Los Penetration Tests, más conocidos como pentesting, se han convertido en un método clave para las auditorías de ciberseguridad. Con ellos, la organización realiza simulaciones de ataques deliberados y controlados a sus propios sistemas con el fin de encontrar sus debilidades y vulnerabilidades antes que los ciberatacantes. Para ello, pueden utilizar varios tipos de ejercicio según la información que el rol de atacante disponga previamente del sistema (“Caja Blanca” si dispone de información sobre ello o “Caja Negra” si no dispone de ninguna) y aplicar distintas metodologías reconocidas en el sector, como PTES, OSSTMM, ISAAF y OWASP.

De esta manera, pueden descubrir nuevas vulnerabilidades, mitigar sus debilidades y al mismo tiempo, sus profesionales de ciberseguridad practican situaciones de riesgo con el fin de estar preparados para responder a los incidentes reales de la mejor manera posible. Se trata de un método muy útil para aquellas organizaciones que apuesten por mejorar sus buenas prácticas de ciberseguridad y prevención ante incidentes. Pero ante la sofisticación de los nuevos ciberataques y de APT cuyo tiempo de detección suele ser muy alto, los profesionales de ciberseguridad están aplicando un tipo de simulación más estratégico y avanzado para estar mejor preparados: Red Team – Blue Team.

Diferencias con el Pentesting_

Red team – Blue team es un tipo de simulación donde los miembros de una organización crean equipos para competir en un escenario de ciberamenazas. Los miembros del Red team constituyen el equipo atacante y por su parte, el equipo Blue Team tiene el rol de protección de la organización. A priori, el ejercicio puede sonar como una simulación de Pentesting común con equipos definidos. Sin embargo, la simulación Red Team tiene notables diferencias con respecto al pentesting tradicional. En este sentido, el reconocido CISO y blogger de ciberseguridad Daniel Miessler las clasifica según los roles:

  • Red Team: constituyen el rol atacante al igual que los penetration testers, pero se diferencian de éstos en aspectos como la emulación de las TTP más probables que usarían los ciberatacantes ante sus objetivos y el hecho de que realizan una campaña de ataque prolongada, que puede durar semanas o incluso meses. Es decir, los Red Team van a más allá de ataques cortos y puntuales para poner a prueba o descubrir vulnerabilidades específicas y utilizan una serie de TTP y objetivos prefijados durante un periodo de tiempo largo.
  • Blue Team: son los defensores proactivos de la organización. Por, eso se limitan al enfoque reactivo de detección y respuesta de los defensores comunes: al enfrentarse a una campaña de ataque prolongada, deben ser creativos buscando constantemente nuevos enfoques y mejoras.

La Pirámide BAD_

Además de estos dos roles principales, Miessler introduce más categorías al trabajo de la analista April Wright y lo sintetiza en un esquema denominado Pirámide BAD (Build, Attack, Defend, por sus siglas en inglés) que aúna los vértices de “construcción” (entendida como desarrollo de software), Ataque y Defensa. Aunque matiza que en estos casos más allá de Blue Team y Red Team, no tienen por qué ser equipos estructurados como tales sino “mentalidades cooperativas”:

  • Purple Team: coordinaría el aprendizaje del Blue Team con respecto a los ataques del Red Team. Miessler subraya su importancia como mentalidad cooperativa, pero no es partidario de un equipo dedicado en exclusiva a este cometido ya que si éstos están bien coordinados, no sería necesario.
  • Yellow Team, Orange Team y Green Team: Los Yellow estarían conformados por los desarrolladores de la organización que participen en el ejercicio. Pueden hacer cambios en función del conocimiento proporcionado por los atacantes, en cuyo caso serían Orange, o en función de los defensores, por lo cual serían
bad-pyramid-cytomic-red-team-blue-team

El enfoque estratégico y de prevención, elementos clave del Threat Hunting_

Los CIO con amplia experiencia como Jorge Oteo suelen subrayar que, dada la sofisticación de las amenazas actuales y la continua evolución de las tácticas de los ciberatacantes, las medidas de ciberseguridad tradicionales son válidas, pero por sí solas, se quedan insuficientes.

Bajo esta premisa también nació el concepto de la simulación Red Team – Blue Team: va más allá de un ejercicio de pentesting común y tiene como pilares clave de la defensa una mentalidad de proactividad, creatividad y continuo aprendizaje.

Estos pilares coinciden con la visión del servicio gestionado de Threat Hunting e Incident Response que Cytomic ofrece a sus clientes, basado en la solución Orion. Gracias a ello, los SOC podrán contar con un apoyo que acelerará sus procesos de identificación, mitigación y remediación de todo tipo de amenazas, desde una perspectiva siempre estratégica, proactiva y creativa.

Leave a Reply