La mentalidad del Equipo Rojo: piensa como un hacker

por Priyanka Aash, 15 de diciembre de 2020 En nuestro taller de dos días con la Plataforma CISO sobre «Cambio de Pentester a Equipo Rojo», nuestros ponentes Jitendra Chauhan, Jefe de Investigación, FireCompass, y Apoorv Saxena, Red Team Researcher, FireCompass han cubierto en detalle cómo los Pentesters y los de Equipo Rojo se diferencian unos de otros y cómo una organización puede implementar un equipo rojo en la práctica. La sesión arrojó luz sobre cómo el Equipo Rojo se ha convertido en lo que es hoy. Equipo Rojo como categoría se toma como una técnica, pero en realidad, es realmente una forma de pensar. Un equipo rojo debe tener una mentalidad y un conocimiento de herramientas y técnicas más amplio que otros defensores, por ejemplo, un pentester. Si tuviera que poner esto en perspectiva, el Equipo Rojo es “La emulación de tácticas, técnicas y procedimientos de confrontación (TTP) para probar los planes y sistemas en la forma en que los agresores los desafían y pueden comprometerlos y así mejorar el proceso de toma de decisiones. » Y una mentalidad de Equipo Rojo implica:

1. No dar nada por sentado

Una organización puede tener implementado el mejor mecanismo de seguridad de su clase, pero eso no significa que sea seguro. Los adversarios de hoy están constantemente tratando de atacarte y necesitan tener suerte solo una vez. Un Equipo Rojo nunca dará nada por sentado y lo probará todo todos los días.

2. Desafiar todo

Al igual que la primera regla, la segunda regla es el siguiente paso. Un Equipo Rojo siempre intentará desafiar el mecanismo de seguridad que se haya construido.

3. Pensar en lo impensable

Los equipos rojos siempre pensarán más como un atacante que como un defensor. Su objtivo principal es averiguar cómo puedo entrar en ese sistema, en lugar de intentar averiguar cómo de seguro es el sistema. Todo ello, entendiendo que no existe la seguridad perfecta. Los atacantes se vuelven más inteligentes y cambian sus métodos todo el tiempo. Un Equipo Rojo siempre verá el problema desde el punto de vista del atacante, a veces todo lo que se necesita es una solución de baja tecnología para abordar un problema de alta tecnología. El simple hecho de pensar no hacer este truco hace que uno necesite un pensamiento lineal combinado con un pensamiento lateral y ridículo. La seguridad reactiva no es seguridad en absoluto, los Red Teamers siempre serán proactivos y pensarán 3 pasos por delante del atacante. Hay que colocar medidas de detección y representación para dificultar un futuro ataque. Una de las cosas más importantes de la mentalidad del equipo rojo es no dejarse agobiar por el pasado y mirar hacia el futuro. Objetivos del Equipo Rojo en ciberseguridad La creación de un equipo Rojo es un ejercicio que se debe basar en objetivos. Y los objetivos de los equipos rojos son en su mayoría amplios. El objetivo nunca debe ser simplemente encontrar vulnerabilidades e informar. El equipo rojo se hace para cambiar las prácticas. Algunos de los objetivos del equipo rojo son los siguientes:

• Encontrar y explotar vulnerabilidades continuamente: a medida que cambia la naturaleza de los ataques y amenazas, cambia su naturaleza. La realización de varios descubrimientos de vulnerabilidades y la explotación segura de las vulnerabilidades de forma continua puede proporcionar información valiosa a los equipos defensivos para parchear y corregir vulnerabilidades.
• Emular el comportamiento del adversario: emular el TTP del último ransomware, los actores de amenazas nación y los actores de amenazas puede ayudar a probar de forma continua los controles defensivos de resiliencia y la efectividad del equipo azul.
• Medir, comunicar y mejorar la postura de seguridad de la organización.
• Mejorar el coeficiente intelectual de seguridad de la organización
• Romper la norma y desafiar la eficacia de la organización.
• Impulsar el cambio cultural