Menu

Red Team y Blue Team - Funciones y Diferencias en Ciberseguridad

¿Has jugado alguna vez al Halo? Si la respuesta es positiva, seguro que te sonarán los equipos Red Team y Blue Team. Sin embargo, estos términos son más que referencias a este famoso videojuego o a técnicas militares.

En esencia, estos equipos juegan un papel importante en la defensa contra ataques cibernéticos avanzados que amenazan las comunicaciones empresariales, los datos sensibles de los clientes o los secretos comerciales.

Los primeros son profesionales de seguridad expertos en atacar sistemas y romper defensas, mientras que los segundos son profesionales de seguridad responsables de mantener las defensas de la red interna contra ciberataques y amenazas.

Los equipos rojos simulan ataques contra los equipos azules para probar la efectividad de la seguridad de la red. Estos ejercicios proporcionan una solución de seguridad holística que garantiza unas defensas fuertes a la vez que mantiene a la vista amenazas potenciales.

Qué es un Red Team

Un equipo rojo está formado por profesionales de la seguridad que actúan como amenazas que intentan superar controles de seguridad cibernética. Estos equipos suelen estar formados por hackers éticos independientes que evalúan la seguridad del sistema de manera objetiva.

Utilizan todas las técnicas disponibles para encontrar puntos débiles en personas, procesos y tecnología para obtener acceso no autorizado a los activos. Como resultado de estos ataques simulados, los equipos rojos hacen recomendaciones y planes sobre cómo fortalecer la postura de seguridad de una organización.

Cómo funciona un Red Team

Te sorprendería saber que los equipos rojos pasan más tiempo planeando un ataque que realizándolos. En efecto, los equipos rojos despliegan una serie de métodos para obtener acceso a una red. Por ejemplo, los ataques de ingeniería social se basan en el reconocimiento y la investigación para realizar campañas de spear phishing dirigidas.

Asimismo, antes de realizar una prueba de penetración, se utilizan rastreadores de paquetes y analizadores de protocolos para explorar la red y recopilar la mayor cantidad de información posible sobre el sistema.

La información típica recogida durante esta fase incluye:

  • Descubrir los sistemas operativos en uso (Windows, MacOS o Linux).
  • Identificar la marca y el modelo del equipo de red (servidores, cortafuegos, conmutadores, enrutadores, puntos de acceso, ordenadores, etc.).
  • Comprensión de los controles físicos (puertas, cerraduras, cámaras, personal de seguridad).
  • Aprender qué puertos están abiertos/cerrados en un cortafuegos para permitir/bloquear un tráfico específico.
  • Crear un mapa de la red para determinar qué servicios están ejecutando los hosts y dónde se está enviando el tráfico.

Una vez que el equipo rojo tiene una idea más completa del sistema, desarrollan un plan de acción diseñado para atacar las vulnerabilidades específicas de la información que recogieron anteriormente.

Por ejemplo, un miembro del equipo rojo puede saber que un servidor está ejecutando Microsoft Windows Server 2016 R2 (un sistema operativo de servidor) y que las políticas de dominio por defecto podrían estar todavía en uso.

Así, Microsoft "envía" su software en su estado predeterminado dejando a los administradores de red la tarea de actualizar las políticas, lo que Microsoft recomienda hacer lo antes posible para reforzar la seguridad de la red. Si todavía está en dicho estado, el atacante puede comprometer las medidas de seguridad en uso.

Una vez que se identifican las vulnerabilidades, el equipo rojo las intenta explotar para obtener acceso a su red. Una vez que el atacante se encuentra en su sistema, lo normal es que use técnicas de escalada de privilegios con las que intenta robar las credenciales de un administrador que tiene acceso a los niveles más altos de información crítica.

Ejemplos de ejercicios de Red Team

Los equipos rojos utilizan una gran variedad de métodos y herramientas para explotar las debilidades y vulnerabilidades de una red. Es importante señalar que estos equipos usarán cualquier medio necesario, según los términos del compromiso, para irrumpir en el sistema.

Dependiendo de la vulnerabilidad, pueden desplegar malware para infectar a los hosts o incluso burlar los controles de seguridad física mediante la clonación de tarjetas de acceso.

Algunos ejemplos de ejercicios de los equipos rojos son:

  • Pruebas de penetración: también conocidas como hacking ético, se producen cuando el atacante trata de acceder a un sistema, a menudo utilizando herramientas de software. Por ejemplo, 'John the Ripper' es un programa para descifrar contraseñas con el que se puede detectar qué tipo de cifrado se utiliza e intentar evitarlo.
  • Ingeniería social: cuando se intenta persuadir o engañar a los miembros del personal para que revelen sus credenciales o permitan el acceso a un área restringida.
  • Phishing: la suplantación de identidad implica el envío de correos electrónicos aparentemente auténticos que atraen a los miembros del personal a realizar ciertas acciones, como iniciar sesión en el sitio web del hacker e introducir credenciales.
  • Herramientas de software de interceptación de comunicaciones: por ejemplo, los rastreadores de paquetes y los analizadores de protocolos pueden utilizarse para trazar un mapa de la red o leer los mensajes enviados, es decir, para obtener información sobre el sistema. Así, si un atacante sabe que un servidor se está ejecutando en un sistema operativo de Microsoft entonces enfocaría sus ataques para explotar las vulnerabilidades de Microsoft.
  • Clonación de tarjetas de seguridad: con el fin de lograr acceso a áreas no restringidas, como una sala de servidores.

Qué es un Blue Team

Un equipo azul está formado por profesionales de la seguridad que tienen una visión de la organización desde dentro hacia fuera. Su tarea es proteger los activos críticos de la misma contra cualquier tipo de amenaza.

Son muy conscientes de los objetivos de negocio y de la estrategia de seguridad de la organización. Por lo tanto, su tarea es fortalecer los muros del castillo para que ningún intruso pueda comprometer las defensas.

Cómo funciona un Blue Team

El equipo azul primero reúne datos, documenta exactamente lo que hay que proteger y realiza una evaluación de riesgos. A continuación, refuerzan el acceso al sistema de muchas maneras, entre ellas, introduciendo políticas más estrictas en materia de contraseñas y educando al personal para que comprenda y se ajuste a los procedimientos de seguridad.

A menudo se establecen instrumentos de vigilancia que permiten registrar la información relativa al acceso a los sistemas y comprobar si hay actividades inusuales. Los equipos azules realizarán comprobaciones periódicas del sistema, por ejemplo, auditorías del sistema de nombres de dominio (DNS), exploraciones de la vulnerabilidad de la red interna o externa y la captura de muestras de tráfico de la red para su análisis.

Los equipos azules tienen que establecer medidas de seguridad en torno a los activos clave de una organización. Comienzan su plan defensivo identificando los activos críticos, documentando la importancia de estos activos para el negocio y el impacto que tendrá la ausencia de los mismos.

A continuación, realizan evaluaciones de riesgo identificando las amenazas contra cada activo y las debilidades que pueden explotar. Al evaluar los riesgos y priorizarlos, el equipo azul desarrolla un plan de acción para implementar controles que pueden reducir el impacto o la probabilidad de que las amenazas se materialicen contra los activos.

La participación del personal directivo superior es crucial en esta etapa, ya que sólo él puede decidir aceptar un riesgo o aplicar controles de mitigación contra el mismo. La selección de los controles suele basarse en un análisis de costos y beneficios para garantizar que los controles de seguridad aporten el máximo valor a la empresa.

Por ejemplo, un equipo azul puede identificar que la red de la empresa es vulnerable a un ataque de DDoS (denegación de servicio distribuido). Este ataque reduce la disponibilidad de la red para los usuarios legítimos al enviar solicitudes de tráfico incompletas a un servidor. Cada una de estas solicitudes requiere recursos para realizar una acción, por lo que el ataque paraliza gravemente la red.

El equipo calcula entonces la pérdida en caso de que se produzca la amenaza. Basándose en el análisis de costo-beneficio y alineándose con los objetivos de negocio, un equipo azul consideraría la instalación de un sistema de detección y prevención de intrusos para minimizar el riesgo de ataques DDoS.

Ejemplos de ejercicios de Blue Team

Los equipos azules utilizan una variedad de métodos y herramientas como contramedidas para proteger una red contra ataques cibernéticos. Dependiendo de la situación, un equipo azul puede determinar que es necesario instalar cortafuegos adicionales para bloquear el acceso a una red interna.

O bien, el riesgo de ataques de ingeniería social podría ser tan crítico que justifica el costo de la implementación de la capacitación de concienciación sobre seguridad en toda la empresa estaría justificado.

Algunos ejemplos de ejercicios de los equipos azules son:

  • Realizar auditorías del DNS (servidor de nombres de dominio) para prevenir ataques de phishing, evitar problemas de DNS caducados, evitar el tiempo de inactividad por la eliminación de registros del DNS y prevenir/reducir los ataques al DNS y a la web.
  • Realizar análisis de la huella digital para rastrear la actividad de los usuarios e identificar cualquier firma conocida que pueda indicar una violación de la seguridad.
  • Instalar software de seguridad de puntos finales en dispositivos externos como computadoras portátiles y smartphones.
  • Garantizar que los controles de acceso al cortafuegos estén correctamente configurados y que el software antivirus se mantenga actualizado.
  • Desplegar software IDS e IPS como control de seguridad de detección y prevención.
  • Implementar soluciones SIEM para registrar y absorber la actividad de la red.
  • Analizar los registros y la memoria para recoger la actividad inusual en el sistema e identificar y localizar un ataque.
  • Segregar las redes y asegurarse de que están configuradas correctamente.
  • Usar regularmente software de exploración de vulnerabilidades.
  • Asegurar los sistemas mediante el uso de software antivirus o antimalware.
  • Integrar la seguridad en los procesos.

Beneficios de los Red Team y Blue Team

La aplicación de una estrategia combinada de equipos rojos y azules permite que una organización se beneficie de dos enfoques y habilidades totalmente diferentes. También aporta cierta competitividad a la tarea, lo que fomenta el alto rendimiento de ambos equipos.

Por un lado, el equipo rojo es valioso porque identifica las vulnerabilidades, pero sólo puede destacar el estado actual del sistema. Por otro lado, el equipo azul es importante porque ofrece una protección a largo plazo, asegurando que las defensas se mantengan fuertes mediante la supervisión constante del sistema.

La ventaja clave, sin embargo, es la mejora continua de la seguridad de la organización al encontrar brechas y luego neutralizarlas con controles apropiados.

Cómo trabajan conjuntamente los Red Team y Blue Team

La comunicación entre los dos equipos es el factor más importante para el éxito de estos ejercicios.

El equipo azul debe mantenerse al día de las nuevas tecnologías para mejorar la seguridad y debe compartir estos hallazgos con el equipo rojo. Asimismo, el equipo rojo debe estar siempre al tanto de las nuevas amenazas y técnicas de penetración utilizadas por los hackers y asesorar al equipo azul sobre técnicas de prevención.

El objetivo de una prueba de este tipo dependerá de si el equipo rojo informa o no al equipo azul de una prueba planificada. Por ejemplo, si el objetivo es simular un escenario de respuesta real a una amenaza "legítima", entonces no querrá informar al equipo azul sobre la prueba.

Se recomienda que alguien de Dirección debe estar al tanto de la prueba, normalmente el líder del equipo azul. Esto asegura que el escenario de respuesta siga siendo probado, pero con un control más estricto si la situación se intensifica.

Cuando la prueba se completa, ambos equipos reúnen información y comunican sus hallazgos. El equipo rojo aconseja al equipo azul si logran penetrar las defensas, y proporciona consejos sobre cómo bloquear intentos similares en un escenario real. De igual manera, el equipo azul debe informar al equipo rojo si sus procedimientos de monitoreo detectaron o no un intento de ataque.

Así, ambos equipos deberían trabajar juntos para planear, desarrollar e implementar controles de seguridad más fuertes según sea necesario.

Qué es un Purple Team

Aunque los equipos rojos y los equipos azules comparten objetivos comunes, a veces no están en sintonía. Por ejemplo, no tiene sentido que un equipo rojo “gane” pruebas si no se comparte esa información con el equipo azul. El propósito principal de los ejercicios es fortalecer la seguridad general de la organización.

Ahí es donde el concepto de un Purple Team o equipo púrpura entra en juego. Este equipo no es necesariamente independiente, aunque podría serlo. Su objetivo es reunir a ambos equipos, mientras que se les anima a trabajar en equipo para compartir ideas y tener feedback constante.

La Dirección debe asegurarse de que tanto el Red Team como el Blue Team trabajen juntos y se mantengan mutuamente informados. La mejora de la cooperación entre ambos equipos a través de un adecuado intercambio de recursos, informes y conocimientos es esencial para la mejora continua de la seguridad de la organización.