Cómo el equipo rojo automatizado continuo (CART) puede ayudar a mejorar su postura de ciberseguridad

No se trata de si una organización se verá comprometida, sino cuándo. Un atacante experto, con buenos recursos y experimentado podría ser su peor pesadilla de amenazas cibernéticas. Afortunadamente, si su organización contrata a un equipo rojo, un hacker ético también podría ser su mejor amigo.

Llevar a cabo pruebas de equipo rojo es la forma más realista de validar sus defensas, encontrar vulnerabilidades y mejorar la postura de ciberseguridad de su organización. Un compromiso del equipo rojo da a su equipo azul la oportunidad de evaluar con mayor precisión la eficacia de su programa de seguridad y de introducir mejoras. También es la forma en que más organizaciones incorporan a su postura de ciberseguridad una mentalidad que da prioridad a la resiliencia.

Descubra los beneficios del equipo rojo, las diferencias entre los equipos rojo y azul y qué es un equipo morado en mi publicación anterior del blog, “Red teaming 101: What is red teaming?”

Como parte de las pruebas de seguridad, los equipos rojos son profesionales de la seguridad que hacen de "malos" para poner a prueba las defensas de la organización frente a los defensores del equipo azul. 

Tan hábiles como los actores de amenazas reales, los equipos rojos investigan una superficie de ataque en busca de formas de obtener acceso, afianzar, mover lateralmente y exfiltrar datos. Este enfoque contrasta con la metodología detrás de las pruebas de penetración (o pruebas de penetración), donde el enfoque es encontrar información confidencial o vulnerabilidades de seguridad explotables y probar las defensas de ciberseguridad para obtener acceso a los controles de seguridad.

A diferencia de los delincuentes cibernéticos, los red teamers no tienen la intención de causar daños reales. En cambio, su objetivo es exponer las brechas en las defensas de ciberseguridad, ayudando a los equipos de seguridad a aprender y ajustar su programa antes de que ocurra un ataque real.

Una cita famosa afirma: “En teoría, teoría y práctica son lo mismo. En la práctica, no lo son”. La mejor manera de aprender a prevenir y recuperarse de los ciberataques es practicar realizando actividades de equipo rojo. De lo contrario, sin pruebas de qué tácticas de seguridad están funcionando, los recursos pueden desperdiciarse fácilmente en tecnologías y programas ineficaces.

Es difícil saber qué funciona realmente, qué no, dónde necesita hacer inversiones adicionales y qué inversiones no valieron la pena hasta que tiene la oportunidad de enfrentar a un adversario que está tratando de ganarle.

Durante los ejercicios del equipo rojo, las organizaciones enfrentan sus controles de seguridad, defensas, prácticas y partes interesadas internas contra un adversario dedicado que monta una simulación de ataque. Este es el valor real de las evaluaciones del equipo rojo. Brindan a los líderes de seguridad una evaluación real de la ciberseguridad de su organización e información sobre cómo los hackers podrían explotar diferentes vulnerabilidades de seguridad. Luego de todo, no se puede preguntar a un atacante de estado-nación qué se perdió o qué hizo que funcionó realmente bien, por lo que es difícil obtener la retroalimentación que necesita para evaluar realmente el programa.

Además, cada operación del equipo rojo crea una oportunidad de medición y mejora. Es posible obtener una imagen de alto nivel de si una inversión, como herramientas de seguridad, probadores o capacitación de concientización, está ayudando a mitigar diversas amenazas de seguridad.

Los miembros del equipo rojo también ayudan a las compañías a evolucionar desde una mentalidad de encontrar y solucionar problemas a una mentalidad de defensa categórica. Dejar que los atacantes entren en la seguridad de su red puede ser aterrador, pero los piratas informáticos ya están probando todas las puertas de su infraestructura de seguridad. Tu mejor apuesta es encontrar las puertas desbloqueadas antes de que ellos lo hagan.

Se dice que solo hay dos tipos de empresas: las que fueron pirateadas y las que lo serán. Lamentablemente, podría no estar lejos de la verdad. Todas las compañías, independientemente de su tamaño, pueden beneficiarse de la realización de una evaluación de red teaming. Pero para que una intervención del equipo rojo aporte el máximo beneficio, una organización debe tener dos cosas:

• Algo para practicar (un programa de seguridad implementado)
• Alguien con quien practicarlo (defensores)

El mejor momento para que su organización participe en los servicios del equipo rojo es cuando desea comprender las preguntas a nivel de programa. Por ejemplo, ¿hasta dónde llegaría un atacante que quiere exfiltrar datos confidenciales dentro de mi red antes de que active una alerta?

El teaming rojo también es una buena opción cuando su equipo de seguridad quiere probar su plan de respuesta a incidentes o capacitar a los miembros del equipo.

La formación de equipos rojos es una de las mejores formas de probar la seguridad de su organización y su capacidad para resistir un posible ataque. Entonces, ¿por qué no lo optan más compañías?

Por muy beneficioso que sea el equipo rojo, en los entornos cambiantes y acelerados de hoy en día, los compromisos del equipo rojo pueden no detectar los cambios importantes a medida que ocurren. Un programa de seguridad solo es tan efectivo como la última vez que se validó, lo que genera brechas en la visibilidad y una postura de riesgo debilitada.

Desarrollar una capacidad interna de equipo rojo es costoso y pocas organizaciones pueden dedicar los recursos necesarios. Para ser realmente impactante, un equipo rojo necesita suficiente personal para imitar el nivel de amenaza persistente y con buenos recursos de las bandas modernas de delitos cibernéticos y las amenazas de los estados nación. Un equipo rojo debe incluir miembros dedicados a operaciones de seguridad (o subequipos de piratería ética) para ejercicios de focalización, investigación y ataque.

Existe una variedad de proveedores externos para dar a las organizaciones la opción de contratar servicios de equipo rojo. Van desde grandes compañías hasta operadores boutique que se especializan en industrias o entornos de TI particulares. Si bien es más fácil contratar los servicios del equipo rojo que contratar personal a tiempo completo, hacerlo puede ser más costoso, especialmente si lo hace con regularidad. Como resultado, solo un pequeño número de organizaciones emplea la formación de equipos rojos con la frecuencia suficiente para obtener insights reales.

El equipo rojo automatizado continuo (CART) emplea la automatización para descubrir recursos, priorizar descubrimientos y (una vez autorizados) realizar ataques en el mundo real empleando herramientas y exploits desarrollados y mantenidos por expertos de la industria.

Con su enfoque en la automatización, CART le permite centrar en pruebas interesantes y novedosas, liberando a sus equipos del trabajo repetitivo y propenso a errores que genera frustración y, en última instancia, agotamiento.

CART le brinda la capacidad de evaluar de manera proactiva y continua su postura general de seguridad a una fracción del costo. Hace que la formación de equipos rojos sea más accesible y le proporciona visibilidad actualizada de su rendimiento de defensa.

IBM Security Randori ofrece una solución CART llamada IBM Security Randori Attack Targeted, que lo ayuda a aclarar su riesgo cibernético probando y validando proactivamente su programa de seguridad general de forma continua.

El estudio Total Economic Impact™ de IBM Security Randori que IBM encargó a Forrester Consulting que realizara en 2023 encontró un ahorro de mano de obra del 75 % gracias al aumento de las actividades del equipo rojo.

La funcionalidad de la solución se integra perfectamente con o sin un equipo rojo interno existente. Randori Attack Targeted también ofrece información sobre la eficacia de sus defensas, lo que hace que la seguridad avanzada sea accesible incluso para organizaciones medianas.

• Prueba gratuita de 7 días
• Solicite una demostración en vivo para revisar su superficie de ataque
• Aprenda más sobre IBM Security Randori Attack Targeted
• Regístrese en nuestro seminario web sobre "Más allá de la exploración de vulnerabilidades para reforzar la superficie de ataque".

Esta entrada en el blog forma parte de la serie "All you to Know About red tename" creada por el equipo de IBM Security Randori.