Presentación realizada en XXI Jornadas del Instituto de Auditores Interno (IAI) donde se expuso en detalle en que consisten los ejercicios de intrusion avanzada o Red Team.
Mas información: http://jornadas.auditoresinternos.es/iai2016/es/event/57bdb647c0b65b521c8b4aef/agenda/57c40335c0b65b411c8b4f38
2. PRESENTACIÓN
1
Eduardo Arriols Nuñez
Red Team Leader en Innotec System
Profesor universitario de grado y post-grado en U-tad y UCLM
OSCP, OSWP, CEH, CHFI, ECSA, CND, CSX, Perito Forense,…
eduardo_arriols@innotecsystem.com
@_Hykeos
6. Evolución y problemas asociados
Uso de Sistemas Industriales
Complejidad técnica
Implantación Internet of Things (IoT)
Tiempos de trabajo ajustados
ACTUALIDAD
9. ¿Y vuestras organizaciones?
¿Os han/podrían haber atacado ya?
ACTUALIDAD
¿Sabeis realmente todos los
(ciber)riesgos a los que nos enfrentamos?
¿Teneis la certeza de estar
preparados frente a un ataque?
20. RED TEAM Blue Team VS Red Team
Equipo de defensa
Siempre existe en
una organización
Equipo de ataque
Realizar ataques sobre
una organización de forma
idéntica a un atacante real
21. Ejercicio de intrusión altamente especializado, donde se llevan a cabo comprobaciones
digitales, físicas y sobre los empleados de la organización, realizadas de manera
combinada.
El equipo esta formado por un grupo multidisciplinar de expertos en seguridad digital,
física y humana, que persigue realizar una intrusión real y controlada en una
organización que muestre el impacto de negocio que tendría un ataque dirigido.
Permitir a la organización adoptar una actitud proactiva a la hora de asegurar sus activos,
dotando además al Blue Team y la organización completa de una evolución continua en
materia de seguridad.
DefiniciónRED TEAM
22. Diferencia de auditorias
Auditoria de Vulnerabilidades
Mayoritariamente pruebas automática. Identificación del
vulnerabilidades conocidas.
Test de Intrusión
Activos acotados por ámbito de actuación (Externo, Interno, Wi-Fi,
etcétera). Pruebas manuales y automáticas, identificación de
vulnerabilidades conocidas y no conocidas.
Ejercicios de Red Team
Simulaciones de intrusión reales, evitar la identificación de la fuente
de pruebas. Combinación de ámbitos de actuación para la creación
de ataques. Principales activos como objetivo.
RED TEAM
Tradicional
Actual
23. Enfoque distintivo
El objetivo principal del Red Team es utilizar el pensamiento lateral y metodologías
avanzadas de intrusión para detectar cualquier vector de ataque y ayudar al Blue Team en la
detección de amenazas.
En base al nivel de madurez de la organización en los diferentes ámbitos se planifican los
ejercicios de Red Team que mas apliquen a la entidad.
RED TEAM
24. Beneficios
Preparación y defensa continua frente a
amenazas reales y ataques dirigidos
Identificación del nivel de seguridad global y riesgo real de la organización
Entrenamiento del equipo de seguridad frente a amenazas (APT)
Identificación de vectores de acceso críticos (Acceso activos)
Comprobaciones de seguridad en los ámbitos digital, físico y humano
El uso de ejercicio de Red Team, aporta beneficios completamente distintos a los demás
servicios de seguridad:
RED TEAM
25. Orientación al cliente
Controldeacciones
ASPECTOS DESTACADOS
Seguimiento periódico
Definición conjunta de objetivos
Bitácora completa de acciones
Borrado o no de huellas
Evolución
continua
TTPs reales
Equipos
Senior++
Informes Training
Ayuda para una mejor
gestión de gastos y
capacidades técnicas
en seguridad
RED TEAM
29. Amenazas y riesgos reales
Digital
Físico Humano
Sector Financiero
Sector Industrial
INTRUSIONES
30. Amenazas y riesgos reales
Sector Financiero
Sector Industrial
Digital
Físico Humano
INTRUSIONES
31. Sector Financiero
Red Team
Innotec System
Web Web Web
WorkstationsServidores
Windows
Controlador
de dominio
Dominio DominioNAS UnixP-SynchMainframe
BBDD
Servidor Cajeros
Seg. Física
Puestos
Oficina
WebWebBBDD Correo
Servidores
Internos
VPS
VPS
VPS
INTRUSIONES
32. Amenazas y riesgos reales
Sector Financiero
Sector Industrial
Digital
Físico Humano
INTRUSIONES
33. Sector Industrial
Red Team
Innotec System
Web Web
Servidor
Seg. Física
HMI
BBDD Correo
VPS
VPS
VPS
Workstations
Controlador
de dominio
Unix
Servidores
Internos
Otros
dominios
BBDD
INTRUSIONES
34. Sector Industrial
Red Team
Innotec System
Web Web
Servidor
Seg. Física
HMI
BBDD Correo
VPS
VPS
VPS
Workstations
Controlador
de dominio
Unix
Servidores
Internos
Otros
dominios
BBDD
INTRUSIONES
36. Feedback de clientesINTRUSIONES
Falsa sensación de seguridad
Nivel de monitorización
Evolución continua
Plan de madurez
Vectores de ataque desconocidos
Potenciación de recursos
Nivel de respuesta a incidentes
Ahorro de costes (ROI)