seguritecnia 443

SEGURITECNIA Junio 2017 63 cuantas más altas sean las almenas del castillo y más grueso su muro, más difí- cil le será a un atacante llegar al torreón interior donde vive la princesa. Para po- nerle una guinda al pastel, simulamos ataques con el objetivo de comprobar lo fuertes que son nuestras medidas de defensa. Y para realizar estos tests de in- trusión solemos contratar a organiza- ciones de confianza que siguen unos protocolos establecidos. Para superarnos aún más, efectua- mos correlación de logs y registros que nos generan alertas que revisamos de forma continua para establecer compor- tamientos maliciosos. Con esto y algunas medidas más como predicción, algorit- mos de anticipación, evaluación conti- nua de riesgos, prevención, etc., le co- municamos a la dirección de nuestra or- ganización que ya pueden (podemos) dormir tranquilos. Estas medidas están bien y todas las organizaciones que se precien deben realizarlas, pero no son en absoluto suficientes. Contentarse con esto sería no con- ocer profundamente el perfil de un hacker profesional, tenaz, paciente, imaginativo, motivado por el logro, etc., ni pensar en el mayor de los parámet- ros de los que dispone para obtener sus logros: el tiempo. Red Team Y de eso va el Red Team. Un Red Team es un organismo independiente dentro de una organización que sólo reporta a su “amo”. El propietario de la empresa, el consejero delegado, el director general o el director de medios en los casos de grandes organizaciones. El director de inteligencia, el responsable de IT, el mi- nistro o un general si es un gobierno o el estamento militar. El director del hospital o el propietario del bufete si de médicos o abogados se tratase. No debe depen- der de nadie. Ni seguridad informática, ni departamento de infraestructuras, ni res- ponsable de redes. De la independen- cia del Red Team depende su éxito. No debe ser arte y parte con ningún depar- tamento de la misma organización. Si buscan en Internet, encontrarán al- gunas definiciones de Red Team. Para nosotros es un grupo independiente de ciberatacantes que reta a una orga- nización para que pueda mejorar su efectividad, dedicado a comprometer dicha organización de la misma forma que lo haría un enemigo real y utili- zando capacidades similares, es decir, sin ninguna orientación ni ayuda in- terna con el objetivo final de encontrar las puertas de entrada vulnerables de la organización y de mejorar su seguridad. En definitiva, el objetivo principal de un Red Team es realizar un ataque real contra una entidad, utilizando las capa- cidades y los métodos que emplearía un atacante externo. ¿Cómo trabaja? El Red Team es un grupo altamente or- ganizado cuyos integrantes tienen una excelente capacidad que no se limita a los recursos clásicos, ya que utilizan cualquier técnica para conseguir su ob- jetivo. En suma, lo que hace un atacante real. Táctica, paciencia y tiempo. Un test de intrusión se dirige a un ob- jetivo concreto con unas normas im- puestas y acordadas entre la empresa contratante y la contratada, normal- mente con el departamento informático o de seguridad informática. Los hac- kers no saben de normas ni de límites. Y si encuentran un obstáculo razonable cambiarán el lugar y modo del ataque para buscar otro camino que les con- duzca a sus objetivos. Un Red Team es una réplica de los hackers : piensa y actúa como ellos. Entra, golpea y sale. Este as- pecto de la salida con el botín también es importante. En un test de intrusión, la misma se limita por contrato. Nuestro razonamiento es el siguiente: está bien que el Red Team me demuestre que ha tenido acceso o que incluso vea mis intimidades, pero que no se las lleve... Como mucho, podemos exigir que cifre la información a un nivel razonable (por ejemplo, AES-256) antes de extraerla. Pero la extracción es una de las etapas más importantes de un ataque. Por eso, hacemos correlación de logs , afinamos nuestros sistemas de control de tráfico y antiataques dirigidos. Si el Red Team no se llevase el botín, nunca conoceríamos la efectividad de nuestras trampas, de- fensas y sistemas de alerta. En un test de intrusión a nadie se le ocurriría seguir a uno de nuestros altos directivos por la calle, esperar a que en- Figura 2. Resumen de los objetivos de ataques y características de un Red Team. Figura 3. Principales características de un Red Team exitoso. Seguridad Integral