¿El “Red/Blue Teaming” es adecuado para su red?
Los juegos de guerra, los simulacros de incendios y las pruebas de vestuario existen por la misma razón: si no se prepara de antemano para hacer frente a determinadas situaciones, probablemente llevará las de perder. No obstante, existe un ejercicio equivalente en ciberseguridad diseñado para simular un ataque y encontrar agujeros en las defensas de su red antes de que lo haga un verdadero cibercriminal. Se llama “red teaming” y “blue teaming” o equipo rojo y equipo azul y todo el mundo puede acceder a él.
¿Qué son los equipos rojo, azul y morado?
En ciberseguridad, el equipo rojo es un grupo de “hackers éticos” que actúa como el adversario y realiza una intrusión física o digital. Para obtener mejores resultados, el equipo rojo es contratado por la organización, en lugar de estar compuesto por miembros de la misma. De este modo, tiene una visión externa similar a la que tendría un adversario. No obstante, el grupo también puede estar compuesto por personal de la organización.
A menudo, estos ejercicios consisten en tareas como obtener acceso a una red, hacer un reconocimiento, conseguir credenciales, cifrar datos, tomar el control de los navegadores, actividades de ingeniería social, y un largo etcétera. En algunos ejercicios, el equipo rojo pasa parte de la simulación tratando de pasar desapercibido a fin de evitar ser detectado por los empleados u otros asociados de la organización.
La principal ventaja de los equipos rojo/azul/morado frente a las pruebas de penetración es el factor sorpresa: el equipo azul, creado para actuar en oposición al equipo rojo, a menudo desconoce que se está llevando a cabo una simulación. El resultado es que el equipo azul (y otros dentro de la empresa) tratan la simulación como una verdadera intrusión, recurriendo a la caza de amenazas y a otras estrategias de defensa, tal y como cabría esperar en el caso de un auténtico incidente de seguridad. Gracias a ello, el equipo azul ayuda a mejorar los planes de respuesta a incidentes y a asegurarse de que están preparados para hacer frente a un ataque real.
Además de desarrollar las defensas, estos ejercicios también ayudan a fomentar una cultura más orientada a la seguridad en la organización.
Muchas simulaciones también utilizan un “equipo morado.” Este grupo está compuesto por miembros de los equipos rojo y azul, e incluso puede incluir a individuos externos que no participan en la simulación, como directivos, ingenieros de software, etc. Aunque son opcionales, los equipos morados pueden ayudar a las organizaciones a sacar el máximo partido a su ejercicio de red/blue teaming al registrar hallazgos y resultados y contribuir a realizar ajustes en las simulaciones en marcha.
¿Por qué las pruebas con equipos rojo/azul/morado son mejores que las pruebas de penetración?
Si bien las pruebas con equipos rojo/azul/morado comparten ciertos elementos de las pruebas de penetración, se trata de un ejercicio distinto: las pruebas de equipo rojo son más largas y exhaustivas e incluyen reglas de interacción más complejas, así como una evaluación más extensa.
Mientras que las pruebas de penetración generalmente se limitan a describir las vulnerabilidades y cómo se ha producido la filtración, las pruebas de equipo rojo proporcionan una visión general detallada de las capacidades de respuesta de un programa de seguridad.
Los equipos rojo/azul/morado proporcionan una evaluación del estado de seguridad de una organización que las pruebas de penetración no pueden ofrecer por sí solas y que permite a la organización validar su nivel de riesgo y determinar el impacto económico potencial de una brecha de seguridad.
El creciente coste de los equipos rojo/azul/morado
No obstante, todo tiene un coste. Las pruebas de equipo rojo empiezan en torno a los 10.000 dólares, y pueden alcanzar hasta 85.000 dólares por una evaluación más compleja y extensa.
Existen varias formas de limitar este coste, como restringir el alcance y el tiempo dedicado por el equipo rojo, limitar al equipo rojo a un vector o superficie de ataque en particular o buscar un proveedor de equipo rojo por un precio inferior pero capaz de cumplir los objetivos de seguridad de una organización. Sin embargo, las pruebas de equipos rojo/azul/morado son caras por naturaleza, de modo que tal vez no sean apropiadas para organizaciones con escasa probabilidad de obtener un beneficio acorde al coste.
¿Las pruebas de equipos rojo/azul/morado son adecuadas para usted?
Mientras que la información obtenida por los equipos rojo/azul/morado puede ser altamente valiosa, lo es más para unas empresas que para otras. Cabe esperar que las organizaciones sujetas a una normativa global o afiliadas al gobierno federal, así como organizaciones que trabajan con cadenas de suministro complejas, obtengan los mayores beneficios de este tipo de pruebas.
El que una organización opte o no a iniciar pruebas de equipos rojo/azul/morado puede depender de diversos factores, como los mandatos de cumplimiento normativo a los que está sujeta, los requisitos de privacidad de datos y la tolerancia de la organización al riesgo en general. Dado que una filtración de datos media cuesta millones de dólares, las organizaciones deben evaluar por sí mismas si su probabilidad de sufrir un ataque justifica el gasto.
Si no puede justificar el coste—o no puede justificarlo todavía—eso no significa que no pueda beneficiarse de algunas de las ventajas que proporcionan las pruebas de equipos rojo/azul/morado. Si desea obtener más información sobre cómo beneficiarse de las ventajas de los equipos rojo/azul con un presupuesto limitado, inscríbase en el próximo seminario virtual Mindhunter 13 aquí.