insights

Red Team vs Blue Team, mucho más que un juego

Consultoría

 | 

Telco & High-tech

Con el paso de los años, hemos visto como han ido proliferando multitud de dispositivos interconectados no sólo a la red corporativa, sino también a internet. Sectores en donde antes era impensable, ahora proliferan diminutos dispositivos que hacen uso de una conexión a internet para su monitorización y gestión remota.
Tabla de contenidos

Con el paso de los años, hemos visto como han ido proliferando multitud de dispositivos interconectados no sólo a la red corporativa, sino también a internet. Sectores en donde antes era impensable, ahora proliferan diminutos dispositivos que hacen uso de una conexión a internet para su monitorización y gestión remota.  

Con la tendencia hacia la conectividad permanente y los avances tecnológicos disponibles al alcance de cualquier consumidor vemos como también evolucionan las amenazas y los ataques. Es más que evidente que la interconexión nos facilita el desempeño en el día a día, pero a la vez, puede dejar expuesto su activo más valioso y producir daños irreparables. Es por ello que el paradigma en torno a ciberseguridad ha cambiado, hemos pasado de “deber aplicar” medidas a “tener que aplicar” medidas y soluciones de seguridad. No obstante, el mero hecho de invertir en la protección no es suficiente, como dijo el general Michael Hayden cuando el ex director de la CIA y la NSA se retiró: «Fundamentalmente, si alguien quiere entrar, entra. De acuerdo, bien. Acéptalo», las empresas deben de tener una estrategia de seguridad, garantizando que lo invertido en protección, detección y respuesta ante incidentes estén alienados. Es aquí cuando entran en juego el Red Team y el Blue Team. 

 

Ejercicios Red Team/Blue Team

Los ejercicios de Red Team y Blue Team no son un concepto nuevo y como no podría ser de otra forma tienen su origen en el ámbito militar, la idea es bien sencilla, demostrar la efectividad de un ataque por medio de simulaciones. En el ámbito de la ciberseguridad la adopción del enfoque Red team/Blue team ayuda a las empresas a mantener sus activos más valiosos a buen recaudo. Estos equipos se componen de personal multidisciplinar altamente cualificado, con conocimientos en múltiples campos relacionados con la seguridad, que están al tanto de las últimas tendencias y conocen como se producen los ataques actuales que tienen como finalidad explotar las vulnerabilidades más relevantes que podrían afectar a la empresa. 

El Red Team se encargará de realizar un ataque a la infraestructura de la empresa intentando avanzar y romper los controles de seguridad de la misma, su misión es por tanto encontrar vulnerabilidades y explotarlas para poder acceder a los activos de la empresa. 

En su contraposición, nos encontramos con el Blue Team, ellos son los encargados de asegurar los activos valiosos de la empresa, y en el caso de que el Red Team consiga encontrar una vulnerabilidad y explotarla, serán los encargados de remediarlo lo más rápidamente posible y documentarlo como parte de las lecciones aprendidas. 

Es más que evidente que de cara al negocio es necesario saber a qué nos enfrentamos, las empresas han de poder obtener datos tangibles y evidencias de que es lo que está sucediendo en el sector en el que se mueven, cuáles son las amenazas más frecuentes y poner una solución.  

 

Métricas para el negocio

Para ello durante estos ejercicios es necesario que el Red Team realice un registro de las métricas más importantes para el negocio, estas suelen ser: 

  • Tiempo medio para comprometer el sistema o MTTC (Mean Time to Compromise): Este valor se corresponde con el tiempo desde que el Red Team inicia el ataque hasta el tiempo en el que consiguen comprometer el sistema objetivo con éxito. 
  • Tiempo medio para la escalada de privilegios o MTTP (Mean Time to Privilege Escalation): Este valor se corresponde con el tiempo desde que el Red Team inicia el ataque hasta el tiempo en el que consiguen privilegios de administrador sobre el sistema objetivo. 

 

Por otro lado, para el Blue Team es más complicado establecer métricas, dado que no tiene por qué saber el momento exacto en el que el Red Team pudo comprometer el sistema, por lo que suelen registrarse tiempos estimados, a destacar: 

  • Tiempo estimado de detección o ETTD (Estimated Time to Detection): este valor se corresponde con el tiempo desde que el Red Team inicia el ataque hasta el tiempo en el Blue Team es capaz de detectar el mismo. 
  • Tiempo estimado para la recuperación o ETTR (Estimated Time to Recovery): este valor se corresponde con el tiempo desde que el Red Team inicia el ataque hasta el tiempo en el que el Blue Team consigue restablecer completamente el sistema. 

 

Conclusión

El trabajo no termina cuando el Red Team consigue comprometer el sistema. Hay mucho más por hacer, es necesario una colaboración entre ambos equipos. Se debe crear un informe final donde se recoja como se consiguió comprometer el sistema, proporcionar una línea temporal que documente el ataque y los detalles de las vulnerabilidades que se explotaron para obtener acceso y elevar los privilegios, así como el impacto de negocio para la empresa y hacer un plan de acción para solventar las deficiencias detectadas.  

Es evidente que los ejercicios de Red Team vs Blue Team no son solo un juego de cuatro frikis que se juntan una tarde, a partir de este ejercicio nuestra empresa será capaz de identificar más rápidamente un ataque, mejorar el sistema de detección y por último, pero no menos importante, reducir el tiempo entre la infección y la contención de la misma al haber mejorado la efectividad del proceso de respuesta, manteniendo sus activos más valiosos a buen recaudo. 

Vicente Rosique Contreras

Escrito por:

Vicente Rosique Contreras

Descubre más insights acerca de:

Descubre más

SGoSat

Familia de terminales SATCOM On The Move (SOTM) para instalación vehicular y conexión estable en movilidad

SGoSat es una familia de terminales SOTM (Satellite Comms On The Move) de alta tecnología que se instalan en un vehículo, brindando la capacidad de apuntar y mantener una conexión estable con el satélite cuando el vehículo está en movimiento en cualquier tipo de condiciones.

La familia SGoSat está compuesta por terminales versátiles, que pueden instalarse en cualquier tipo de plataforma: trenes y buses, vehículos militares y / o gubernamentales, aeronaves, barcos, etc. Al haber sido diseñados originariamente para el sector militar, los terminales SGoSat son extremadamente fiables y robustos, ya que integran componentes de alto rendimiento que cumplen con las normativas medioambientales y EMI / EMC más exigentes. El producto utiliza antenas de bajo perfil y alta eficiencia, así como una unidad de posicionador y seguimiento de alto rendimiento, que permiten la operación del terminal en cualquier parte del mundo.

Con el fin de satisfacer las diversas necesidades de sus clientes, INSTER ha desarrollado terminales de banda única y terminales de doble banda en las frecuencias X, Ka y Ku.

La familia de terminales SGoSat también se puede configurar con una variada gama de radomos (incluidas opciones balísticas), adaptándose a los requisitos del cliente.