Red Teaming Automatizado y Continuo (CART): el futuro de las pruebas de seguridad

El entorno cibernético actual es uno de los que tiene cambios más rápidos y constantes. Al intensificar su conocimiento tecnológico, los hackers están utilizando un arsenal de técnicas nuevas y sofisticadas que hacen que reconocer sus ataques sea más difícil que nunca. Con varios miles de productos y un panorama que cambia muy rápidamente en el que las amenazas y los riesgos son cada vez mayores, la ciberseguridad parece tan esquiva, y probablemente tan imposible, como el «problema de la felicidad».

Los ciberatacantes tienen una ventaja ya que solo tienen que tener éxito una vez, mientras que los defensores deben tener éxito en todo momento. Además de eso, la seguridad es laboriosa. Por lo general, las organizaciones solo pueden comprobar algunos de sus activos, algunas veces, mientras que los piratas informáticos están atacando todos los activos, todo el tiempo.

Continuous Automated Red Teaming, o CART, es una nueva tecnología emergente que puede cambiar las reglas del juego para resolver el problema.

Red Teaming: la emulación de ataque más realista, pero difícil de escalar

Red teaming es un hackeo ético a una escala mucho más amplia que las pruebas de seguridad convencionales. Es la forma de que los equipos de seguridad descubran primero la superficie de ataque de una organización y luego lancen ataques simulados para probar los puntos ciegos, tal como lo haría un atacante real. A diferencia de los tests de penetración, no se basa en el alcance de las direcciones IP / aplicación, sino en el objetivo o en la meta, lo que significa que pueden atacar lo que quieran para lograr el objetivo.

El desafío del Red Teaming tradicional es que involucra múltiples herramientas, se basa en esfuerzo manual y solo prueba una fracción de los activos de una organización, de forma ocasional. Es en gran parte manual, difícil de escalar e inasequible para la mayoría de las organizaciones.

CART: tecnología emergente para el descubrimiento y la realización de pruebas de superficies de ataque continuas y completas

CART es una tecnología de seguridad emergente diseñada para automatizar la realización de ejercicios de Red Teaming con los que una organización pueda llevarlo a cabo con la amplitud y profundidad que requiere el proceso, así como escalarlo y llevarlo a cabo sin problemas de una manera continua. Existen múltiples enfoques potenciales que incluyen hardware, software o incluso software como servicio (SaaS).

Durante el proceso de CART, una organización puede buscar datos indexados en la Deep web, Dark web y en la Surface web utilizando técnicas de reconocimiento similares a las de los actores del estado-nación. CART detecta automáticamente la superficie de ataque digital dinámica de una organización, incluidas bases de datos desconocidas que puedan estar expuestas, buckets en la nube, fugas de código, credenciales expuestas, activos de la nube en riesgo o puertos abiertos, etc. Una vez que se reconoce una superficie de ataque y se autoriza un alcance para el ataque simulado, el motor de ataque lanza ataques de múltiples etapas en la superficie descubierta para identificar puntos ciegos de seguridad y rutas de ataque antes de que lo hagan los piratas informáticos. Luego, la plataforma prioriza los riesgos y recomienda los siguientes pasos para su remediación.

CART vs Soluciones Tradicionales

Tradicional y típicamente los ejercicios de Red Teaming se realizan una o dos veces al año. Son llevados a cabo por consultores y requieren de una orquestación manual entre varias herramientas. CART automatiza el proceso y hace que se puedan ejecutar ejercicios de Red Teaming de forma continua.

Normalmente, las pruebas de penetración se llevan a cabo en unas pocas aplicaciones o sistemas conocidos. CART, a diferencia de las pruebas de penetración, descubre la superficie de ataque por sí sola sin ningún input y lanza una combinación de ataques de múltiples etapas, que abarcan desde redes hasta aplicaciones y personas.

Las herramientas de simulación de ataques y violaciones (BAS- Breach and Attach Simulation) normalmente necesitan que los agentes de hardware o software se instalen y se ejecuten dentro de la organización. Este tipo de herramientas imitan acciones de amenazas reales y dicen cuánto puede proliferar un atacante si obtiene acceso a un sistema interno. CART, por otro lado, funciona con un enfoque de fuera hacia adentro y realiza ataques reales sin necesidad de ningún hardware, software o agente.

Si bien los piratas informáticos de hoy operan con un nivel de sofisticación que supera las capacidades típicas de prevención y detección, CART puede ser un enfoque revolucionario para mantenerse un paso por delante. Las organizaciones deberían comprobar sus propios controles para identificar posibles puntos ciegos antes de que un atacante los pueda explotar.

Bikash Barai

Co-founder Firecompass