Cómo el Red Teaming automatizado continuo (CART) puede ayudar a mejorar su postura de ciberseguridad
No se trata de si una organización se verá comprometida, sino de cuándo. Un atacante hábil, bien dotado de recursos y experimentado podría muy bien ser su peor pesadilla en materia de ciberamenazas. Afortunadamente, si su organización contrata a un Red Team, un hacker ético también podría ser su mejor amigo.
Realizar pruebas de Red Team es la forma más realista de validar sus defensas, encontrar vulnerabilidades y mejorar la postura de ciberseguridad de su organización. La participación del Red Team le da a su Blue Team la oportunidad de evaluar con mayor precisión la eficacia de su programa de seguridad y de introducir mejoras. También es la forma en que más organizaciones incorporan una mentalidad de resiliencia a su postura de ciberseguridad.
Descubra las ventajas de los Red Teams, las diferencias entre los Red Teams y los Blue Teams y lo que es un Purple Team en mi publicación anterior del blog, "Red teaming 101: ¿Qué es el Red Teaming?"
Como parte de las pruebas de seguridad, los Red Teams son profesionales de la seguridad que juegan a los "chicos malos" para probar las defensas de la organización contra los defensores del Blue Team.
Tan hábiles como los verdaderos actores de amenazas, los Red Teams exploran una superficie de ataque en busca de formas de acceder, hacerse un hueco, moverse lateralmente y filtrar los datos. Este enfoque contrasta con la metodología detrás de las pruebas de penetración (o de lápiz), donde se centra en encontrar información confidencial o vulnerabilidades de seguridad explotables y probar defensas de ciberseguridad para obtener acceso a controles de seguridad.
A diferencia de los ciberdelincuentes, los Red Teamers no tienen la intención de causar daños reales. Su objetivo real es exponer las brechas en las defensas de ciberseguridad, ayudando a los equipos de seguridad a aprender y ajustar su programa antes de que ocurra un ataque real.
Una cita famosa dice: “En teoría, la teoría y la práctica son lo mismo. En la práctica, no lo son". La mejor manera de aprender a prevenir y recuperarse de los ciberataques es practicar realizando actividades de Red Team. De lo contrario, sin pruebas de qué tácticas de seguridad están funcionando, los recursos pueden desperdiciarse fácilmente en tecnologías y programas ineficaces.
Es difícil saber qué funciona realmente, qué no, dónde necesitas hacer inversiones adicionales y qué inversiones no valieron la pena hasta que tienes la oportunidad de enfrentarte a un adversario que está tratando de vencerte.
Durante los ejercicios de Red Team, las organizaciones enfrentan sus controles de seguridad, defensas, prácticas y stakeholders internos contra un adversario dedicado que monta una simulación de ataque. Este es el valor real de las evaluaciones del Red Team. Ofrecen a los líderes de seguridad una valoración realista de la ciberseguridad de su organización y una visión de cómo los piratas informáticos pueden aprovechar las diferentes vulnerabilidades de seguridad. Al fin y al cabo, no puede preguntarle a un atacante de un estado-nación qué es lo que se perdió o qué hicieron que funcionó muy bien, así que es difícil obtener el feedbak que necesita para evaluar realmente el programa.
Además, cada operación del Red Team crea una oportunidad de medición y mejora. Es posible obtener una imagen de alto nivel de si una inversión, como herramientas de seguridad, evaluadores o formación sobre concienciación en materia de seguridad, está ayudando a mitigar diversas amenazas de seguridad.
Los miembros del Red Team también ayudan a las empresas a evolucionar más allá de una mentalidad de búsqueda y corrección a una mentalidad de defensa categórica. Dar vía libre a los atacantes en la seguridad de su red puede producir miedo, pero los piratas informáticos ya están probando todas las puertas de su infraestructura de seguridad. Su mejor apuesta es encontrar las puertas desbloqueadas antes de que ellos lo hagan.
Se dice que solo hay dos tipos de empresas: las que han sido hackeadas y las que van a ser hackeadas. Lamentablemente, puede que no se aleje mucho de la verdad. Todas las empresas, independientemente de su tamaño, pueden beneficiarse de la realización de una evaluación de Red Teaming. Pero para que el compromiso de un Red Team proporcione el mayor beneficio, una organización debe tener dos cosas:
- Algo para practicar (existe un programa de seguridad)
- Alguien con quien practicar (defensores)
El mejor momento para que su organización contrate los servicios del Red Team es cuando desea comprender las cuestiones a nivel de programa. Por ejemplo, ¿hasta dónde llegaría un atacante que quiera exfiltrar datos confidenciales dentro de mi red antes de activar una alerta?
El Red Teaming también es una buena opción cuando su equipo de seguridad quiere probar su plan de respuestas a incidentes o formar a los miembros del equipo.
El Red Teaming es una de las mejores formas de poner a prueba la seguridad de su organización y su capacidad para resistir un posible ataque. Entonces, ¿por qué no optan por ella más empresas?
Por muy beneficioso que sea el red teaming, en los entornos actuales de ritmo rápido y cambios constantes, los compromisos de los Red Teams pueden quedarse cortos a la hora de detectar los cambios de ruptura en el momento en que se producen. Un programa de seguridad sólo es tan eficaz como la última vez que se validó, lo que provoca lagunas en la visibilidad y una postura de riesgo debilitada.
Construir una capacidad interna de Red Team es costoso y pocas organizaciones son capaces de dedicar los recursos necesarios. Para tener un verdadero impacto, un Red Team necesita suficiente personal para imitar el nivel de amenaza persistente y con buenos recursos de las amenazas modernas de las bandas de ciberdelincuencia y los estados nacionales. Un Red Team debe incluir miembros dedicados a las operaciones de seguridad (o subequipos de hacking ético) para los ejercicios de focalización, investigación y ataque.
Existe una variedad de proveedores externos para dar a las organizaciones la opción de contratar los servicios de Red Team. Van desde grandes empresas hasta operadores boutique que se especializan en sectores o entornos de TI concretos. Si bien es más fácil contratar los servicios del Red Team que emplear personal a tiempo completo, hacerlo puede resultar más caro, sobre todo si lo hace con regularidad. Como resultado, solo un pequeño número de organizaciones utilizan el Red Teaming con la frecuencia suficiente para obtener una visión real.
El red teaming automatizado continuo (CART) utiliza la automatización para descubrir activos, priorizar descubrimientos y (una vez autorizado) realizar ataques del mundo real utilizando herramientas y exploits desarrollados y mantenidos por expertos de la industria.
Con su enfoque en la automatización, CART le permite centrarse en pruebas interesantes y novedosas, liberando a sus equipos del trabajo repetitivo y propenso a errores que conduce a la frustración y, en última instancia, al agotamiento.
CART le ofrece la posibilidad de evaluar de forma proactiva y continua su postura general de seguridad a una fracción del coste. Hace que el red teaming sea más accesible y le proporciona una visibilidad al minuto del rendimiento de su defensa.
IBM Security Randori ofrece una solución CART llamada IBM Security Randori Attack Targeted, que le ayuda a aclarar su riesgo cibernético probando y validando proactivamente su programa de seguridad general de forma continua.
El estudio Total Economic Impact de IBM Security Randori que IBM encargó a Forrester Consulting realizar en 2023 desveló un ahorro laboral del 75 % en las actividades de Red Team aumentadas.
La funcionalidad de la solución se integra a la perfección con o sin un Red Team interno existente. Randori Attack Targeted también ofrece información sobre la eficacia de sus defensas, lo que hace que la seguridad avanzada sea accesible incluso para organizaciones medianas.
- Obtenga una prueba gratuita de 7 días
- Solicite una demostración en vivo para revisar su superficie de ataque
- Obtenga más información sobre IBM Security Randori Attack Targeted
- Apúntese a nuestro webinar sobre "Cómo ir más allá de la exploración de vulnerabilidades para reforzar su superficie de ataque"
Esta entrada de blog forma parte de la serie "Todo lo que necesita saber sobre el Red Teaming" del equipo de IBM Security Randori.