y sistemas de alerta.
En un test de intrusión a nadie se le ocurriría seguir a uno de nuestros altos directivos por la calle, esperar a que entrara con su portátil corporativo en un Starbucks para tomarse su cafetito de la mañana y echar una ojeada al periódico utilizando la conexión wifi del local antes de dirigirse a una reunión importante en el centro de la ciudad. Sentados en otra mesa a su lado, una joven pareja se dirige miradas cómplices de jóvenes enamorados mientras simulan chatear con amigos en su ordenador y ríen para que el ambiente sea distendido. Nada que sospechar… La pareja de miembros del Red Team intenta utilizar la conexión wifi como método de entrada al portátil sabiendo que no está correctamente protegida. Y consigue entrar y dejar un troyano en el ordenador del directivo. En un momento dispondrá de su agenda, acceso a sus redes sociales y profesionales, etc., y de este modo conocerá información muy válida para poder hacerse pasar por él en un ataque dirigido o para que cuando el directivo vuelva a conectar su ordenador a la red corporativa, el Red Team pueda acceder a la organización. Este tipo de tácticas jamás las hará un test de intrusión, pero sí un hacker dispuesto a todo para conseguir su objetivo. De ahí la razón de disponer de un Red Team.
En definitiva, el objetivo principal de un Red Team es realizar un ataque real contra una entidad, utilizando las capacidades y los métodos que emplearía un atacante externo
En cuanto al líder del Red Team, al margen de si este último es externo o mixto, ha de ser de la organización contratante, ya que el Red Team va mucho más allá de un intento de intrusión y se debe asegurar la información obtenida. Dentro de la organización contratante, el líder del Red Team tiene que ser totalmente independiente de los responsables de sistemas, infraestructuras, servicios informáticos, seguridad informática… Y sólo reportar a la alta dirección. Asimismo, es muy importante su lealtad al Red Team y la de este equipo a la organización.
Si el Red Team es mixto, con gente de la organización y ajena a ella, la parte subcontratada se puede ampliar y de esta forma se acrecentarán también el talento y la innovación en los ataques.
La única actividad del Red Team tiene que ser atacar y lograr sus objetivos. Esto debe ocupar un 90% de su tiempo. El restante ha de dedicarlo a informar de sus resultados y trabajar con el equipo defensor de la organización, el Blue Team, para mostrarle las pruebas con el fin de que la entidad contratante pueda actuar en consecuencia, tapar agujeros, imaginar cómo parar un ataque y seguir trabajando en el sistema.
Está bien que se mezclen ambos teams, pero no demasiado… Sólo un rato; y después, cada uno a lo suyo. El trabajo de los dos equipos es lo que nos ayuda a subir el listón y a reforzar día a día, de forma dinámica y con paciencia, la seguridad de nuestra organización.