Conformación un Red Team (Punto de vista del atacante)

Para detectar las potenciales vulnerabilidades antes que los adversarios, es conveniente tener un grupo de especialistas que piensen como ellos, y que intenten explotar las vulnerabilidades para ganar acceso no autorizado, y si lo logran, explicarle al equipo de seguridad como es que lograron hacerlo, de modo que dichas vulnerabilidades o errores de configuración sean remediados.

El nombre Red team proviene de los juegos militares estadounidenses donde se ponía a prueba la seguridad con un grupo rojo que simulaba ser el enemigo.

El objetivo del red team no es meramente la ejecución de herramientas de descubrimiento de vulnerabilidades, sino que deben intentar explotarlas, analizar realmente el impacto, e intentar expandirse lateralmente para identificar que tan lejos puede llegar un adversario. Los red teams frecuentemente desarrollan componentes de software que simulan los comportamientos de programas maliciosos (malware) y los despliegan en la red del cliente.

Aunque siempre tenemos que tener una visión positiva del futuro en cuanto a ser constructivos, ser consciente de lo que podría pasar si la organización estuviera en la mira de los atacantes, es vital para estar preparados para cuando algún adversario lo intente, del mismo modo que en resiliencia nos preparamos para una falla, en ciberseguridad debemos fortalecer la ciber-resiliencia, nuestra capacidad de operar sin problemas a pesar de los ataques, y el Red team es un componente central para lograr este objetivo.

Attack Simulation tools:

  • Guardicore Infection Monkey (Open source and integrated with AWS Security Hub).
  • F-Secure Leonidas
  • XM Cyber
  • AttackIQ
  • Randori
  • Prelude (based on open source CALDERA from MITRE)
  • Scythe
  • Safebreach
  • CyCognito
  • Cymulate