Ser violado es la forma más segura de conocer las vulnerabilidades de seguridad cibernética de su organización. Y es por eso que necesita piratear usted mismo antes de que lo hagan los actores de amenazas. Una simulación de ataque y violación cibernética, también llamada formación de equipos rojos, es mejor para comprender las vulnerabilidades en la práctica, en lugar de solo la teoría, para con ello disminuir las brechas de seguridad lo más que se pueda. ¿Qué puede hacer antes, durante y después de un ataque simulado para reforzar sus defensas?
Tipos de simulaciones
Algunos métodos para encontrar vulnerabilidades se confunden fácilmente entre sí. Aquí hay tres enfoques básicos:
Evaluación de vulnerabilidades: se trata de un análisis de rutina semiautomático o completamente automático en busca de vulnerabilidades conocidas públicamente. El sistema recopila datos de la red y los dispositivos conectados y los compara con una base de datos de vulnerabilidades conocidas. Este no es un ejercicio de simulación.
Pruebas de penetración: un ejemplo de cómo se pueden violar los sistemas de seguridad. Muestra cómo un actor de amenazas podría obtener acceso en algún lugar de su infraestructura de TI y acceder a datos o sistemas confidenciales. Esto es principalmente manual y aplica las habilidades del probador de lápiz para encontrar una manera de entrar.
Equipo rojo: también conocido como ejercicios del equipo rojo contra el equipo azul, estos simulan un ataque sostenido (por parte del equipo rojo) para probar la forma en que sus defensores (el equipo azul) detectan y responden a un ataque. La idea es probar sistemas, procesos y personas a la vez.
Los dos últimos a veces se confunden entre sí. ¿Qué es exactamente la prueba de penetración comparada con la prueba del equipo rojo? La principal diferencia es que las pruebas de penetración prueban sistemas específicos (hardware y software). Es humano contra máquina. Mientras tanto, los ejercicios del equipo rojo contra el equipo azul ponen a prueba sus defensas digitales en su conjunto: hardware, software, personas, políticas, procedimientos y más. Es un equipo de humanos contra otro, cada uno con sus respectivas herramientas y procesos.
Antes de la simulación de violación y ataque
La fase previa a la simulación de la seguridad del equipo rojo es a menudo la parte más larga e importante. En primer lugar, considere la frecuencia con la que debe realizar las pruebas del equipo rojo frente al equipo azul. Pueden tener lugar una vez al año, cada seis meses, trimestralmente, mensualmente o con alguna otra frecuencia.
Determine si contratará equipos rojos internos o utilizará personal interno. Cada enfoque tiene mérito, pero decida de antemano.
Reúna inteligencia sobre amenazas antes del falso ataque. Investigue los actores de amenazas con más probabilidades de apuntar a su industria e implemente sus objetivos y métodos en el plan de ataque.
Establezca el alcance y el propósito de su ejercicio. Asegúrese de identificar objetivos y también no objetivos, recursos que están fuera de los límites. Forme, articule y documente claramente sus objetivos. Un objetivo aislado del equipo rojo podría verse así: infiltrarse en un segmento de red específico, robar las credenciales de un líder (nivel C o administrador de TI) y exfiltrar datos financieros.
Obtenga la aprobación y la aceptación de todos los líderes y partes interesadas. Un desafío es que las herramientas de ciberseguridad ofensivas tienden a ser más difíciles de justificar con un presupuesto que las defensivas. Así que tenga cuidado al hacer que el retorno de la inversión justifique el poder de los ejercicios efectivos del equipo rojo y la importancia de utilizar las herramientas adecuadas del equipo rojo para llevarlos a cabo.
Defina un punto de partida para la simulación de violación y ataque. Esto debe basarse en el conocimiento supuesto del atacante. ¿Obtienen su información solo de fuentes públicas? ¿O tienen conocimiento interno? Defina lo que sabe el atacante simulado y planifique comenzar el ataque basándose únicamente en ese conocimiento.
Planifique la comunicación. Una opción es que el equipo rojo no le diga nada al equipo azul sobre objetivos, métodos y enfoques. El otro es un enfoque de “equipo púrpura”, con comunicación abierta. Ambos trabajan. Pero decida de antemano y apéguese a ello durante el ejercicio.
Repase el último ejercicio que realizó para refrescar los recuerdos de cómo fue y cómo el próximo ejercicio podría mejorarse con respecto al anterior.
Durante la simulación de ataque y violación
En esta etapa, lanzarás el ataque. Esto a menudo comienza con un ataque de phishing para que la víctima instale malware, según la planificación.
Desde aquí, concéntrese en las amenazas internas y las oportunidades para violar la seguridad, robar credenciales, obtener acceso y robar datos. La simulación de ataques es un gran ejercicio de entrenamiento, así que asegúrese de incluir a todos los que podrían beneficiarse de ella. Asegúrese de que todos los miembros del equipo se sientan libres de contribuir y agregar sus observaciones y opiniones.
El equipo rojo debe monitorear los puntos de acceso físicos y digitales. Concéntrese no solo en los sistemas, sino también en la seguridad física, la ingeniería social y el uso de datos públicos para obtener acceso. Sea consciente del personal con más probabilidades de ser el objetivo de un ataque: la alta dirección, los miembros de la junta, el personal de contabilidad y otros.
Después de la simulación de ataque
Luego, juzgue el grado de éxito en función de sus metas y objetivos establecidos. Hazlo formalmente, pero captura todo.
¿El equipo rojo logró que alguien abriera un archivo adjunto? ¿Pudieron acceder a un área en la que no deberían haber estado? ¿No se activó una alarma? ¿Fueron capaces de convencer a un empleado para que los dejara entrar o pasar por la seguridad con un grupo de empleados sin deslizar su credencial? Grabe todo.
Las vulnerabilidades y otros problemas deben señalar el camino hacia cambios en herramientas, políticas, prácticas y capacitación. Elabore un informe completo que describa en detalle el método y los pasos del ataque, las conclusiones y las recomendaciones detalladas para prevenir ese tipo de ataque en el futuro. Esto debe centrarse en clasificar los hallazgos en función del riesgo y el valor del objetivo para la organización. El informe debe clasificar claramente las vulnerabilidades y los puntos débiles en orden de los que deben corregirse primero.
Después de la reparación, pruebe la solución repitiendo el ataque para ver si el problema realmente se ha resuelto.
Tome notas también para guiar el próximo ejercicio del equipo rojo. La idea es mejorar no solo la ciberseguridad cada vez, sino también los ataques simulados. Los ataques del equipo rojo mejores y más cuidadosos conducen a una mejor seguridad del equipo azul.
Es probable que se enfrente a un actor de amenazas en algún momento. Es mejor atacarse a sí mismo primero, descubrir los problemas que permitirían su éxito y solucionarlos.