1 51 Table of Contents 53 108

Segurilatam 004

52 Primer cuatrimestre 2017 artículo técnico Ciberseguridad En cuanto al líder del Red Team, al margen de si este último es externo o mixto, ha de ser de la organización con- tratante, ya que el Red Team va mucho más allá de un intento de intrusión y se debe asegurar la información obtenida. Dentro de la organización contratante, el líder del Red Team tiene que ser to- talmente independiente de los respon- sables de sistemas, infraestructuras, ser- vicios informáticos, seguridad informá- tica… Y sólo reportar a la alta dirección. Asimismo, es muy importante su lealtad al Red Team y la de este equipo a la or- ganización. Si el Red Team es mixto, con gente de la organización y ajena a ella, la parte subcontratada se puede ampliar y de esta forma se acrecentarán también el talento y la innovación en los ataques. La única actividad del Red Team tiene que ser atacar y lograr sus objetivos. Esto debe ocupar un 90 por ciento de su tiempo. El restante ha de dedicarlo a informar de sus resultados y traba- jar con el equipo defensor de la orga- nización, el Blue Team, para mostrarle las pruebas con el fin de que la entidad contratante pueda actuar en conse- cuencia, tapar agujeros, imaginar cómo parar un ataque y seguir trabajando en el sistema. Está bien que se mezclen ambos teams , pero no demasiado… Sólo un rato; y después, cada uno a lo suyo. El trabajo de los dos equipos es lo que nos ayuda a subir el listón y a reforzar día a día, de forma dinámica y con pa- ciencia, la seguridad de nuestra organi- zación. válida para poder hacerse pasar por él en un ataque dirigido o para que cuando el directivo vuelva a conec- tar su ordenador a la red corporativa, el Red Team pueda acceder a la orga- nización. Este tipo de tácticas jamás las hará un test de intrusión, pero sí un ha- cker dispuesto a todo para conseguir su objetivo. De ahí la razón de disponer de un Red Team. En un test de intrusión a nadie se le ocurriría seguir a uno de nuestros altos directivos por la calle, esperar a que en- trara con su portátil corporativo en un Starbucks para tomarse su cafetito de la mañana y echar una ojeada al periódico utilizando la conexión wifi del local an- tes de dirigirse a una reunión impor- tante en el centro de la ciudad. Senta- dos en otra mesa a su lado, una joven pareja se dirige miradas cómplices de jóvenes enamorados mientras simulan chatear con amigos en su ordenador y ríen para que el ambiente sea disten- dido. Nada que sospechar… La pareja de miembros del Red Team intenta uti- lizar la conexión wifi como método de entrada al portátil sabiendo que no está correctamente protegida. Y consigue entrar y dejar un troyano en el orde- nador del directivo. En un momento di- spondrá de su agenda, acceso a sus re- des sociales y profesionales, etc., y de este modo conocerá información muy Figura 4. Ataque dirigido del Red Team. Los tres pasos posteriores son los que debe efectuar con el Blue Team una vez exfiltrados los datos. El 90 por ciento de la ocupación del Red Team debe dedicarse a atacar y tener éxito. Y el resto del tiempo emplearlo para informar de sus logros y trabajar con el Blue Team de la organización

RkJQdWJsaXNoZXIy ODM4MTc1