REDSEGURIDAD 083

red seguridad cuarto trimestre 2018 59 De nada serviría hacerlo si luego resulta que, después de todo, el nivel de madurez de la monitoriza- ción, detección y respuesta interna no es el adecuado para enfrentarse a este tipo de ejercicio. Y, por lo tanto, el personal interno no apren- derá en el proceso. Colaboración constante Todo ejercicio de red teaming debe ser correctamente medido, escala- do y adaptado a cada organización. Y esto empieza por una colabora- ción constante entre ambas partes que nos permita decidir si lo que se requiere es un escenario como el que arriba se plantea o si solo es necesario generar, partiendo del compromiso asumido, determina- dos eventos de seguridad para con- firmar si nuestros sistemas de detección están correctamente parametrizados o no, si es necesa- rio realizar una mayor inversión en tecnología o personal que permita una mejor detección y respuesta o si nuestro proveedor de servicios de CSOC es el adecuado. El Red Team debe detectar las vulnerabilidades y los riesgos que pueden afectar a una organización. Y una de las formas de lograr su objetivo es tomar la perspectiva del adversario. ¿Es nuestro sistema antima- lware tan bueno como creemos? ¿Cubrimos realmente todas las vías de entrada de malware a la organización? Cuando detectamos malware en un dispositivo, ¿real- mente actuamos de la forma correc- ta? ¿Cómo sería de fácil para un malware que no ha sido detectado propagarse a través de nuestra red? ¿Tenemos definidos los planes de actuación para responder en casos como este? ¿Están las personas adecuadas informadas, entrenadas y preparadas para actuar acorde a estos planes? Estas y otras son preguntas que puede responder un Red Team, siendo posible utilizar sus conclusiones para el apoyo a la toma de decisiones internas. Entrenamiento adecuado En general, a no ser que el nivel de madurez en seguridad de la organi- zación sea muy alto y los recursos no supongan un problema, donde un ejercicio de Red Team versus Blue Team a gran escala y en esce- narios muy realistas tenga sentido, para la gran mayoría de las orga- nizaciones la aproximación basada en la colaboración constante entre el personal interno y externo es la que más valor aportará. Y es que ésta es una de las claves de cual- quier ejercicio de red teaming , una de las cosas que más valor aporta con respecto a un pentest genérico: el entrenamiento al personal inter- no, incluido el Blue Team. Si al final del proyecto la organi- zación no ha aprendido, y el Blue Team lo único que puede afirmar es que ha sido evadido, entonces el proyecto no ha sido un éxito. Supongamos que desplegamos una infraestructura de red teaming con, entre otras, las siguientes características: – Direccionamiento IP repartido entre diferentes proveedores a lo largo del mundo. – Con dominios registrados de forma anónima. – Usando hosts de redirección para proteger la infraestructura real usada por los operadores. – Con mecanismos preparados para evitar la entrega de payloads al Blue Team, por ejemplo, a tra- vés de la detección de sistemas operativos y/o navegadores no utilizados por la fuerza de trabajo común. – Usando cifrado y domain fron- ting para proteger y camuflar las comunicaciones. – Generando agentes de alta y baja interacción que permitan recu- perarnos en el caso de que los primeros caigan. estrategia opinión Entre las claves de cualquier ejercicio de 'red teaming', una de las cosas que más valor aporta con respecto a un pentest genérico, es el entrenamiento al personal interno, incluido el Blue Team