seguritecnia 443

First page Previous page 63 Next page Last page

Seguridad Integral

cuantas más altas sean las almenas del castillo y más grueso su muro, más difí- cil le será a un atacante llegar al torreón interior donde vive la princesa. Para po- nerle una guinda al pastel, simulamos ataques con el objetivo de comprobar lo fuertes que son nuestras medidas de defensa. Y para realizar estos tests de in- trusión solemos contratar a organiza- ciones de confianza que siguen unos protocolos establecidos. Para superarnos aún más, efectua- mos correlación de logs y registros que nos generan alertas que revisamos de forma continua para establecer compor- tamientos maliciosos. Con esto y algunas medidas más como predicción, algorit- mos de anticipación, evaluación conti- nua de riesgos, prevención, etc., le co- municamos a la dirección de nuestra or- ganización que ya pueden (podemos) dormir tranquilos. Estas medidas están bien y todas las organizaciones que se precien deben realizarlas, pero no son en absoluto suficientes. Contentarse con esto sería no con- ocer profundamente el perfil de un hacker profesional, tenaz, paciente, imaginativo, motivado por el logro, etc., ni pensar en el mayor de los parámet- ros de los que dispone para obtener sus logros: el tiempo. Red Team Y de eso va el Red Team. Un Red Team es un organismo independiente dentro de una organización que sólo reporta a su “amo”. El propietario de la empresa, el consejero delegado, el director general o el director de medios en los casos de grandes organizaciones. El director de

Figura 3. Principales características de un Red Team exitoso.

¿Cómo trabaja? El Red Team es un grupo altamente or- ganizado cuyos integrantes tienen una excelente capacidad que no se limita a los recursos clásicos, ya que utilizan cualquier técnica para conseguir su ob- jetivo. En suma, lo que hace un atacante real. Táctica, paciencia y tiempo. Un test de intrusión se dirige a un ob- jetivo concreto con unas normas im- puestas y acordadas entre la empresa contratante y la contratada, normal- mente con el departamento informático o de seguridad informática. Los hac- kers no saben de normas ni de límites. Y si encuentran un obstáculo razonable cambiarán el lugar y modo del ataque para buscar otro camino que les con- duzca a sus objetivos. Un Red Team es una réplica de los hackers : piensa y actúa como ellos. Entra, golpea y sale. Este as- pecto de la salida con el botín también es importante. En un test de intrusión, la misma se limita por contrato. Nuestro razonamiento es el siguiente: está bien que el Red Team me demuestre que ha tenido acceso o que incluso vea mis intimidades, pero que no se las lleve... Como mucho, podemos exigir que cifre la información a un nivel razonable (por ejemplo, AES-256) antes de extraerla. Pero la extracción es una de las etapas más importantes de un ataque. Por eso, hacemos correlación de logs , afinamos nuestros sistemas de control de tráfico y antiataques dirigidos. Si el Red Team no se llevase el botín, nunca conoceríamos la efectividad de nuestras trampas, de- fensas y sistemas de alerta. En un test de intrusión a nadie se le ocurriría seguir a uno de nuestros altos directivos por la calle, esperar a que en-

inteligencia, el responsable de IT, el mi- nistro o un general si es un gobierno o el estamento militar. El director del hospital o el propietario del bufete si de médicos o abogados se tratase. No debe depen- der de nadie. Ni seguridad informática, ni departamento de infraestructuras, ni res- ponsable de redes. De la independen- cia del Red Team depende su éxito. No debe ser arte y parte con ningún depar- tamento de la misma organización. Si buscan en Internet, encontrarán al- gunas definiciones de Red Team. Para nosotros es un grupo independiente de ciberatacantes que reta a una orga- nización para que pueda mejorar su efectividad, dedicado a comprometer dicha organización de la misma forma que lo haría un enemigo real y utili- zando capacidades similares, es decir, sin ninguna orientación ni ayuda in- terna con el objetivo final de encontrar las puertas de entrada vulnerables de la organización y de mejorar su seguridad. En definitiva, el objetivo principal de un Red Team es realizar un ataque real contra una entidad, utilizando las capa- cidades y los métodos que emplearía un atacante externo.

Figura 2. Resumen de los objetivos de ataques y características de un Red Team.

SEGURITECNIA

63

Junio 2017

Made with