Tranqui, no ha cambiado la temática de la newsletter, seguimos hablando de ciberseguridad.
Esta broma viene porque en algunas ocasiones me he encontrado este lapsus de red/read team, y ha dado para meme. Ahora a lo importante.
Por una parte, se llama red team al equipo que se ocupa de seguridad ofensiva, los que simulan las técnicas de los ciberdelincuentes para detectar vulnerabilidades o agujeros de seguridad con el objetivo de resolverlos.
Por otro lado, también se usa para definir un equipo o departamento que se encarga de llevar a acabo los “ejercicios de red team”.
Hoy vamos a hablar de Red Team como equipo, que se puede decir que son la joya de la corona de la parte ofensiva y a lo que aspira gran parte de los pentesters.
Red teamers: Son los perfiles que en sus trabajos deben evitar hacer ruido, levantar alertas o sospechas en el target que están atacando, de forma que se evalúa tanto la infraestructura y los procesos que están dentro del alcance, como las respuestas defensivas del objetivo puedan intentar bloquear y evitar que el ataque sea exitoso.
Como vemos en el meme, el equipo de Red Team debe buscar alternativas para entrar en la empresa, que no son siempre las más obvias
Características de los ejercicios de Red Team:
Simula un ataque dirigido de ciberdelincuentes.
Objetivo definido.
Equipo multidisciplinar. Puede estar formado por profesionales de pentesting, malware, hardware hacking, ingeniería social, etc.
En la empresa que lo contrata poca gente sabe que se está llevando a cabo el ejercicio. Esto es así para obtener los resultados más reales tanto para conocer la respuesta real por parte del equipo de defensa a las distintas técnicas de ataque como a riesgos reales del estado de seguridad de la organización.
Identifica tanto vulnerabilidades y fallos de seguridad como la capacidad de respuesta del objetivo.
Una vez terminan estos ejercicios, al igual que ocurre con las auditorías de pentesting, los procedimientos y las vulnerabilidades identificadas se reflejan en un informe y se comparten con el cliente que había contratado este servicio.
Ejemplo de ejercicio de Red Team (Aviso: puede parecer de película 🎬):
Recopilar toda la información posible del objetivo 🔎 (técnicas OSINT, observación de las sedes…).
Acceder a las instalaciones del objetivo simulando ser del equipo de reparación de “X” 🥸 (Luz, internet, impresoras…).
Clonar tarjetas de empleados en sitios que frecuenten 🪪 (entrada/salida del edificio, cafeterías cercanas…).
Colocar un dispositivo 💾, por ejemplo, una Raspberry Pi con una batería dentro de la organización, conectada a la red interna.
Acceder desde fuera a ese dispositivo y analizar la red 🌐.
Recopilar evidencias de cada brecha de seguridad identificada 🎯.
Retirar dispositivo y limpiar posibles huellas 🧹.
Presentar informe y resultados 📊.
¿Debería contratar un ejercicio de Red Team?
En mi opinión personal depende del nivel de madurez en materia de ciberseguridad de la organización.
Para un autónomo, una PYME o empresas pequeñas no tendría sentido, ya que antes habría que cubrir otros aspectos, y sería más adecuado empezar con análisis más básicos (escaneos de vulnerabilidades, control de versiones y actualizaciones, o auditorías de seguridad).
Una empresa (posiblemente más grande) que ya tenga implementados y validados esos procesos, sí se lo debería empezar a plantear y llevar a cabo estos ejercicios. Una buena manera de empezar sería realizarlos cada 2 años.
Y por supuesto la concienciación y formación continua a empleados.
Bonus track: No te lo puedes perder
Hemos hablado de equipos multidisciplinares con diferentes capacidades, si quieres mejorar una de ellas, en concreto, tus habilidades en auditorías de aplicaciones web, tengo un curso, y puedes comprarlo aquí.
Además si entras ahora, muy pronto vienen novedades, y serás de los primeros en enterarte.
Si quieres formarte en inteligencia e ingeniería social, te traigo dos opciones:
El libro “Social Hunter: Hacking con ingeniería social en el Red Team” de 0xWord, que puedes comprar aquí.
Por otro lado, nada como la formación presencial, ¿has pensado en ir a Osintomático y te has quedado sin entrada con descuento?
Justo tenemos un sorteo abierto en twitter, participa desde este enlace.