Cuando se trata de ciberseguridad, generalmente ninguna organización es 100% segura. Incluso en organizaciones con tecnologías de seguridad avanzadas, puede haber puntos problemáticos en elementos clave, como personas, procesos comerciales, tecnologías y puntos de intersección asociados.

Existen muchos servicios para verificar el nivel de seguridad: análisis de la seguridad de sistemas y aplicaciones, pruebas de penetración, evaluación de la conciencia del personal sobre problemas de seguridad de la información, etc. Sin embargo, debido al panorama en constante cambio de las amenazas cibernéticas, la aparición de nuevas herramientas y grupos criminales, surgen nuevos tipos de riesgos que son difíciles de identificar utilizando los métodos tradicionales de análisis de seguridad.

En este contexto, el enfoque más realista y avanzado para las pruebas de seguridad,
En nuestra opinión, las órdenes cibernéticas en el formato Red Teaming son una evaluación continua de la seguridad de los sistemas de información, la preparación de especialistas en respuesta a incidentes y la resistencia de la infraestructura a nuevos tipos de ataques, incluyendo APT (amenaza persistente avanzada, amenaza persistente compleja, ataque cibernético dirigido). Al llevar a cabo Red Teaming y practicar la respuesta a los ataques controlados, el equipo de seguridad interna puede mejorar sus habilidades para detectar amenazas previamente no detectadas para detener a los atacantes reales en las primeras etapas del ataque y evitar daños materiales y de reputación al negocio.

Sobre cómo funcionan los pedidos cibernéticos en el formato Red Teaming, dice Vyacheslav Vasin ( vas-v ), un analista líder en el Departamento de Auditoría y Consultoría del Grupo-IB .

Red Teaming. Que es esto

Red Teaming es una forma integral y más realista de probar la capacidad de una organización para repeler ciberataques complejos utilizando métodos y herramientas avanzados del arsenal de grupos de hackers.

La idea principal de este ejercicio no es solo identificar las debilidades potenciales que no se detectaron utilizando metodologías de prueba estándar, sino también evaluar la capacidad de la organización para prevenir, detectar y responder a los ciberataques.

Red Teaming ayuda a una organización a comprender:

cómo la seguridad protege los activos importantes
si el sistema de advertencia y monitoreo está configurado correctamente
qué oportunidades están disponibles para un atacante en la infraestructura interna si los recursos de su usuario se ven comprometidos

Por lo tanto, todo debe ser real y máximamente realista: el servicio de seguridad del Cliente (Equipo Azul) no está informado sobre el inicio del trabajo para que el Equipo Rojo pueda modelar las acciones de los atacantes reales en función de un análisis especial de amenazas y evaluar la posibilidad de "romper" la infraestructura.

Las órdenes cibernéticas en el formato Red Teaming son más efectivas para empresas con un nivel maduro de seguridad de la información. No están limitados de ninguna manera en el tiempo de exposición y se centran en lograr los objetivos, ya sea para obtener acceso a los nodos de la red o información confidencial por cualquier medio disponible.

Los escenarios principales de Red Teaming, que son únicos para cada Cliente, dependen de los objetivos establecidos.

Los escenarios de uso común incluyen:

Captura de bosque de Active Directory
acceso a dispositivos de alta gerencia
imitación de robo de datos confidenciales de clientes o propiedad intelectual

Leer Teaming vs. Prueba de penetración

A pesar de que Red Teaming y las pruebas de penetración utilizan herramientas de ataque cibernético similares, los objetivos y resultados de ambos estudios son muy diferentes.

Equipo rojo

El proceso Red Teaming simula ataques reales y dirigidos a toda una organización. La ventaja de este enfoque es la investigación continua de los sistemas de información para lograr los objetivos. Dicha verificación profunda proporciona una comprensión integral de cuán segura es la infraestructura, los empleados son conscientes y los procesos internos de la organización son efectivos cuando se expone a un ataque real.

Prueba de penetración

En el curso de este estudio, los especialistas en pruebas de penetración intentan explotar las vulnerabilidades detectadas y aumentar sus privilegios para evaluar el posible riesgo de estos impactos. Esta prueba no prueba la preparación para la detección y respuesta a incidentes de seguridad de la información.

Las siguientes son algunas de las diferencias entre Red Teaming y Penetration Testing:

	Equipo rojo	Prueba de penetración
Métodos de ataque	Todos los métodos aprobados, incluidos los destructivos, si se aprueban, son aprobados por el Cliente. Su objetivo es lograr un objetivo acordado, demostrar la posibilidad de impactos críticos en la organización y probar personas, procesos y tecnologías.	Métodos técnicos para atacar una lista acordada de objetos, con la excepción de los destructivos. Ingeniería social, si su uso ha sido autorizado por el Cliente. Cobertura limitada, dirigida a la verificación técnica de activos específicos de la organización.
Bypass de detección	Es importante evitar los sistemas de detección de intrusos, ya que las reglas del juego cambian al usarlos.	Es importante identificar las vulnerabilidades técnicas del sistema y no evadir los sistemas de detección de intrusos.
Actividad post-operativa	Explotación de vulnerabilidades para capturar los datos necesarios y desarrollar aún más el ataque.	Si se obtiene acceso a los datos, se completan las pruebas.
Resultados	Un informe detallado que describe todas las acciones tomadas y cómo lograr los objetivos. Información detallada sobre todos los activos comprometidos y evaluación de la capacidad del Cliente para detectar y responder correctamente a un ciberataque a tiempo.	Un informe detallado que describe todas las vulnerabilidades detectadas y sus niveles de riesgo. Información detallada sobre los controles y los resultados de su aprobación.

La experiencia de Group-IB muestra que Red Teaming y Penetration Testing se complementan perfectamente. Cada estudio es importante y útil para la organización a su manera, porque en el curso de una prueba combinada de este tipo es posible evaluar tanto la seguridad pasiva de los sistemas como la seguridad activa de la empresa en su conjunto.

Red Teaming complementa varias formas de pruebas (por ejemplo, análisis de código, pruebas de penetración, etc.) y se incluye en el plan para la verificación de seguridad de la información a medida que la organización crece.

La siguiente es una comparación de objetivos y resultados de investigación similares a Red Teaming:

Nuestro enfoque

Actividades del proyecto

La investigación en el formato Red Teaming se divide en varias etapas sucesivas. Para aumentar la eficiencia, algunas acciones dentro de las etapas principales pueden comenzar antes o realizarse en paralelo con otras, teniendo en cuenta el tiempo limitado. Por lo tanto, en la práctica, el proceso Red Teaming no es una secuencia lineal tan clara de pasos.

Las siguientes son las etapas principales del trabajo de Red Teaming:

Puede encontrar más información sobre cada etapa en el spoiler:

1. La etapa preparatoria

Duración: 4 a 6 semanas.

Evalúa las necesidades actuales de una organización en particular y la cantidad de trabajo.

En esta etapa, se especifican los puntos clave para llevar a cabo Red Teaming y se anuncia el lanzamiento oficial del proyecto:

Se crea un grupo de trabajo a partir de representantes del Cliente y el Contratista.
se determina el alcance del trabajo (duración, volumen, acciones prohibidas, etc.)
los protocolos y formatos de interacción son consistentes
El equipo rojo se forma de acuerdo con las necesidades del proyecto actual.

2. Etapa del equipo rojo

Duración: a partir de 12 semanas o más

En esta etapa, el equipo rojo:

produce inteligencia en formato de inteligencia de amenazas
desarrolla escenarios basados en funciones críticas del sistema y modelos de amenazas
forma un plan e intenta atacar objetivos acordados (activos, sistemas y servicios que contienen una o más funciones críticas)

La etapa se divide en dos etapas principales: ciberinteligencia y desarrollo de escenarios, así como pruebas en el formato Red Teaming.

Etapa número 1.
Ciberinteligencia y escenarios

El equipo rojo está realizando ciberinteligencia. El Cliente también puede contactar a un proveedor externo de Inteligencia de amenazas (TI) para un análisis de amenazas dirigido (Informe TTI) para el objeto bajo investigación, que complementará más escenarios de prueba y proporcionará información útil sobre el Cliente.

La tarea principal es estudiar el perfil, la estructura y la dirección de las actividades de la organización, determinar las amenazas, los nodos clave y los objetivos más apropiados desde el punto de vista del atacante.

En función del trabajo realizado, se compila un plan de prueba y una lista de escenarios prácticos de posibles ataques para su posterior verificación. Los escenarios desarrollados tienen en cuenta no solo los enfoques aplicados anteriormente, sino también los nuevos métodos de los actores de amenazas relevantes.

Etapa número 2.
Prueba de equipo rojo

Según el plan y los escenarios generados, el Equipo Rojo lleva a cabo ataques encubiertos en funciones o activos críticos identificados de los sistemas de destino. Cuando surgen obstáculos, se desarrollan métodos alternativos para lograr los objetivos utilizando las tácticas de los atacantes avanzados.

Todas las actividades de trabajo y equipo se registran para preparar un informe.

3. La etapa final

Duración: 2 a 4 semanas.

La prueba de Red Teaming se completa y pasa a esta etapa después de que todos los pasos se hayan completado con éxito, o el tiempo asignado para el trabajo haya expirado

En esta etapa:

El Equipo Rojo prepara un informe que describe el trabajo, conclusiones y observaciones sobre la detección y respuesta de amenazas y lo pasa al Equipo Azul
El equipo azul prepara su propio informe que describe las acciones tomadas en función de la cronología del informe del equipo rojo.
Los participantes del proceso intercambian resultados, los analizan y planifican pasos adicionales para mejorar la estabilidad cibernética de la organización.

Las partes directas involucradas en el proceso de Red Teaming son:

El equipo blanco es el gerente responsable, los representantes necesarios de las unidades de negocio del Cliente y el número requerido de expertos en seguridad que conocerán el trabajo.
Blue Team - Servicio de seguridad del cliente para la detección y respuesta de incidentes de seguridad de la información
El equipo rojo es un gerente responsable y expertos que simulan ataques dirigidos.

Un ejemplo de un equipo rojo en un proyecto se presenta bajo un spoiler

Metodología

Para simular ataques a un objetivo establecido, los expertos del Grupo IB utilizan una metodología probada que incluye prácticas internacionales y se adapta a un Cliente específico para tener en cuenta las características de la organización y no interrumpir la continuidad de los procesos comerciales críticos.

El ciclo de vida de las pruebas en el formato Red Teaming sigue el modelo de The Cyber Kill Chain y tiene los siguientes pasos generalizados: reconocimiento, armamento, entrega, operación, instalación, obtención de control y realización de acciones en relación con el objetivo.

Uno de los Red Teaming Case Group-IB

Accediendo a Active Directory

El cliente era un grupo de empresas en el segmento de producción.

El objetivo es obtener acceso administrativo al controlador de dominio de Active Directory en la sede de la compañía.

En el curso del trabajo, se descubrió que el Cliente utiliza la autenticación multifactor (tarjetas inteligentes) para todo tipo de acceso en la sede, incluidos los servicios web remotos y externos. El uso de la ingeniería social está prohibido.

Infraestructura generalizada de una empresa industrial:

Acciones y resultados del grupo IB

Los expertos del Grupo IB realizaron un reconocimiento exhaustivo y determinaron que la sede había adquirido 14 empresas y las reorganizó en sus subsidiarias durante las operaciones de Red Teaming. El Equipo Rojo logró obtener permiso para realizar un ataque contra todas las empresas del grupo. Luego, una subsidiaria con protección débil, incluidos los controladores de dominio branch1.domain.com, fue "pirateada" y se descubrió una VPN entre las redes locales de la sucursal (VPN de malla completa de sitio a sitio).

El cliente tenía un bosque de dominio de Active Directory a medio construir para todas las sucursales, pero no podía fortalecer la red externa (consulte la figura a continuación).

La conexión de red estaba bien protegida. Los mecanismos de confianza entre los dominios de bosque de Active Directory no funcionaron para los controladores en el dominio branch1.domain.com. El ataque se distribuyó a branch2.domain.com, obteniendo derechos de administrador de dominio allí.

Intento inicial de "hackear" Active Directory:

Usando el ataque de "boleto dorado" de Kerberos, el Equipo Rojo omitió la protección usando tarjetas inteligentes en un "nivel bajo" debido a las características de implementación del protocolo Kerberos. Al operar el mecanismo de confianza entre los dominios de Active Directory, el equipo logró obtener derechos administrativos en la oficina central.

Acceso a Active Directory en la oficina central:

Por lo tanto, los controladores de dominio en la sede fueron "pirateados".
Los expertos del Grupo IB han alcanzado el objetivo del proyecto Red Teaming.

Para resumir

Después de leer todo el material, aún puede surgir la pregunta, ¿por qué "órdenes cibernéticas"? Repito, al llevar a cabo Red Teaming y practicar la respuesta a los ataques controlados, el equipo de seguridad interno puede mejorar sus habilidades para detectar amenazas previamente no detectadas a fin de detener a los atacantes reales en las primeras etapas del ataque y evitar daños materiales y de reputación al negocio. Además, como parte de la capacitación, se puede realizar un evento para reproducir conjuntamente los ataques y contrarrestarlos.

Las pruebas en el formato Red Teaming le dan a la organización una idea de las fortalezas y debilidades de la ciberseguridad, y también le permite definir un plan de mejora en esta área para la continuidad de los procesos comerciales y la protección de datos valiosos.

Al agregar Red Teaming como parte de su estrategia de seguridad, una empresa puede medir las mejoras de seguridad a lo largo del tiempo. Dichos resultados medibles pueden usarse para la viabilidad económica de proyectos adicionales de seguridad de la información y la introducción de los medios técnicos necesarios de protección.

La revisión analítica completa del Grupo Rojo del Grupo IB se puede encontrar aquí .

Simulación de ataques dirigidos como una evaluación de seguridad. Instrucciones cibernéticas de Teaming rojo