No es muy recomendable para las empresas centrar las estrategias de ciberseguridad únicamente en la fase defensiva. Esta decisión abarcaría todo tipo de limitaciones y sobre todo sesgos de los que no lograrían ser conscientes en la mayoría de los casos.
Si bien es cierto que en los últimos años del siglo XX la seguridad de los sistemas de información estaba prácticamente ceñida a las tácticas defensivas, los avances informáticos de la actualidad exigen medidas y capacidades que vayan más allá de la capacidad de defensa.
Es necesario que los sistemas de seguridad de las empresas, sobre todo las más grandes, imiten de una forma realista los posibles movimientos de los ciberdelincuentes para saber qué tan preparadas están ante las amenazas y las vulnerabilidades que habrá que corregir.
Ante esta necesidad existen dos servicios de seguridad que trabajan en conjunto realizando este tipo de ejercicios de ataque y defensa. Nos referimos al Blue Team y el Red Team.
Blue Team: una explicación más detallada.
El Blue Team está compuesto por un equipo de profesionales especializados en ciberseguridad que están encargados de gestionar la defensa de los sistemas de la empresa para la que trabajan.
Puede formarlo el mismo personal interno de la organización, pero también existe la posibilidad de contratar un servicio ofrecido por un tercero o incluso una combinación de ambas opciones.
El principal objetivo del Blue Team es prevenir ciberataques. Centran sus esfuerzos en detectar amenazas y mantener al máximo los niveles de protección en todos los ámbitos de la organización.
Las tareas principales del Blue Team serán conducir las soluciones de ciberseguridad de la empresa, asegurarse del despliegue de arquitecturas y configuraciones seguras, ejecutar actualizaciones y parches, organizar los procedimientos y protocolos de ciberseguridad, entre otras tareas. Se trata de prevenir y prepararse para enfrentar los ciberataques.
Como las competencias necesarias son bastante amplias es necesario emplear un Blue Team multifacético, pluridisciplinar y con experiencia en ciberseguridad para tener la garantía de que abarcará toda la seguridad defensiva de la organización.
¿Qué es un Red Team?
Al Red Team lo conforman profesionales de ciberseguridad que tomarán el rol de atacantes o “hackers” para filtrarse en las disposiciones de ciberseguridad planteadas por el Blue Team. El Red Team suele contar con piratas informáticos éticos que trabajan de manera independiente evaluando la seguridad de los sistemas de la empresa objetivamente.
Hacen uso de todas las herramientas disponibles para hallar vulnerabilidades en personas, procesos y tecnologías para irrumpir en los sistemas de la organización. Luego de realizar estos ataques simulados, el Red Team brinda recomendaciones y elabora planes para optimizar la seguridad de la empresa.
¿Cómo funciona un “ataque” de Red Team?
Durante el simulacro, el Red Team usa todas las herramientas y técnicas posibles para vulnerar el sistema del Blue Team y obtener alguna evidencia importante como por ejemplo el robo de información sensible, comprometer servidores o sabotear algún servicio.
En estos ejercicios el Red Team cuenta con muy poca información acerca de la organización a la que intentan atacar, y el Blue Team (seguridad defensiva) o el SOC (Centro de Operaciones de Seguridad) no tendrán conocimiento acerca del ataque.
¿Por qué realizar una auditoría de Red Team?
El principal objetivo de una prueba de Red Team es poner bajo la lupa los sistemas de monitorización, detección y respuesta de una empresa determinada ante los ciberataques.
Durante estos ejercicios se evalúan los siguientes ítems:
- Los mecanismos de ciberseguridad que emplea actualmente.
- El nivel de seguridad del diseño de las arquitecturas.
- La defensa existente planteada por el SOC (Centro de Operaciones de Seguridad).
- Competencias en ciberseguridad de los empleados tanto técnicas como humanas.
Además se tiene como misión identificar y aprovechar las vulnerabilidades que aparezcan en cualquier área de la organización incluyendo el nivel técnico y también el humano.
En este tipo de prácticas el Red Team suele utilizar técnicas como por ejemplo la Ingeniería Social que trata de identificar y explotar vulnerabilidades de las personas que trabajan en la empresa.
De esta manera se puede dilucidar y optimizar la madurez en ciberseguridad de una empresa y qué tan concientizadas están las personas que trabajan en su organización.
Red Team versus Blue Team: ¿Cómo trabajan en conjunto?
Cuando una organización programa ejercicios de Red Team versus Blue Team, el Red Team intenta una variedad de técnicas para lograr un ataque de ciberseguridad exitoso. Estas técnicas son muy amplias y no siempre se limitan al ámbito digital.
Los ataques del Red Team pueden incluir escenarios como un miembro del Red Team haciéndose pasar por un proveedor para infiltrarse en la organización. Esta persona puede filtrarse en el sistema sin ser detectada e instalar silenciosamente malware, obteniendo acceso a la red.
Antes de comenzar, generalmente el Red Team realiza un reconocimiento digital para evaluar las defensas de la organización y luego implementa varias técnicas de ataque sofisticadas para comprometer la seguridad y evitar la detección.
El Blue Team tiene la tarea de rechazar estos ataques y exponer la actividad del Red Team. Esto a menudo comienza con una evaluación de riesgos detallada de la seguridad actual de la organización. Luego, puede desplegar una combinación de actividad de inteligencia humana y herramientas técnicas para detectar y rechazar las incursiones del Red Team.
En última instancia, se espera que también analice el log data, realice análisis de tráfico, ejecute auditorías, realice análisis de huella digital e inteligencia de riesgos, y tome otras medidas similares para prevenir cualquier infracción, y luego rectifique cualquier vulnerabilidad descubierta.
Conclusiones
En la actualidad muchas empresas están al tanto de los beneficios de contar con ambos equipos (Blue Team y Red Team) como parte de la Ciberseguridad Gestionada (MSSP) de la organización para ampliar las capacidades de ciberseguridad defensiva.
Por lo general, están formados por equipos internos que cuentan con especialistas en ciberseguridad, TI y Telecomunicaciones que cuentan con el apoyo de equipos externos para lograr una gran cobertura de todas las áreas y necesidades de ciberseguridad defensiva que requiere la empresa.
En Homing le ofrecemos la posibilidad de incluir este servicio dentro de la Ciberseguridad Gestionada para que su empresa trabaje en conjunto con nuestros especialistas en la mejora continua de la ciberseguridad.
Le invitamos a contactarnos para conocer más acerca de este servicio y las credenciales de los profesionales que trabajarían con su equipo para velar por la protección de los sistemas de su organización.