Por qué las empresas están tan interesadas en los servicios del equipo rojo y no niegan a pagar miles de dólares por hackear sus sistemas? También hablaremos de sus oponentes – equipo azul.

Introducción al equipo rojo

Cada vez más empresas están siendo víctimas de ataques de piratas informáticos. Fábricas, tiendas, sitios web y estados enteros. En algún lugar, el resultado de un ataque exitoso fue la presencia de una vulnerabilidad, una infraestructura sin parches o un empleado de la empresa que hizo clic en un enlace y metió el virus al sistema. De hecho, puede haber muchas razones, pero las consecuencias son siempre las mismas: pérdidas financieras y de reputación. Estos ataques no son infrecuentes, puede recordar la situación reciente con Twitter o Garmin. Parecería que son grandes empresas con reputación mundial, pero fueron hackeadas por una razones diferentes.

Muchas empresas se preguntan cómo pueden ponerse a prueba imitando las acciones de hackers. ¿Cómo se puede comprobar su empresa, servicio, servidores, para que el resultado sea un informe con debilidades y vulnerabilidades posibles? Solo para estos fines existe Red Team, que le permite resolver este problema y mostrar el estado de la empresa en el mundo real.

Características del equipo rojo

Red Teaming es una imitación de ataques dirigidos a una empresa que utiliza todas las herramientas y técnicas de piratería posibles para verificar la seguridad. ¿Es la empresa capaz de resistir estos ataques, si el sistema está preparado para tales eventos y también si los empleados pueden responder adecuadamente a ciertos incidentes?

Al ejecutar Red Teaming, no hay restricciones de alcance. Las pruebas no se limitan a un sitio web o una aplicación móvil. A menudo, el equipo rojo se cuela en la oficina disfrazado de mensajero y deja su “marcador” para el escaneo remoto y la búsqueda de redes, impresoras, cámaras y otros dispositivos no seguros. También puede haber varias variaciones de la creación de redes WiFI falsas, ingeniería social, ataques de phishing, etc.

Los ataques en este caso tienen un enfoque muy individual. Una vez se envió al director de la empresa un gran ramo de rosas y un oso con un Raspberry PI incrustado y una antena externa. Mientras la mujer admiraba el regalo y leía la nota del autor anónimo, se interceptó y transmitió con éxito handshake de la red WiFi interna. Esto está lejos de ser el ejemplo más sofisticado y sofisticado.

¿Cuánto cuesta Red Teaming?

No todas las empresas del mercado están dispuestas a publicar abiertamente los precios de este servicio. Todos los vendedores luchan con un enfoque individual y solicitan información de fondo, después de lo cual podrán nombrar un precio aproximado. Pero varias empresas tienen una lista de precios abierta y la lista de precios comienza en el rango de $ 10 000 a $ 50 000. Red Teaming requiere profesionales experimentados en su campo que tengan experiencia y posean los últimos exploits para usarlos en la práctica. Por lo tanto, un buen equipo rojo costará un promedio de $ 20 000.

Alguien dirá que es una cantidad bastante grande. Y es mejor comprar varias soluciones pagas para empresas, amueblar el perímetro y será mejor que contratar a algunos especialistas. Pero si cuentas, el Red Teaming regular dará sus frutos. Por ejemplo, podemos mencionar la situación reciente con Garmin. Según muchos informes de los medios, la compañía pagó un rescate multimillonario para descifrar sus datos después del ataque. Nadie da la cantidad exacta, pero ha aparecido varias veces una cantidad aproximada de $ 10 millones. Esto sin tener en cuenta las posibles multas y las consecuencias para la reputación de la empresa. Si contamos todos los costos, entonces la empresa podría solicitar Red Teaming varias veces al año y evitar una situación tan catastrófica.

Equipo rojo vs equipo azul

Esta oposición condicional de equipos existe desde hace mucho tiempo. El equipo rojo está atacando, el equipo azul defendiendo. Pero no todo es tan simple como parece. El equipo azul tiene un ámbito de trabajo y tareas muy amplio en la empresa. Esto incluye soporte de infraestructura, configuración de redes, desarrollo de procesos y políticas internas, capacitación de empleados, actualización y trabajo con vulnerabilidades existentes, etc. Este equipo es responsable de todo y de todos, por así decirlo. Pero en el curso de su trabajo encuentra grandes dificultades.

Primero, bastantes empresas siguen siendo inmaduras en lo que respecta a la seguridad de la información. Viven con la idea de que no les toque y todo irá bien. Hasta que ocurra alguna situación crítica, los recursos para este área son mínimos. Por tanto, el Blue Team necesita llevar constantemente a los jefes la necesidad de determinadas acciones, así como la obtención de recursos. Casi siempre estas solicitudes se eliminan total o parcialmente. Por lo tanto, muy a menudo la protección se encuentra en un nivel bastante débil y los empleados trabajan con recursos limitados.

El equipo rojo suele ser un grupo de empleados externos que son contratados periódicamente por la empresa. Son profesionales en su campo con gran experiencia. Tienen sus propios desarrollos en su arsenal, exploits para vulnerabilidades de día cero, trucos y secretos. Recibieron una orden para evaluar la seguridad de la empresa, comenzaron a trabajar, irrumpieron en la red, recibieron toda la información posible, hicieron un informe y mostraron al cliente qué vectores usaban y cómo lograron llegar a la meta. Quizás al revés, el equipo rojo no pudo pasar la defensa y escribió un informe al respecto. Pero la principal diferencia es que el Red Team se mueve de un proyecto a otro, y los representantes del Equipo Azul pueden ser “sancionados” por la presencia de vulnerabilidades críticas en el perímetro de la empresa.

Conclusión

Red Teaming es un servicio popular entre las empresas. Solo puede ser realizado por profesionales en su campo. Esta es la máxima imitación de posibles ataques, que puede mostrar cuán preparada está una empresa para existir en el mundo real. La variedad de herramientas y técnicas para realizar ataques es asombrosa. A menudo se parece más a un arte que a un enfoque técnico.