Documentos

Realizar un Red Team

Detalles

Manos de un hombre sobre el teclado de un ordenador mientras realiza un Red Team, ejercicio de simulación de un ataque sobre la infraestructura de una organización.

¿A quién va dirigido?

A cualquier organización, pública o privada, incluidas las pequeñas y medianas empresas (PYMES), que deseen ser más resilientes y estar más protegidas frente a las ciberamenazas con el objetivo de asegurar la continuidad de su negocio.

Dibujo de una persona con una sudadera roja en la que se ve el símbolo de una calavera cruzada por dos huesos, representado un ataque de hacking.

¿Qué es un ejercicio de Red Team?

Un ejercicio de Red Team consiste en la simulación de un ataque sobre la infraestructura de una organización. Este ejercicio permite analizar el nivel de protección y respuesta de una organización frente a posibles ataques, para de esta forma poder reforzar su seguridad.

El equipo de Red Team está formado por expertos en seguridad, habitualmente personal dedicado al hacking ético, que buscarán realizar una intrusión real y controlada sobre una organización, pero con un alcance limitado bajo un contrato.

Objetivos

El objetivo de este tipo de ejercicios es, utilizando las técnicas, tácticas y procedimientos (TTPs) de intrusión que podrían utilizar unos atacantes reales, evaluar el impacto que tendrían estas actividades sobre las personas, procesos y tecnología empleada para defender el entorno objetivo del ejercicio.

Los objetivos de un Red Team se pueden resumir en los siguientes puntos:

  • Someter los sistemas, redes, aplicaciones y demás a pruebas desde los ojos de un adversario.
  • Poner en valor la seguridad de una infraestructura tecnológica para posteriormente establecer una fortificación de todos los sistemas de la organización.
  • Analizar los procedimientos para la gestión de incidentes que tenga la entidad.
  • En base a los resultados obtenidos explorar las consecuencias y su impacto, para así elaborar un plan de acción de mejora a corto, medio y largo plazo.
  • Formar a los equipos de monitorización, detección y respuesta de la entidad, para mejorar su respuesta ante posibles ciberataques.

Beneficios

  • Es posible detectar debilidades, en procedimientos o en infraestructuras, antes de que un atacante lo identifique en un ciberataque real.
  • Se evalúa la capacidad de la entidad para detectar, responder y prevenir amenazas y ataques.
  • Viendo las debilidades que podría tener la organización, posteriormente se realizan las mejoras pertinentes para que los ataques realizados en un entorno controlado no puedan realizarlo atacantes no autorizados.

Fases del Red Team

Las fases del Red Team varían en función del framework y de la metodología de ataque empleada. Entre estos destacan:

Se indican a continuación las fases más comunes:

Fase 1. Definición y planificación

Dibujo de unas manos apuntando en una libreta de tareas, primera fase de un ejercicio Red Team, la planificación.

En esta primera fase se define qué escenarios se realizarán, sobre qué entorno y cuáles son los objetivos a conseguir (obtención de información sensible, acceso a la red interna, etc). Se definirán los equipos de trabajo y las personas de contacto en cada una de las partes. Finalmente, se establecerá también en qué período de tiempo se realizarán los ataques y la duración de éstos.

Fase 2. Reconocimiento externo

Durante esta fase se analiza el entorno del objetivo (macro y micro inteligencia) con el objetivo de modelar los posibles vectores de ataque. En esta misma fase se empieza a probar cada parte e identificar las vulnerabilidades que puedan permitir realizar una intrusión.

Fase 3. Compromiso inicial

En este paso se buscará explotar una vulnerabilidad de severidad crítica que permita dar paso a la intrusión. Pueden ser desde ataques de fuerza bruta que permitan obtener usuarios, lanzamiento de un correo de phishing, lanzamiento de un exploit, subida de ficheros que permita pivotar a la red interna, etc.

Fase 4. Acceso interno

El “atacante” se hace con el control de un activo y se establece en el mismo para atacar hacia el interior. Es un ejercicio que varía dependiendo del escenario y su tiempo no es exacto: el ejercicio puede durar cuestión de minutos o días.

Fase 5. Elevación de privilegios

Imagen en la que aparece etiquetada la palabra "root".

Esta fase consiste en la obtención de privilegios elevados en la infraestructura interna con el objetivo de tomar el control de algunos sistemas con permisos de administración.

Fase 6. Reconocimiento interno

Teniendo ya el control de activos de la entidad, el atacante comienza a descubrir en qué lugar de la red interna se encuentra, qué mecanismos de control identifica en la red, etc.  El objetivo es descubrir el mapa de red e identificar posibles vulnerabilidades a utilizar para expandirse y moverse dentro de la red.

Fase 7. Movimientos Laterales

Una vez dentro de la red interna de la entidad y con una idea de cómo es la infraestructura, el “atacante” elige nuevos objetivos y trata de atacarlos y comprometerlos. Esto dará lugar a un salto entre redes internas dentro de la organización.

Fase 8. Finalización y documentación

Una vez el ejercicio ha finalizado, con la consecución o no de los objetivos planteados al inicio, habrá que documentar el proceso y los hallazgos de una manera clara y legible. Entre otros aspectos, habrá que detallar la cronología de las acciones, los vectores de ataque utilizados, nivel de acceso conseguido y riesgos asociados al ataque simulado.

Referencias

https://en.wikipedia.org/wiki/Red_team

https://csrc.nist.gov/glossary/term/Red_Team

https://csrc.nist.gov/glossary/term/red_team_blue_team_approach

https://redteam.guide/docs/definition-lexicon/#red-teaming

RedTeam, El hacking en otra dimensión A Ramos T13 CyberCamp 2017