por Margaret Rouse
Equipo rojo-equipo azul es un ejercicio de simulación y entrenamiento donde los miembros de una organización se dividen en equipos para competir en ejercicios de combate. En seguridad de la información (infosec), el ejercicio está diseñado para identificar vulnerabilidades y encontrar agujeros de seguridad en la infraestructura de una empresa. Los juegos de guerra también se utilizan para probar y entrenar al personal de seguridad.
Generalmente, los miembros del equipo de seguridad se dividen en dos grupos: un equipo rojo y un equipo azul. El equipo rojo juega el papel de una fuerza hostil y el equipo azul juega la defensa como organización. El objetivo del equipo rojo es encontrar y explotar las debilidades en la seguridad de la organización mientras el equipo azul trabaja para defender la organización encontrando y parcheando vulnerabilidades y respondiendo a brechas exitosas .
Los términos equipo rojo y equipo azul se utilizan a menudo para referirse a la guerra cibernética en contraste con la guerra convencional. Los juegos de guerra funcionan como un medio de prueba para los peores escenarios de ataques coordinados y enfocados por parte de atacantes expertos. Si bien las pruebas de infraestructura y personal son comunes en las ramas del ejército, son cada vez más populares en empresas, gobiernos, finanzas, infraestructura crítica y recursos clave ( CIKR ) y muchas otras instituciones de seguridad y centradas en TI.
Fuente: https://whatis.techtarget.com/definition/red-team-blue-team
Cómo ejecutar una simulación eficaz
por Robin Mejia
Los militares lo hacen. La Oficina de Responsabilidad del Gobierno lo hace. También lo hace la NSA. Y el concepto también se está abriendo camino en el mundo empresarial: la guerra contra la infraestructura de seguridad.
Los ejercicios del equipo rojo-azul toman su nombre de sus antecedentes militares. La idea es simple: un grupo de profesionales de seguridad, un equipo rojo, ataca algo y un grupo contrario, el equipo azul, lo defiende. Originalmente, los ejercicios fueron utilizados por los militares para probar la preparación de la fuerza. También se han utilizado para probar la seguridad física de sitios sensibles como instalaciones nucleares y los Laboratorios y Centros Tecnológicos Nacionales del Departamento de Energía. En los años 90, los expertos comenzaron a utilizar ejercicios de equipo rojo-azul para probar los sistemas de seguridad de la información.
“Realmente, esta es una capacidad y experiencia que se desarrolló naturalmente aquí a partir de la misión del Laboratorio como uno de los laboratorios de la agencia nacional de seguridad nuclear”, dice John Clem, gerente de programa del Equipo Rojo de Aseguramiento de Diseño de Información en el Laboratorio Nacional Sandia del DoE. Los expertos de Sandia ayudaron a asesorar a la Comisión del Presidente sobre Protección de Infraestructura Crítica en la década de 1990, lo que llevó al grupo actual a centrarse en la seguridad de la información. El equipo de Clem ha “unido” la infraestructura de Sandia y ha trabajado con otras agencias federales y, como parte de la misión de protección de la infraestructura del laboratorio, el equipo también trabaja con empresas del sector privado. Clem destaca la opinión generalizada de que el 85 por ciento de la infraestructura crítica de los Estados Unidos es propiedad de empresas privadas. Estas empresas mantienen refinerías de petróleo, plantas de energía nuclear y proveedores de telecomunicaciones en funcionamiento de forma segura. Los investigadores del Laboratorio Nacional de Idaho ofrecen un servicio similar al de Sandia, a veces construyen bancos de pruebas modelo para imitar la red de una empresa.
Sin embargo, las empresas de cualquier industria pueden beneficiarse de un ejercicio de equipo rojo-azul. SANS organizó un evento de guerra cibernética en sus entrenamientos de Las Vegas de 2007 en el que un equipo rojo atacó a una empresa falsa a la que llamó GIAC Enterprises, supuestamente el mayor proveedor mundial de fortunas para galletas de la fortuna. En febrero de este año, eBay realizó un ejercicio de equipo rojo con varios CISO y proveedores invitados. Para aquellos que se perdieron el ataque de la galleta de la fortuna o la confabulación de eBay, hemos recopilado consejos sobre cómo aprovechar al máximo su propia simulación de equipo rojo-azul de seguridad de la información.https://imasdk.googleapis.com/js/core/bridge3.429.0_en.html#goog_1268054255Volumen 0%
Invite a las personas adecuadas a su reunión inicial
“Empiezo por reunir al personal de administración y seguridad en la misma sala”, dice Michael Assante, estratega de protección de infraestructura del Laboratorio Nacional de Idaho (INL). “Pido al equipo de seguridad que haga un análisis exhaustivo de lo que tenemos en marcha”.
Esta es una de las formas más fáciles de identificar vulnerabilidades de seguridad y también ayuda con un problema clave para cualquier ejercicio exitoso del equipo rojo-azul: compre. Sí, es una de las frases más utilizadas en el vocabulario de un consultor, pero la aprobación de la gerencia y los empleados es esencial cuando se prueban los sistemas de seguridad de la información.
El objetivo de un ejercicio de equipo rojo-azul no es solo identificar los agujeros en la seguridad, sino capacitar al personal y la gerencia de seguridad. Si no todo el mundo está de acuerdo con el valor del ejercicio, rápidamente puede convertirse en una postura defensiva y una pérdida de tiempo. Después de todo, es posible que esté pidiendo a los superiores el tiempo y el presupuesto necesarios para corregir los defectos que descubra el ejercicio.
Una evaluación inicial puede identificar cambios que se deben realizar. Entonces, es hora de empezar.
Ataca la pizarra
La versión más simple de un ejercicio de equipo rojo-azul requiere poco más que una mesa de conferencias. Divida a su personal de seguridad en equipos y pase una tarde hablando de posibles escenarios de ataque y defensa. El elemento clave para el éxito es un equipo rojo que pueda adoptar la mentalidad de un atacante.
“La formación de equipos rojos es un proceso de pensamiento”, explica Tom Anderson de INL. “El problema de que las personas que construyeron [el sistema de seguridad] lo hagan es que tienen interés en protegerlo”. Para combatir el interés propio y la homogeneidad, Anderson y Assante crean equipos diversificados donde los expertos de INL trabajan junto con el personal de la empresa a la que asisten.
Eso no quiere decir que no pueda hacerlo por su cuenta, pero es importante al menos tratar de pensar como un extraño. “Muchas veces, cuando desarrollamos sistemas de seguridad, es para que la persona honesta sea honesta”, explica Assante. Un atacante ignorará más que las reglas; él o ella ignorará las normas de la empresa. Considere quiénes pueden ser sus atacantes. Las centrales eléctricas pueden ser blanco de terroristas. Bancos por delincuentes. Cualquiera por un ex empleado descontento. Puede llevar tiempo y esfuerzo dar un paso atrás y ver el sistema como un extraño, o incluso un interno que tiene la intención de hacer daño.
Uno de los valores de un ejercicio de mesa es que permite a los jugadores considerar el sistema como un todo. Es poco probable que la mayoría de las empresas que no albergan materiales nucleares realicen ejercicios físicos a gran escala con las fuerzas armadas asaltando su edificio, pero es importante tener en cuenta la seguridad física al desarrollar ataques de pizarra.
“Los sistemas físicos tienen que proteger los ciberesistemas y los ciberesistemas tienen que proteger los sistemas físicos”, dice Ray Parks, líder del Sandia Red Team. “Lo primero que me dicen los chicos que diseñan sistemas de seguridad física es, por lo general, que la columna vertebral de nuestra seguridad es una Ethernet gigabit”. Elimine eso (mediante un ataque cibernético o físico) y, de repente, el sistema de control de acceso físico está fuera de servicio.
El ejercicio de la sala de conferencias es especialmente importante para las empresas que nunca antes han intentado un ejercicio de equipo rojo-azul. “Con solo hacer un ejercicio de mesa, puede aprender mucho sobre su riesgo”, dice Assante.
Y, por extraño que parezca, mantener las cosas hipotéticas brinda una oportunidad de aprendizaje que un ciberataque real por parte de profesionales de alto nivel puede no tener. En un artículo reciente, Greg B. White, director del Center for Infrastructure Assurance and Security, calificó los ataques del equipo rojo contra objetivos verdaderamente no preparados como “aproximadamente equivalentes a los reclutas del ejército que intentan defender una instalación de un grupo de fuerzas paramilitares de élite”. , los reclutas sabrían que no estaban preparados, pero el ejercicio no les proporcionaría ningún entrenamiento para prepararlos “.
Un ejercicio de mesa brinda la oportunidad de reflexionar y evaluar las opciones de respuesta y los ataques. Y luego piense en lo que podrían significar las posibles infracciones.
“¿Cuál es la consecuencia final?” dice Assante. “¿Una pérdida de $ 10 millones? ¿Riesgo regulatorio? ¿Está en riesgo la seguridad de los empleados? ¿O de los clientes?
Red-team the network
Sin embargo, una vez que haya arreglado los agujeros que identificaron sus ejercicios de pizarra, un ejercicio de ataque y defensa en vivo puede proporcionar un nivel completamente nuevo de conocimiento, pero no es una actividad para tomarse a la ligera. En algunos casos, las vulnerabilidades se pueden demostrar de forma segura en una red corporativa activa, pero no es aconsejable lanzar un ataque real contra sus sistemas de producción.
“Ciertos tipos de sistemas casi nunca deben someterse a pruebas de penetración en vivo”, señala Clem. Cuando trabaja con empresas que dependen de los sistemas SCADA (control de supervisión y adquisición de datos) para mantener las plantas en funcionamiento, algo común en industrias como la generación de energía y las refinerías de petróleo y gas, Clem trabaja en redes de prueba que no están conectadas al proceso de la empresa. control S.
Assante dice que en Idaho National Labs, su equipo ha construido bancos de prueba específicos para el cliente que imitan la red real de la compañía para ofrecer lo que él llama “capacitación inmersiva facilitada”. Algunos miembros del personal de seguridad y de red intentan defender la red, mientras que otros se unen a los compañeros del equipo rojo de Assante para atacarla.
“Esto le da confianza al equipo azul, a los defensores”, dice Assante. “También es muy útil para el equipo rojo. Ves las vulnerabilidades bajo una luz completamente nueva. Y ellos traen esa capacitación” a sus compañeros de trabajo.
Giovanni Vigna es profesor asociado en el grupo de seguridad informática del departamento de informática de la UC Santa Bárbara. La mayoría de sus estudiantes van a trabajar para startups o como consultores de seguridad. Al final del semestre de otoño de cada año, para la final de su clase, Vigna organiza una competencia Capture the Flag, un ejercicio sofisticado del equipo rojo-azul en el que todos los equipos atacan y defienden. Es un evento tan popular que ha expandido la competencia a otras universidades; El pasado mes de diciembre participaron clases de 36 equipos de cuatro continentes.
“Si te dan un sitio web y tienes que irrumpir en él, es una experiencia increíblemente valiosa”, dice Vigna. “Puedes leer sobre la inclusión de archivos PHP y cómo es un problema, pero una vez que aprovechas uno de esos beneficios, realmente comprendes lo que está pasando”.
Red-team a tus usuarios
Incluso en National Labs, los empleados suelen ser el eslabón más débil de un plan de seguridad. Pero incluso si no tiene que preocuparse de que los empleados copien material clasificado en computadoras domésticas, es importante pensar en cómo un enemigo podría aprovechar las debilidades en el comportamiento de sus empleados.
¿Abren puertas automáticas? Haga clic en los archivos adjuntos de correo electrónico de extraños? Puede probar estos problemas y otros similares. Suponiendo que tenga una política de seguridad escrita y que los empleados la conozcan, es posible que no desee anunciar un ejercicio del equipo rojo, ya que su objetivo es determinar los riesgos del comportamiento normal. Assante y Anderson dejaron dispositivos USB en los edificios de oficinas para ver quién los recogió y los conectó a sus computadoras. También enviaron correos electrónicos de phishing a los empleados para ver quién mordía el anzuelo.
Al igual que con los ejercicios anteriores, considere las posibles consecuencias de estas acciones y también cómo puede utilizar el ejercicio para proporcionar entrenamiento. Piense en las aterradoras pantallas de advertencia azules cuando los usuarios hacen clic en enlaces incorrectos en spam.
Enjuague y repita
Si ha hecho todas estas cosas, probablemente se sienta bastante bien con la seguridad de su información, y debería hacerlo. Pero no por mucho tiempo. Cualquier OSC que se precie sabe que la seguridad es un objetivo en movimiento. Los malos se están adaptando. Aún más importante, su red está cambiando. Con toda probabilidad, también lo es su base de empleados.
Sandia’s Parks recuerda haber visitado a un cliente que había implementado un sistema de doble puerta con trampa para personas frente a un área segura. Sin embargo, el controlador de identificación por deslizamiento que abrió las puertas estaba ubicado en la oficina corporativa regular y también estaba conectado a los sistemas del departamento de recursos humanos. El resultado fue que el acceso al área “segura” estaba controlado por sistemas ubicados en áreas no seguras. El sistema de deslizamiento de credenciales había sido diseñado para el acceso al edificio. Luego, más tarde, el gobierno ordenó el sistema de doble puerta con trampa para hombres, por lo que la compañía simplemente extendió un sistema de identificación y deslizamiento que ya tenía implementado. “No habían pensado en el hecho de que el sistema de distintivos no estaba diseñado para eso”, dice Parks.
El equipo rojo ayuda a las empresas a comprender las consecuencias no deseadas de ese tipo de decisiones, y no solo en las empresas con sistemas de doble puerta. El equipo rojo de Sandia desarrolló una especialidad en seguridad inalámbrica porque surgió la necesidad.
“Muchas personas migran de una red cableada a una inalámbrica asumiendo que funciona exactamente igual, porque desde su perspectiva, funciona igual”, explica Parks. “No se dan cuenta de que hay diferentes características que proporcionan diferentes superficies de ataque”.
“El equipo rojo es bueno para ayudar al cliente a comprender las interdependencias”, dice Clem, quien aboga por llevar una mentalidad de equipo rojo a las decisiones de diseño. Quiere que sus clientes piensen: ¿Cómo afecta esa funcionalidad adicional a la seguridad? ¿Qué podría hacer el malo si hacemos eso?
