Segurilatam 004

Primer cuatrimestre 2017 51 artículo técnico Ciberseguridad cuantas más altas sean las almenas del castillo y más grueso su muro, más difí- cil le será a un atacante llegar al torreón interior donde vive la princesa. Para po- nerle una guinda al pastel, simulamos ataques con el objetivo de comprobar lo fuertes que son nuestras medidas de defensa. Y para realizar estos tests de in- trusión solemos contratar a organiza- ciones de confianza que siguen unos protocolos establecidos. Para superarnos aún más, efectua- mos correlación de logs y registros que nos generan alertas que revisamos de forma continua para establecer com- portamientos maliciosos. Con esto y al- gunas medidas más como predicción, algoritmos de anticipación, evaluación continua de riesgos, prevención, etc., le comunicamos a la dirección de nuestra organización que ya pueden (podemos) dormir tranquilos. Estas medidas están bien y todas las organizaciones que se precien deben realizarlas, pero no son en absoluto suficientes. Contentarse con esto sería no con- ocer profundamente el perfil de un ha- cker profesional, tenaz, paciente, imag- inativo, motivado por el logro, etc., ni pensar en el mayor de los parámetros de los que dispone para obtener sus lo- gros: el tiempo. Red Team Y de eso va el Red Team. Un Red Team es un organismo independiente dentro de una organización que sólo reporta a su “amo”. El propietario de la empresa, el consejero delegado, el director general o el director de medios en los casos de grandes organizaciones. El director de inteligencia, el responsable de IT, el mi- nistro o un general si es un gobierno o el estamento militar. El director del hospital o el propietario del bufete si de médicos o abogados se tratase. No debe depen- der de nadie. Ni seguridad informática, ni departamento de infraestructuras, ni res- ponsable de redes. De la independen- cia del Red Team depende su éxito. No debe ser arte y parte con ningún depar- tamento de la misma organización. Si buscan en Internet, encontrarán al- gunas definiciones de Red Team. Para nosotros es un grupo independiente de ciberatacantes que reta a una organi- zación para que pueda mejorar su efec- tividad, dedicado a comprometer dicha organización de la misma forma que lo haría un enemigo real y utilizando ca- pacidades similares, es decir, sin nin- guna orientación ni ayuda interna con el objetivo final de encontrar las puer- tas de entrada vulnerables de la organi- zación y de mejorar su seguridad. En definitiva, el objetivo principal de un Red Team es realizar un ataque real contra una entidad, utilizando las ca- pacidades y los métodos que emplearía un atacante externo. ¿Cómo trabaja? El Red Team es un grupo altamente or- ganizado cuyos integrantes tienen una excelente capacidad que no se limita a los recursos clásicos, ya que utilizan cualquier técnica para conseguir su ob- jetivo. En suma, lo que hace un atacante real. Táctica, paciencia y tiempo. Un test de intrusión se dirige a un ob- jetivo concreto con unas normas im- puestas y acordadas entre la empresa contratante y la contratada, normal- mente con el departamento informático o de seguridad informática. Los hac- kers no saben de normas ni de límites. Y si encuentran un obstáculo razonable cambiarán el lugar y modo del ataque para buscar otro camino que les con- duzca a sus objetivos. Un Red Team es una réplica de los hackers : piensa y actúa como ellos. Entra, golpea y sale. Este as- pecto de la salida con el botín también es importante. En un test de intrusión, la misma se limita por contrato. Nuestro razonamiento es el siguiente: está bien que el Red Team me demuestre que ha tenido acceso o que incluso vea mis intimidades, pero que no se las lleve... Como mucho, podemos exigir que cifre la información a un nivel razonable (por ejemplo, AES-256) antes de extraerla. Pero la extracción es una de las etapas más importantes de un ataque. Por eso, hacemos correlación de logs , afinamos nuestros sistemas de control de tráfico y antiataques dirigidos. Si el Red Team no se llevase el botín, nunca conoceríamos la efectividad de nuestras trampas, de- fensas y sistemas de alerta. Figura 2. Resumen de los objetivos de ataques y características de un Red Team. Figura 3. Principales características de un Red Team exitoso.