Cuando se trata de la seguridad de la información y de estar del lado de los buenos, uno tiende a pensar en términos de protección, contención y respuesta. Sin embargo, empezar a “pensar como un atacante” también puede aportar a las empresas grandes beneficios en términos de defensa contra las amenazas en constante cambio.
En el ámbito militar, los llamados Red Team (Equipos Rojos) nacieron históricamente como grupos altamente especializados y organizados para desempeñar el papel de adversarios, el papel de enemigos o fuerzas de oposición en contraste con los equipos “amigos” que tomaron el nombre de Blue Team (Equipos Azules). En esencia, los Equipos Rojos pusieron a disposición sus habilidades para explorar, de la manera más completa posible, las alternativas en la planificación, las operaciones y las metodologías de ataque, asumiendo la perspectiva y – posiblemente – la mentalidad de los atacantes. El objetivo final era mejorar la propia capacidad defensiva poniéndose en juego frente a alguien que se comporta como lo haría un verdadero enemigo.
Simétricamente, los equipos azules se utilizaron como “medida defensiva” y fueron entrenados para detectar, responder y mitigar los ataques de los equipos rojos.
Red Team y Blue Team en Ciberseguridad
La ciberseguridad ha hecho suyos estos conceptos. En este contexto, las acciones de ataque del Equipo Rojo se traducen en sofisticadas actividades de “pruebas de penetración“, cuyo objetivo final es realizar una evaluación válida de las capacidades defensivas de una empresa o de cualquier organización y poner a prueba su postura general de seguridad. Generalmente, la misión del Equipo Rojo es específica, por ejemplo, el reto podría ser verificar la posibilidad de “exfiltrar” un conjunto de registros contenidos en una base de datos y que contienen información sensible. Para esta “tarea“, el equipo rojo tendría que simular la actividad de un atacante (“actor de la amenaza externa”) y entender si existe la posibilidad de explotar una serie de vulnerabilidades y debilidades de la infraestructura atacada. El objetivo consistiría en acceder a la información sensible contenida en la base de datos objetivo. La fase defensiva, en este escenario, se delega en el Equipo Azul.
Así pues, los rojos se encargan históricamente de identificar las vulnerabilidades de los PPT (Personas, Procesos y Tecnología) puestos en defensa de la organización, al tiempo que desempeñan el papel de habilitadores de las capacidades defensivas (detección y respuesta) de la propia organización. Si, por un lado, la tarea de los rojos es la mayoría de las veces precisa y bien definida, la de los azules (analistas del SOC – Centro de Operaciones de Seguridad – o encargados de la respuesta en general) es variable y desconocida a priori, los ataques de los rojos sirven por tanto para poner a prueba la preparación de los azules, desencadenando un círculo virtuoso de mejora.
Para los azules, su pan de cada día será el acceso a los datos de registro, el uso de un SIEM, la inteligencia sobre amenazas, el análisis del tráfico de red y los flujos de datos: su misión es la proverbial búsqueda de la aguja en el pajar…
Por otra parte, los rojos deben conocer bien las TTP (Tácticas, Técnicas y Procedimientos) de los propios atacantes. En relación con estas TTP, los azules deben adaptar, implementar y perfeccionar sus capacidades de detección y respuesta. Aunque la automatización desempeña un papel importante en esta fase, los azules nunca deben confiar totalmente en las herramientas y las tecnologías para sus capacidades defensivas: la intuición, la experiencia y la inteligencia humana no son totalmente sustituibles -por el momento- ni en el lado de los atacantes ni en el de los defensores. Un ejemplo para todos lo representan las técnicas de ingeniería social (spear phishing Por otra parte, los rojos deben conocer bien las TTP (Tácticas, Técnicas y Procedimientos) de los propios atacantes. En relación con estas TTP, los azules deben adaptar, implementar y perfeccionar sus capacidades de detección y respuesta. Aunque la automatización desempeña un papel importante en esta fase, los azules nunca deben confiar totalmente en las herramientas y las tecnologías para sus capacidades defensivas: la intuición, la experiencia y la inteligencia humana no son totalmente sustituibles -por el momento- ni en el lado de los atacantes ni en el de los defensores. Un ejemplo para todos lo representan las técnicas de ingeniería social (spear phishing principalmente).
Equipo Rojo y Equipo Azul en Acción
Volvamos al ejemplo de la misión de “exfiltración” de datos, en este caso el equipo rojo tiene la tarea de lanzar un ataque simulando la actividad de ciberdelincuentes bien motivados, el primer paso podría ser comprometer el PC de un usuario final con el fin de encontrar credenciales útiles para recopilar información dentro de la red, a partir de aquí se iniciaría paulatinamente el intento de realizar una “escalada de privilegios” en busca de credenciales privilegiadas que den acceso a la base de datos central. Una vez obtenido el acceso a la base de datos, comienza el proceso real de exfiltración a través de una conexión de red al mundo exterior (la web).
El equipo azul tendrá que ser capaz de detectar estos intentos de intrusión, los “movimientos laterales” y cualquier paso característico de la llamada “cadena de muerte” en la fase más temprana posible, es decir, tendrá que ser capaz de responder al ataque y evitar que el equipo rojo se lleve el resultado.
Ni una (la del equipo rojo) ni otra (la del equipo azul) es una tarea elemental aunque descrita en estas pocas líneas pueda parecerlo.
¿Qué Hace Efectiva la Comparación entre los Equipos Rojos y Azules?
Dado que se trata de una tarea no trivial, ¿qué es lo que hace que la actividad del equipo rojo sea eficaz (y, por tanto, que estimule y “desafíe” la del equipo azul)? El elemento fundamental para que esto sea posible, y que hace que el Equipo Rojo sea un equipo exitoso, es que los rojos asuman en la medida de lo posible la mentalidad y la actitud de los verdaderos atacantes… de los verdaderos ciberdelincuentes.
Por ello, es desaconsejable elegir a los miembros del equipo rojo entre personas que hayan contribuido o contribuyan a proteger la infraestructura de la propia organización, ya que se crearía un evidente conflicto de intereses que no garantizaría la eficacia del ataque (y en consecuencia de la evaluación de la postura de seguridad). El imperativo es, por tanto, “pensar como un extraño” y esto se consigue más fácilmente recurriendo a personas ajenas a la organización (si es posible) o buscando fuera de quienes tienen la tarea de definir y aplicar las medidas de seguridad.
Recuerda que un atacante hará caso omiso de todas las normas, de toda la educación y no tendrá escrúpulos morales o éticos (estamos hablando de terroristas y delincuentes, pero también de exempleados potencialmente frustrados y enfadados): entrar en esta mentalidad puede no ser nada fácil.
A veces el juego entre rojos y azules comienza a jugarse “en la mesa” a través de un enfrentamiento simulado, sobre el papel, dentro de una sala de reuniones, pero esto sólo puede ser el principio, ya que la verdadera prueba es la ejecución de uno o varios ataques reales, ataques que no pueden ni deben descuidar la seguridad física de la organización objetivo.
Lo cierto es que no en todos los casos es posible pasar a la fase activa del ataque. Piensa en aquellos lugares e infraestructuras que son tan críticos que podrían causar demasiados daños, irreparables o incluso la pérdida de vidas.
Sin embargo, cuando es posible, las pruebas en vivo también pueden afectar al clásico eslabón débil de la cadena de seguridad: el ser humano (el empleado). Así, los equipos rojos pueden comprobar el comportamiento de los empleados de una organización en respuesta a solicitudes específicas, como la recepción de archivos adjuntos maliciosos por correo electrónico o el descubrimiento de una memoria USB “olvidada” en un aparcamiento o en el aseo de la empresa. Si tu organización cuenta con una política de seguridad, el ejercicio del equipo rojo será el mejor momento para comprobar hasta qué punto tus empleados comprenden, conocen y cumplen la política y hasta qué punto son eficaces las medidas y controles establecidos por tu organización.
Aunque no hay que descuidar la seguridad física y el comportamiento de los empleados, también hay que prestar la máxima atención a otra superficie de ataque: las redes inalámbricas.
La adopción del Wi-Fi comenzó como una migración transparente de las redes cableadas a las inalámbricas, olvidando muy a menudo que el enfoque de la seguridad de estas últimas es y debe ser diferente. En este contexto, cabe mencionar la actividad denominada “wardriving” y la posterior explotación de las redes inalámbricas.
Colaboración, Retroalimentación Mutua y Mejora Continua
La clave del éxito del enfoque Equipo Rojo vs. Equipo Azul (Red Team vs. Blue Team) es la interacción y la retroalimentación mutua, la capacidad de interpretar el desafío con el objetivo final de perfeccionar las capacidades de detección y respuesta de la organización. La colaboración debe estar orientada a la mejora continua, para el equipo azul el desafío al equipo rojo debe ser una oportunidad para ampliar su conocimiento de las técnicas utilizadas por los atacantes, aprendiendo sobre las “tácticas, técnicas y procedimientos” utilizados por los “malos” y sacando a la luz los puntos ciegos de su infraestructura de defensa. Si un SOC no se da cuenta de una intrusión, la razón no es (siempre) la falta de preparación de los operadores o la ineficacia de la tecnología, sino que el éxito del atacante podría deberse a la ineficacia de los controles implementados en relación con técnicas sofisticadas y, hasta entonces, desconocidas. La actuación del Equipo Rojo es, por tanto, funcional para sacar a la luz la deficiencia de los controles implantados de forma “indolora”, antes de que estas deficiencias se conviertan en daños reales.
Aparte del diferente enfoque mental, las herramientas utilizadas por los rojos también serán diferentes a las que tienen los azules.
El Equipo Rojo tendrá que dominar las herramientas de ataque (Meterpreter, Metasploit, por ejemplo), entender lo que es una inyección SQL, conocer las herramientas para escanear las redes objetivo (Nmap), ser capaz de utilizar lenguajes de scripting, conocer los comandos de los routers, los firewalls, etc.
El Equipo Azul, por su parte, debe conocer bien las fases de respuesta a incidentes, conocer también sus propias herramientas y lenguajes, ser capaz de interceptar patrones de tráfico sospechosos, identificar Indicadores de Compromiso, saber utilizar adecuadamente un IDS y realizar análisis y análisis forenses en diferentes sistemas operativos.
Un Nuevo Color en el Horizonte: Purple Team
No siempre es trivial conseguir que los dos equipos trabajen en sinergia, ya que cada uno tiende a perseguir sus propios objetivos, metas y -cuando se definen- sus propios KPI (indicadores clave de rendimiento). Para superar esta posible falta de objetivos comunes (que en última instancia deben ser los de la empresa y no los de los equipos individuales), surge la oportunidad de definir una nueva “función” (en lugar de un verdadero equipo), esta nueva función está representada por el Purple Team (Equipo Púrpura) (Púrpura es el color morado, que se obtiene mezclando el azul con el rojo).
La misión del Equipo Púrpura es asegurar y maximizar la efectividad de los dos equipos primarios, esto se logra a través de la integración de las tácticas y controles defensivos de los Azules con las amenazas y vulnerabilidades aportadas y detectadas por los Rojos, llegando a una “narrativa” unificada que maximiza los resultados y responde a los KPIs y métricas comunes del negocio más que a los objetivos individuales del equipo.
Resumen
Los Equipos Rojos o Red Teams emulan a los atacantes para encontrar fallos en las defensas de las organizaciones para las que trabajan.
Los Equipos Azules o Blue Teams se defienden de los atacantes y trabajan para mejorar constantemente la postura de seguridad de su organización.
Una implementación de equipos rojos/azules que funcione correctamente incluye el intercambio regular de conocimientos entre los equipos rojos y azules para permitir la mejora continua de ambos.
Los Equipos Púrpura o Purple Teams se utilizan a menudo para facilitar esta integración continua entre los dos grupos, lo que no resuelve el problema principal de que los equipos rojo y azul no comparten información.
El Equipo Púrpura debe ser conceptualizado como una función de cooperación o punto de interacción, y no como una entidad superada e idealmente redundante.
En una organización madura, todo el propósito del Equipo Rojo es mejorar la eficacia del Equipo Azul, por lo que el valor aportado por el Equipo Púrpura debería ser parte natural de su interacción, en lugar de ser forzado a través de una entidad adicional.
