Presentación realizada en el evento X CONAI (Peru) del Instituto de Auditores Internos del Peru. La presentación muestra como es posible utilizar las simulaciones de intrusión para analizar los procedimientos de detección y respuesta a incidentes.
4. ACTUALIDAD
Algo esta fallando…
¿Podemos decir por lo tanto que estamos protegidos?
Los ataques dirigidos no siguen normas ni reglas
Las empresas desconocen sus vectores de ataque
Las empresas desconocen el nivel detección de sus equipos
Las empresas desconocen la capacidad para hacer frente a un ataque
8. RED TEAM
Definición
Un ejercicio de Red Team es una simulación de intrusión que busca tomar control de los principales activos de la
compañía. Mediante la combinación de vectores de ataque permite identificar el nivel de seguridad global, así
como el nivel de prevención, protección y respuesta frente a amenazas dirigidas.
Este ejercicio constituye la única forma real de verificar el nivel de protección de la organización frente a ataques
dirigidos y aumentar posteriormente las capacidades técnicas del equipo de defensa o Blue Team.
SEGURIDAD DIGITAL
SEGURIDAD HUMANA
SEGURIDAD FÍSICA
INTELIGENCIA OFENSIVA
9. RED TEAM
Diferencias entre diferentes servicios
Alcance: Activos muy limitados Ámbitos: Acotado a un escenario
Detalles: Conocidos por la organización Tiempo: Ajustado a días
Vectores: Limitado a identificación de vulnerabilidades conocidas
Alcance: Específicos con cierta amplitud Ámbitos: Acotado a un escenario
Detalles: Conocidos por la organización Tiempo: Semanas
Vectores: Identificación y explotación de vulnerabilidades conocidas o no
Alcance: Completo Ámbitos: Cualquier ámbito y uniones
Detalles: Desconocidos por la organización Tiempo: Meses
Vectores: Multidimensionales y flexibles (Simulación de amenazas dirigidas)
10. RED TEAM
Metodología
COMPROMISO INICIAL
Primer acceso a activo de la compañia
ACCESO INTERNO
Acceso privilegiado al sistema y visibilidad de la red interna
RECONOCIMIENTO INTERNO / MOVIMIENTO LATERAL
Acceso a activos críticos e información sensible
ELEVACION DE PRIVILEGIOS / PERSISTENCIA
Obtención de privilegios elevados en la infraestructura interna
FINALIZACIÓN DEL EJERCICIO
Exfiltración de información y documentación
RECONOCIMIENTO EXTERNO
Acciones para la identificación de vectores de acceso
DEFINICIÓN Y PLANIFICACIÓN
Uso de inteligencia ofensiva
Simulación real
Atendiendo a la necesidad de llevar a
cabo una intrusión realista, se siguen en
todo momento las mismas acciones que
son realizadas por un atacante durante
una intrusión o ataque dirigido (APT).
11. RED TEAM
Aspectos destacados
Uno de los objetivo prioritarios es simular una intrusión real, por lo que todas las acciones deben ser realizadas
evitando poder identificar al equipo como origen de las pruebas.
Cualquier binario que vaya a ser utilizado debe ser modificado para evitar la detección del mismo
en sistemas de seguridad como Antivirus o Sistemas de detección de intrusos (IDSs).
SOFTWARE INDETECTABLE
ANONIMIZACIÓN Uso de técnicas y plataformas que permitan al equipo evitar la detección y la identificación como
origen de las pruebas.
En muchas ocasiones es necesario identificar vulnerabilidades no conocidas para poder
materializar la intrusión.IDENTIFICACIÓN DE 0-DAYS
ACCIONES MANUALES
Evitar el uso de herramientas automáticas que puedan levantar alarmas en los sistemas de
seguridad existentes a nivel interno.
12. RED TEAM
Capacidad de detección y respuesta
En el caso de que el equipo no haya sido identificado durante la intrusión es posible establecer un plan de ruido
que permita identificar el nivel de detección, respuesta, contención y análisis posterior de la intrusión por parte del
equipo interno.
Adicionalmente se deben verificar los procedimientos internos y comprobar si han sigo seguidos de forma correcta
y según lo establecido por el personal involucrado.
Estas pruebas permiten incrementar tanto el nivel de seguridad técnica y las capacidades de detección y respuesta
como el uso de los procedimientos establecidos en caso de crisis. Estas pruebas requieren que el equipo de
seguridad sea completamente desconocedor del ejercicio.
Ataque Detección Respuesta Análisis
13. RED TEAM
Proceso continuo
Optar por la realización de ejercicios de Red Team de forma continuada permite a la organización incrementar de
forma continua el nivel de seguridad y preparación de la organización mediante un estado de alerta continuo.
CAPACIDADES TÉCNICAS
El equipo interno de seguridad esta en continuo
estado de alerta.
DETECCIÓN AMENAZAS
Incremento continuo de las medidas de seguridad
internas.
PROCEDIMIENTOS INTERNOS
Verificación de la correcta actuación frente a una
amenaza real.
SEGURIDAD INTEGRAL
Evolucion hacia un nivel de madurez alto que integre
comprobaciones multidimensionales
15. INTRUSIONES
Banca – Ejercicio Mundial – Perímetro
Red Team Internet DMZ Red Interna
Cajeros Oficinas y sucursales Seguridad física Sistemas transaccionales
Backdoor
16. INTRUSIONES
Industrial – Ejercicio Mundial – Perímetro
Red Team Internet Proveedor Red Interna
Estaciones de servicio Infra. Industrial Seguridad física Info. estratégica
Backdoor
17. INTRUSIONES
Banca – América Latina – Completo
Red Team Acceso físico Implante físico Red Interna
Cajeros Oficinas y sucursales Red y apps
Backdoor
Sistemas transaccionales
20. CONCLUSIONES
Beneficios
43
2
5
1
Identificación del nivel de seguridad real y exposición
de la organización frente a un ataque dirigo
Identificación e incremento del nivel de
deteccion y respuesta a incidentes
Identificación del tiempo para la recuperación
de una amenaza y procedimientos
Identificación de vectores de ataque mas
criticos para la compañia (Combinados)
Preparación y defensa frente a
ataques dirigidos y amenazas reales
21. CONCLUSIONES
Feedback de clientes
Falsa sensación de seguridad
Nivel de monitorización
y detección
Evolución continua
Plan de madurez
Vectores de ataque desconocidos
Potenciación de recursos
Nivel de respuesta a incidentes
Ahorro de costes (ROI)