Table of Contents Table of Contents
Previous Page  63 / 148 Next Page
Information
Show Menu
Previous Page 63 / 148 Next Page
Page Background

SEGURITECNIA

Junio 2017

63

cuantas más altas sean las almenas del

castillo y más grueso su muro, más difí-

cil le será a un atacante llegar al torreón

interior donde vive la princesa. Para po-

nerle una guinda al pastel, simulamos

ataques con el objetivo de comprobar

lo fuertes que son nuestras medidas de

defensa. Y para realizar estos tests de in-

trusión solemos contratar a organiza-

ciones de confianza que siguen unos

protocolos establecidos.

Para superarnos aún más, efectua-

mos correlación de

logs

y registros que

nos generan alertas que revisamos de

forma continua para establecer compor-

tamientos maliciosos. Con esto y algunas

medidas más como predicción, algorit-

mos de anticipación, evaluación conti-

nua de riesgos, prevención, etc., le co-

municamos a la dirección de nuestra or-

ganización que ya pueden (podemos)

dormir tranquilos. Estas medidas están

bien y todas las organizaciones que se

precien deben realizarlas, pero no son en

absoluto suficientes.

Contentarse con esto sería no con-

ocer profundamente el perfil de un

hacker

profesional, tenaz, paciente,

imaginativo, motivado por el logro, etc.,

ni pensar en el mayor de los parámet-

ros de los que dispone para obtener sus

logros: el tiempo.

Red Team

Y de eso va el Red Team. Un Red Team

es un organismo independiente dentro

de una organización que sólo reporta a

su “amo”. El propietario de la empresa, el

consejero delegado, el director general

o el director de medios en los casos de

grandes organizaciones. El director de

inteligencia, el responsable de IT, el mi-

nistro o un general si es un gobierno o el

estamento militar. El director del hospital

o el propietario del bufete si de médicos

o abogados se tratase. No debe depen-

der de nadie. Ni seguridad informática, ni

departamento de infraestructuras, ni res-

ponsable de redes. De la independen-

cia del Red Team depende su éxito. No

debe ser arte y parte con ningún depar-

tamento de la misma organización.

Si buscan en Internet, encontrarán al-

gunas definiciones de Red Team. Para

nosotros es un grupo independiente

de ciberatacantes que reta a una orga-

nización para que pueda mejorar su

efectividad, dedicado a comprometer

dicha organización de la misma forma

que lo haría un enemigo real y utili-

zando capacidades similares, es decir,

sin ninguna orientación ni ayuda in-

terna con el objetivo final de encontrar

las puertas de entrada vulnerables de la

organización y de mejorar su seguridad.

En definitiva, el objetivo principal de

un Red Team es realizar un ataque real

contra una entidad, utilizando las capa-

cidades y los métodos que emplearía

un atacante externo.

¿Cómo trabaja?

El Red Team es un grupo altamente or-

ganizado cuyos integrantes tienen una

excelente capacidad que no se limita

a los recursos clásicos, ya que utilizan

cualquier técnica para conseguir su ob-

jetivo. En suma, lo que hace un atacante

real. Táctica, paciencia y tiempo.

Un test de intrusión se dirige a un ob-

jetivo concreto con unas normas im-

puestas y acordadas entre la empresa

contratante y la contratada, normal-

mente con el departamento informático

o de seguridad informática. Los

hac-

kers

no saben de normas ni de límites.

Y si encuentran un obstáculo razonable

cambiarán el lugar y modo del ataque

para buscar otro camino que les con-

duzca a sus objetivos. Un Red Team es

una réplica de los

hackers

: piensa y actúa

como ellos. Entra, golpea y sale. Este as-

pecto de la salida con el botín también

es importante. En un test de intrusión,

la misma se limita por contrato. Nuestro

razonamiento es el siguiente: está bien

que el Red Team me demuestre que

ha tenido acceso o que incluso vea mis

intimidades, pero que no se las lleve...

Como mucho, podemos exigir que cifre

la información a un nivel razonable (por

ejemplo, AES-256) antes de extraerla.

Pero la extracción es una de las etapas

más importantes de un ataque. Por eso,

hacemos correlación de

logs

, afinamos

nuestros sistemas de control de tráfico y

antiataques dirigidos. Si el Red Team no

se llevase el botín, nunca conoceríamos

la efectividad de nuestras trampas, de-

fensas y sistemas de alerta.

En un test de intrusión a nadie se le

ocurriría seguir a uno de nuestros altos

directivos por la calle, esperar a que en-

Figura 2. Resumen de los objetivos de ataques y características de un Red Team.

Figura 3. Principales características de un Red Team exitoso.

Seguridad Integral

1 58 59 60 61 62 63 64 65 66 67 68 69 148  FlippingBook