Muchos habréis oído hablar de este concepto que lleva años emplazado en el sector de la ciberseguridad, pero seguramente no todos sabéis de qué se trata o en qué consiste realmente un red team y sobre todo, qué diferencia hay con una auditoría de hacking ético también conocida como pentesting o prueba de penetración.
No os preocupéis, en este articulo os vamos a detallar en qué consiste un red team, qué ventajas ofrece, por qué todas las empresas deberían contar con este servicio y qué propuesta disruptiva propone Zerolynx con su nuevo concepto de Red Team 2.0 (Red Team Persistente).
Pero antes empecemos explicando que es un red team tradicional. Un red team es un ejercicio de ciberseguridad que tiene como objetivo retar a una organización mediante la realización de ataques para evaluar sus debilidades y mejorar su resiliencia. En este ejercicio intervienen dos equipos:
- Red team: equipo atacante encargado de ejecutar y poner en práctica las técnicas de ataques reales empleadas por actores maliciosos. Tendrán que poner mucho esfuerzo en no ser detectados al igual que en no afectar a la operatividad de la organización en el transcurso de las pruebas.
- Blue team: equipo defensor encargado de detectar y responder a los ataques llevados a cabo por el red team. Carece de información sobre quién, cuándo, y cómo se realizarán los ataques planificados por el red team, de esta forma se pretende emular un ataque lo más realista posible.
Existen dos equipos más no tan protagonistas, pero que también colaboran y participan en el ejercicio:
- White Team: coordinador del ejercicio por parte de la organización. Es quien normalmente solicita el servicio de red team en la compañía y, por tanto, actúa de interlocutor con este. Vela por que todo el ejercicio se lleve a cabo tal y como estaba previsto y se logre el objetivo perseguido.
- Purple team: se conforma una vez concluidas las acciones del red team. Habitualmente lo conforman miembros del red team y del blue team, quienes analizan lo ocurrido y elaboran planes de mejora.
Llegados a este punto, ¿Qué diferencias existen entre una auditoría de hacking (Pentesting) y un ejercicio de red team?
La principal diferencia es el alcance y el enfoque de ambos ejercicios.
- Por un lado, el Red team es mucho más amplio, y está centrado en llevar a cabo una simulación de ataque completa de toda la organización, sin ningún tipo de información preconcebida, y actuando de la forma más realista posible, como lo haría un atacante, cuidando en todo momento no ser detectado, al tiempo que el equipo de blue team tiene que lograr ser capaz de detectar toda y cada una de las acciones llevadas a cabo por el equipo atacante, así como saber responder a cada una de ellas.
- Por otro lado, el Pentesting tiene un alcance más acotado y específico, el cual se centra en la identificación y explotación de vulnerabilidades de uno o varios activos concretos, partiendo en muchos casos de cierta información privilegiada proporcionada por la organización. El objetivo principal en este caso no es evaluar la capacidad de detección y respuesta de la organización, si no identificar fallos de seguridad, vulnerabilidades técnicas, configuraciones inseguras, etc. en los activos propuestos.
Ambos enfoques son valiosos y se pueden adaptar según los objetivos y las necesidades específicas de seguridad de la organización. A continuación, os dejamos un resumen con las características de cada uno:
Limitaciones del red team tradicional
- Temporalidad: mientras que los ciberdelincuentes tienen recursos y tiempo (casi) infinitos, un ejercicio de Red Team tiene fecha de inicio y de fin. Las vulnerabilidades aprovechadas son las identificadas durante el transcurso del ejercicio.
- Capacidad: no se verifica la capacidad de la organización para mitigar vulnerabilidades recientes, mientras que tras un ejercicio de pentesting sí que es habitual realizar un retest.
- Novedad: por norma general, no se evalúan 0day, y tampoco se verifican aspectos relativos a ciberinteligencia en términos de vulnerabilidades, ni técnicas de ataque descubiertas recientemente.
- Infraestructura: la infraestructura requerida para el ejercicio de Red Team(que despliega el equipo atacante), se elimina cuando finaliza el ejercicio, y supone un esfuerzo de implementación que reduce las ventanas de ataque, por lo que el estudio del dimensionamiento del ejercicio es algo clave.