[01/02/2022] En el arsenal de las defensas de ciberseguridad está el ejercicio que recibe el nombre de ataque simulado de equipo rojo/equipo azul. Estas simulaciones están diseñadas para imitar de cerca las condiciones del mundo real. Por ejemplo, un miembro del equipo rojo puede asumir el papel de un empleado que hace clic en un enlace de phishing que deposita malware en la red. Los miembros del equipo defensor deben encontrar este malware antes de que se extienda por su red e infecte los servidores web y otras aplicaciones. Para hacer las cosas más realistas, la simulación reproduce el tráfico de red real para ocultar los ataques, al igual que en el mundo real.
Hablemos de las designaciones roja y azul. Los miembros del equipo rojo suelen desempeñar el papel de atacantes e intentan superar los protocolos de seguridad. Utilizan las mismas herramientas y técnicas que los atacantes, de forma similar a como operan los probadores de penetración, pero a una escala mucho más amplia.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Los equipos rojos no se limitan a probar las vulnerabilidades, sino que lo hacen utilizando las herramientas, consejos y técnicas de sus probables actores de la amenaza, y en campañas que se desarrollan de forma continua durante un largo periodo de tiempo", señala Daniel Miessler, un consultor de seguridad que ha sido testigo de numerosos ejercicios rojo/azul, en una entrada de blog. "Un gran equipo rojo puede ser un sistema de alerta temprana para encontrar los orígenes comunes de los ataques y rastrear las técnicas de un adversario".
John, arquitecto jubilado de IBM que ha trabajado en grandes departamentos de TI, comenta que "van a surgir amenazas para las que los equipos rojos nunca harán pruebas. Hay amenazas que pueden abrumar a los equipos azules y posiblemente dejar a las empresas fuera de juego".
Según Cris Thomas, director global de estrategia de la organización de consultoría IBM X-Force Red, "algunas empresas solo piensan en los equipos rojos en términos de una irrupción en la seguridad física".
El equipo azul está compuesto por los defensores, siguiendo el modelo de los equipos de seguridad internos que se encuentran ahora en numerosos departamentos de TI. "Lo que hace a un gran equipo azul es su estado mental, tener una mentalidad proactiva, una curiosidad infinita y una mejora continua en términos de detección y respuesta", escribe Miessler.
La dicotomía rojo/azul es algo engañosa. Para llevar a cabo realmente uno de estos simulacros, deberían participar dos equipos más:
- Un equipo blanco está compuesto por los propietarios de la red, los administradores de TI que manejan el equipo y crean los scripts para realizar las simulaciones. Algunos ejercicios vienen con scripts preconstruidos mientras que otros construyen los suyos propios.
- Un equipo dorado tiene a los expertos en la materia que son consultores de los ejercicios y podrían involucrar a los representantes de los proveedores de seguridad, asesores legales y realizar tareas especializadas como la ciencia forense digital.
Una nota sobre los equipos morados
Hablemos también del color púrpura. Éste conlleva varios significados diferentes, dependiendo de cómo se construya este equipo. El color da la idea de que se trata de una combinación de equipos rojos y azules, para que ambos puedan colaborar y mejorar sus habilidades. Esta combinación podría significar que hay representantes de ambos lados trabajando juntos en el ejercicio, o incluso como parte de sus trabajos.
Eso puede no ser tan eficaz como que las mismas personas tengan ambas mentalidades. Miessler lo compara con los camareros que no reparten comida en los restaurantes porque no es su trabajo. Ha visto organizaciones en las que el equipo rojo se considera demasiado elitista para compartir información con el equipo azul, o que no están diseñados para interactuar entre sí, o que el departamento de TI no ve a ambos equipos como parte del mismo esfuerzo.
El invierno pasado, asistí al evento anual CyberShield de la Guardia Nacional en Utah, donde durante dos semanas se lleva a cabo un ataque simulado que se coordina entre 40 unidades locales de la Guardia. Las unidades se dividen en equipos rojos y azules con más de 800 miembros repartidos por todo el país. La Guardia programa a propósito un "día púrpura" en el que los equipos rojos y azules se mezclan entre sí y colaboran para compartir consejos y técnicas.
"Sabemos que los actores de las amenazas colaboran mucho mejor que nosotros, y esto nos da la oportunidad de trabajar estrechamente con nuestros socios y en escenarios realistas, y de construir confianza y relaciones más profundas", comenta el teniente coronel Brad Rhodes, el oficial a cargo del evento. Esta creación de confianza es importante, porque se quiere que los equipos aprendan unos de otros, en lugar de depender de un solo analista que puede o no estar de servicio, o abandonar la Guardia cuando se produzca una amenaza real". Rhodes ha dirigido seis ejercicios CyberShield y trabaja a tiempo completo como jefe de seguridad informática de Zvelo.
Walmart cuenta con miembros internos del equipo azul y rojo a tiempo completo. "También traemos periódicamente a profesionales externos de la seguridad de la información de los equipos azul y rojo para que nos asesoren, y estamos empezando a utilizar un enfoque de equipo púrpura para compartir nuestras experiencias. Los dos se reúnen varias veces al mes para ayudar a impulsar la mejora constante de ambos equipos, y hemos visto una fantástica colaboración entre los dos, ya que reconocen que pueden aportar más valor a la organización", anota Jason O'Dell, vicepresidente de operaciones de seguridad de Walmart.
Pasos para diseñar ejercicios de equipo rojo/equipo azul
He aquí algunos aspectos que deben tenerse en cuenta a la hora de diseñar su propio ejercicio:
Decida lo que va a hacer internamente y lo que va a contratar. ¿Necesita un proveedor especializado en equipos rojos? ¿Cuenta ya con personal de infoseguridad a tiempo completo que pueda actuar como equipo azul? ¿Puede utilizar una gama cibernética preconstruida que tenga todo configurado de una manera determinada?
Una parte de esta decisión consiste en comprender los conjuntos de habilidades necesarios para todos los miembros del equipo. "Una habilidad crucial para ambos equipos es el deseo de aprender y ser continuamente curioso", señala O'Dell de Walmart.
El arquitecto jubilado John está de acuerdo: "La capacidad de actuar rápida y eficazmente ante cualquier vulnerabilidad es un requisito absoluto hoy en día". Nunca ha visto una empresa con un verdadero equipo rojo. "La mayoría de las veces, esto se subcontrata a una empresa consultora. Hacerlo internamente es difícil, debido a la dificultad de encontrar personas con los niveles de habilidad excepcionales necesarios para el trabajo y luego retenerlos. Si el equipo rojo es realmente eficaz, puedo ver que les cuesta hacer crecer su carrera en la empresa".
Elija sus herramientas de simulación. Otra forma de expresarlo es decidir el grado de realismo que quiere que tenga su ejercicio. La mayoría de las veces, estos ejercicios no se realizarán contra sistemas de producción, así que decida qué va a simular o si va a utilizar una gama cibernética (y normalmente no una réplica exacta de sus sistemas en funcionamiento).
Para el CyberShield de la Guardia, utilizaron el entorno de simulación basado en la nube Persistent Cyber Training Exercise (PCTE) que fue desarrollado para el Departamento de Defensa. El evento CyberShield es la mayor operación realizada a través de esta red, consumiendo más de tres mil máquinas virtuales y un petabyte de almacenamiento.
Formule sus objetivos. ¿Qué quiere conseguir? ¿Encontrar puntos débiles? ¿Apuntalar sus defensas? ¿Mejorar la colaboración entre TI y el usuario final? ¿Identificar los controles de seguridad que funcionan y los que fallan? El objetivo de estos ejercicios es que cuanto más realistas sean, mejor preparados estarán todos para el ataque real, lo que nos remite a la cuestión anterior.
En el CyberShield 2020, el equipo rojo construyó una pieza de malware que finalmente se publicó en VirusTotal, según un participante de la Guardia que entrevisté. "Era bastante real cuando luego fue recogido por hackers rusos que lo utilizaron en la naturaleza. Afortunadamente, su creador había colocado un kill switch para neutralizarlo".
Los objetivos son fundamentales, como señala Peter Kaloroumakis, de MITRE. "Vemos casos en los que los equipos rojos son capaces de alcanzar con éxito sus objetivos técnicos, pero pierden oportunidades de tener un impacto más amplio. Los equipos rojos o morados descubren nueva información. Es esencial que también involucren a los equipos de infraestructura y arquitectura que desarrollan planes estratégicos para mejorar la postura de seguridad. Es fácil centrarse en cambios de configuración específicos, pero a veces hay cambios de arquitectura que podrían abordar los problemas de raíz".
Decida cómo va a recoger los datos del ejercicio y cómo va a realizar su análisis post mortem. Una gran parte de esto es informar sobre el nivel de comunicación entre sus equipos. El arquitecto John señala: "El mayor problema que he visto aquí es el lenguaje/la comunicación y el escaso trabajo en equipo. En la era de la subcontratación, los equipos pueden ser de diferentes lugares, hablar diferentes idiomas y demás. Si la gente no puede entenderse, eso es un gran problema durante y después del ejercicio".
Elija su marco temporal. El calendario de su ejercicio varía enormemente. Thomas, de IBM, anota: "Algunas empresas compran un servicio de suscripción de IBM y hacen constantes pruebas de una aplicación móvil a medida que la están desarrollando, ya sea mediante construcciones nocturnas o un hito regular".
La Guardia necesita dos semanas cada año porque también lleva a cabo ejercicios de formación, para que los participantes puedan tomar clases de certificación COMPTIA y otras, además de ejecutar las simulaciones de CyberShield. "Llevamos a cabo múltiples ejercicios de mesa y de simulación de amenazas cada año. Además, nuestro Equipo Rojo lleva a cabo numerosos compromisos adversos completos cada año. A veces estos compromisos se mezclan", sostiene O'Dell de Walmart. La situación ideal es sondear continuamente los sistemas, pero sin duda hay que atenerse a un calendario y no reaccionar ante una auditoría de seguridad fallida.
Diseñar el ejercicio rojo/azul más eficaz significa tener claros muchos puntos no técnicos, como puede ver. Asegúrese de prestar la misma atención a las cuestiones técnicas y a las no técnicas.
Basado en el artículo de David Strom (CSO) y editado por CIO Perú
Puede ver también: