Operaciones Red Team Vs. Pentest Tradicional
Con el panorama de amenazas en constante evolución, no es necesario que le recordemos que un pentesting anual es imprescindible.
Ya sea que haya realizado pentests antes y esté buscando subir la apuesta, o si tiene bastantes informes en su haber, es posible que se esté preguntando acerca de esta otra prueba de pentest de la que ha oído hablar: una operación del Red Team.
Acá vamos a comparar la prueba de penetración tradicional con la metodología Red Team para ver si su empresa es la adecuada para un test de este tipo.
¿Qué es Pentest o test de penetración?
Un pentest es un ataque cibernético simulado contra los sistemas, dispositivos y personas de la red informática de su empresa.
Expertos en seguridad cibernética confiables y experimentados intentan infiltrarse en una red para encontrar vulnerabilidades, todo con el objetivo de brindar información sobre cómo fortalecer su seguridad antes de que un pirata informático real encuentre y explote estas debilidades.
¿Qué es una acción Red Team?
“Red Teaming” es una frase derivada de simulacros militares, en las que los oficiales piensan con anticipación en los “qué pasaría si” para cada plan de ataque que elaboran. Incluso si los militares idean el ataque perfecto, siempre deben estar preparados para desviarse del plan. Para esperar lo inesperado, para ello es crucial desarrollar otros escenarios posibles.
Hoy en día, esta táctica de «juego de guerra» Red-Team es un término que se utiliza para describir un equipo de hackers éticos que elaboran estrategias de todas las formas posibles para penetrar los sistemas de una empresa objetivo y perseguir muchos frentes de ataque. El Red team (también conocido como hackers éticos) está a la ofensiva, organizando ataques estratégicos mientras que el Blue Team (también conocido como la empresa que se está probando) juega a la defensiva.
Para todos los efectos, piense en la metodología Red Team como una prueba de penetración más avanzada. Este es el por qué:
Principales diferencias entre Pentesting y Red Teaming
Metas
Para empezar, las pruebas de penetración tienen una intención muy diferente a las acciones del Red Team.
El objetivo de un pentest es encontrar tantas brechas de seguridad como sea posible, explotarlas y acceder al nivel de riesgo de cada vulnerabilidad.
Los Red Teams, por el contrario, no están tratando de compilar una larga lista de todas las debilidades de su empresa. El objetivo de una acción de Red Team es encontrar una forma de entrar, explotarla y luego escalar lateralmente a través de su sistema para acceder a los datos más jugosos que puedan.
Líneas de ataque
Las pruebas Pentest y Red Team tienen reglas diferentes sobre lo que pueden atacar.
Las pruebas de penetración se dividen en seis tipos diferentes, Pruebas de penetración de red, Pruebas de penetración de red interna, Pruebas de ingeniería social, Pruebas de penetración física, Prueba de penetración inalámbrica, y Pruebas de penetración de aplicaciones, donde la mayoría de las empresas solo se centran en una o dos áreas por test. Por ejemplo, una empresa puede optar por ejecutar un pentest de ingeniería social y un pentest externo simultáneamente. El área de enfoque es específica y los pentesters tienen un alcance estrecho, lo que les permite enfocarse en líneas de ataque específicas.
Los ataques del Red Team son más como un juego de todos contra todos. Los equipos rojos suelen tener total libertad sobre los métodos y las vías que utilizan para violar sus sistemas. Usan todos los medios posibles para entrar: desde maniobras inalámbricas y vulnerabilidades de aplicaciones hasta irrumpir físicamente en su oficina y robar datos confidenciales. Las únicas excepciones son las líneas de ataque con las que usted elige no estar de acuerdo. Con esto en mente, los equipos rojos pasan una cantidad impresionante de tiempo en la fase previa al ataque de las pruebas de penetración.
Recursos
Debido a que los enfrentamientos del Red Team permiten a los atacantes simulados más libertad y el alcance es más amplio, estas pruebas de seguridad involucran más recursos.
Las operaciones del Red Team generalmente necesitan a más pentesters, reuniendo un equipo más grande. Los equipos se dividen y conquistan diferentes vías de prueba de penetración, digamos que un equipo se enfoca en los ataques a la red interna mientras que otro se enfoca en explotar las vulnerabilidades de las aplicaciones, lo que permite que cada equipo trabaje de forma independiente y simultánea en sus propios ataques enfocados. Hay más tecnología involucrada, más gente, más tiempo. En general, se necesita más recurso para ejecutar un pentest de Red Teaming.
Tiempo
Hay una gran diferencia en el tiempo dedicado a las operaciones del Equipo Rojo frente a las pruebas de penetración.
Dado que las pruebas de penetración se centran más en tipos específicos de compromisos con alcances definidos, la prueba de penetración promedio dura de 2 a 3 semanas.
Red Teaming es mucho más profundo, un proyecto típico de Red Team se extiende de 3 a 6 semanas, a veces incluso más, según el tamaño de la empresa y la complejidad de sus sistemas.
Detección
Recuerde, el objetivo de una prueba de penetración es detectar tantas debilidades como sea posible en un período de tiempo ajustado. Con esto en mente, a veces los pentest pueden ser «ruidosos». Durante una campaña de phishing para un pentest de ingeniería social, por ejemplo, un empleado puede darse cuenta de que recibió un correo electrónico sospechoso e informarlo a su jefe.
Los Red Teams quieren entrar sigilosamente y permanecer sin ser detectados en el sistema de objetivos durante el mayor tiempo posible, recopilando más y más información a medida que aumentan en toda la red de la empresa. Debido a que buscan datos más confidenciales y tienen más tiempo para adquirirlos, trabajan en silencio en las sombras para no ser descubiertos.
Experiencia previa en pruebas Pentest
Aquí es donde entra en juego la experiencia de su empresa con pentesting anteriores.
Es mejor que las empresas que solo hayan realizado una evaluación de vulnerabilidad realicen algunas pruebas de penetración enfocadas antes de considerar una operación del Red Team. Estas pruebas de menor alcance y escala revelarán debilidades que se fortalecerán con el tiempo.
Una vez que la empresa ha trabajado dichas debilidades descubiertas, es posible que desee considerar dar un paso más. Los compromisos de Red Team son para empresas con posturas de seguridad muy maduras que confían en las defensas que han construido y quieren poner a prueba su arduo trabajo.
Costo
Finalmente, existe una diferencia significativa en el costo entre un pentest de Red Team y una prueba de penetración tradicional.
Debido a que los compromisos del Red team son más largos y extensos en términos de personal, recursos, alcance, etc., es comprensible que sean más costosos que los pentest tradicionales. Es probable que una prueba de penetración cueste un mínimo de $ 25,000, mientras que un proyecto Red Teaming generalmente comienza en $ 40,000.
¿Qué es mejor para usted: una operación Pentest o Red Team?
¿Buque una visión general de alto nivel? Para las organizaciones que solo han realizado una o dos pruebas de penetración en el pasado, planifique un tipo diferente de prueba de penetración antes de considerar un compromiso de Red Team.
¿Está pensando que está listo para un pentest del Red Team?
