TL: DR: Red-teaming se utiliza en ciberseguridad para simular ataques del mundo real contra activos de Internet. Para poner a prueba la resistencia de los sistemas de seguridad del gobierno, el "Equipo Rojo" de GovTech planea y lanza ciberataques no anunciados contra agencias gubernamentales en Singapur. ¡En este artículo, te llevamos detrás de escena de un ciberataque del Equipo Rojo!
Para la mayoría de las personas, la suplantación de identidad (phishing) para los números de teléfono, la suplantación de identidad de una empresa y el encubrimiento en las instalaciones seguras de una organización suenan como puntos de la trama en la última película de espías.
Pero todas estas actividades son un día de trabajo para el Sr. Chong Rong Hwa, director, capacidades avanzadas de seguridad cibernética y el Sr. Terence Teo, especialista principal en seguridad cibernética en el Grupo de Seguridad Cibernética de la Agencia de Tecnología del Gobierno de Singapur (GovTech).
Chong y Teo son parte del Equipo Rojo de GovTech, un grupo de sombrero blanco que planifica y lleva a cabo ataques cibernéticos no anunciados contra agencias gubernamentales en Singapur.
La formación de equipos rojos, como se conoce su trabajo, emula cómo un adversario podría lanzar un ataque. Ayuda a las organizaciones a identificar vulnerabilidades y estrategias de respuesta de prueba de estrés.
"La misión del Equipo Rojo es crear una resistencia más fuerte contra los ataques de ciberseguridad para los sistemas gubernamentales a través del descubrimiento proactivo de las brechas de ciberseguridad en las personas, los procesos y la tecnología", dijo Chong a TechNews.
¿Tienes curiosidad por su trabajo? Siga leyendo para obtener una descripción detallada de un ataque del Equipo Rojo y una mirada detrás de escena de cómo se planeó.
Día D menos 45 días: comienza el trazado
Una vez comprometido para llevar a cabo un ejercicio de simulación de adversario no anunciado contra una agencia gubernamental "Equipo Azul", el Equipo Rojo de GovTech comienza los preparativos de inmediato.
Tan pronto como un mes y medio antes del Día D, el Equipo Rojo comienza a recopilar información y a configurar la infraestructura y las herramientas personalizadas que necesita para lanzar el ataque.
Día D menos dos días: estableciendo la trampa
0800: ¡El juego está en marcha! Dos días antes del Día D, el Equipo Rojo pone en marcha el ataque contra los activos del Equipo Azul.
0815: La defensa del perímetro del equipo azul incluye en la lista negra la dirección IP del equipo rojo.
0830: El equipo rojo utiliza el salto de dirección IP para evitar el intento de la lista negra.
1000: Red Team entrega una campaña de phishing simulada a los empleados de Blue Team.
1100: Blue Team es notificado sobre correos electrónicos de phishing a través de un sistema integrado de informes de incidentes. El equipo azul investiga …
1230: …Pero es demasiado tarde. Red Team obtiene la información de contacto de varios empleados de Blue Team y lleva a cabo un ataque de phishing de voz (suplantación de identidad): se hace pasar por una empresa de auditoría y programa una sesión en dos días en la sede de Blue Team para realizar una "auditoría de TI".
1530: Es hora de ponerse esos sombreros blancos: al utilizar las huellas de Internet, Red Team identifica las aplicaciones web de Blue Team insuficientemente protegidas alojadas por terceros.
1730: Red Team explota una vulnerabilidad en una de estas aplicaciones web; Blue Team es notificado para un seguimiento inmediato.
Día D: la trampa se cierra
0800: Juego encendido: El Equipo Rojo se divide en un equipo de ingeniería social, cuyos miembros se harán pasar por auditores de TI, y un equipo de HQ, que llevará a cabo el ataque una vez que los ingenieros sociales se establezcan.
0900: Los ingenieros sociales del Equipo Rojo llegan al cuartel general del Equipo Azul y son llevados a instalaciones seguras por los auditados del Equipo Azul; Red Team HQ se actualiza y se pone en espera.
0930: Los ingenieros sociales del Equipo Rojo solicitan a los auditados del Equipo Azul que conecten una unidad flash USB y abran un documento de Word. Blue Team cumple sin validar las identidades de los ingenieros sociales.
0935: El documento de Word, en realidad una herramienta personalizada de Red Team, crea una conexión de regreso a Red Team HQ.
0945: Bingo! Red Team HQ explota este acceso y gira en la red del Blue Team.
1000: Es hora de ponerse esos sombreros blancos una vez más: el Equipo Rojo busca rastros de adversarios reales para ver si los sistemas del Equipo Azul han sido comprometidos previamente por atacantes desconocidos. Red Team también detecta configuraciones débiles y vulnerabilidades de ciberseguridad.
1600: ¡Trabajo hecho! Red Team se limpia después de sí mismo, asegurándose de que el sistema de Blue Team vuelva a su estado original. Red Team consolida sus hallazgos.
Entre bastidores
Si bien los juegos de guerra de ciberseguridad pueden sonar emocionantes, realizar un ejercicio exitoso requiere una preparación extensa y mucha paciencia por parte del Equipo Rojo, dice el Sr. Chong.
“Aproximadamente el 80 por ciento de nuestro tiempo lo dedicamos a la preparación, mientras que el 20 por ciento lo dedicamos a la ejecución real del ataque. Se dedica mucho esfuerzo a las enumeraciones, el desarrollo de herramientas personalizadas y los intentos de comprender el sistema, así como sus procesos comerciales, antes de la realización del ejercicio de red-teaming ".
El aspecto de ingeniería social del ejercicio, en particular, requería una preparación detallada.
"Siempre habrá un elemento de sorpresa durante el ejercicio, donde se requiere que piense y reaccione de acuerdo con la respuesta del objetivo", dice el Sr. Teo, quien formó parte del equipo encubierto.
“Se requirió mucha planificación ya que el equipo tuvo que recopilar información de varias fuentes y correlacionarlas para desarrollar un pretexto convincente. Tuvimos que ensayar nuestras diferentes personas como parte de la preparación, y siempre tuvimos un plan de contingencia para mitigar el riesgo de ser descubiertos ”.
Después de completar un ejercicio de trabajo en equipo rojo, el Equipo Rojo presenta sus hallazgos a la agencia gubernamental objetivo y a otras partes interesadas.
Además de lidiar con problemas inmediatos, el Equipo Rojo también trata de ayudar a las agencias a identificar las causas fundamentales de las brechas de seguridad cibernética, y encontrar soluciones estratégicas para ellos, dice Chong.
"En general, nunca hay un entorno complejo 100% seguro, ya que siempre habrá debilidades que pueden ser explotadas por el atacante", explica Chong.
"Por lo tanto, la formación de equipos rojos es necesaria para ayudar a las agencias a fortalecer su postura de ciberseguridad, a fin de hacer que nuestros activos sean costosos para los atacantes del mundo real".