Red Teaming - Conceptos Claros

Fig.4.- Realista, Equilibrado y Dinámico

Red Teaming – Conceptos Claros

Para ir entrando ya en materia específica, que es de lo que se trata, vamos a publicar las líneas generales que pretendemos seguir.

Las explicaciones que vais a encontrar por ahí sobre el concepto Red Teaming son muy diversas. A medida que vayamos avanzando, veréis que el término Red Team se usa como buzzy-word durante las preventas, algo fácilmente dectectable porque no es un equipo cuya función pueda desempeñar un junior en una semana o dos y tampoco pueden ofrecerse sus servicios a precios altamente competitivos, porque el trabajo de investigación, desarrollo, planeamiento, pruebas, entrenamiento y ejecución es arduo, extenso y complejo (además de determinada madurez a la hora de consumir y elaborar inteligencia).

Por eso es crucial que desde el principio aclaremos bien los conceptos, para que no pase como con el Penetration Testing y el Vulnerability Scanning, frecuentemente confundidos por muchos (a veces por conveniencia asociada a ahorro de costes y esfuerzo).

Los Red Teams se encargan principalmente de llevar a cabo tres tipos de tareas:

  • Planes y Operaciones
  • Revisión Crítica y Análisis
  • Inteligencia

De forma muy simple, el UFMCS (University of Foreign Military and Cultural Studies) define el Red Teaming como una función para evitar:

  • El pensamiento grupal (que ya sabéis que conduce a resultados irracionales o procesos de decisión disfuncional por lealtad, pérdida de la creatividad individual, etc.).
  • Las limitaciones de atender a consideraciones reflejadas de un punto de vista únicamente introspectivo (aquí la CIA insiste mucho en la necesidad de no asumir que el enemigo actuará siguiendo patrones o reglas similares a las propias – mirror imaging).
  • Pasos en falso por criterios culturales (asombrosas las técnicas de ingeniería social que en otros países han funcionado, como la que algún día os contaré en un aeropuerto al que mi avión llegó tarde).
  • Visión de túnel durante la elaboración de planes y la ejecución de operaciones (sobre esto hay muchos ejemplos procedentes no sólo del entorno militar, pero los guardaré para las charlas).
Fig.1.- Definición de Red Team - UFMCS 2012

Fig.1.- Definición de Red Team – UFMCS 2012

Al contrario de lo que algunos puedan pensar, el Red Teaming no busca la perfección sino el equilibrio a través del pensamiento lateral (adaptive critical thinking). Para entendernos, la balanza a día de hoy está inclinada en favor de los cibercriminales por motivos obvios para los profesionales de seguridad, pero no tanto para sus clientes y gestores.

Por un lado, las limitaciones que se nos imponen cuando llevamos a cabo tests de intrusión, en el ámbito que sea, no existen para los ciberdelincuentes (una jornada para realizar un test de intrusión digital en una empresa con 3000 ordenadores – ¿no os ha pasado?). No hay franjas horarias, emails de aviso, restricciones de interacción presencial o remota, impedimentos selectivos que atienden a criterios arbitrarios, etc.

Por otro lado, el presupuesto disponible para abordar proyectos de seguridad está muy descompensado con respecto a la complejidad creciente que supone una realidad formada por distintas dimensiones (basta echar un ojo a las dos imágenes extraídas del Cyberspace Operations CCP del Ejército de los Estados Unidos que figuran a continuación).

Fig. 2.- Capas que componen el ciberespacio - Cyberspace Operations CCP US Army 2016

Fig. 2.- Capas que componen el ciberespacio – Cyberspace Operations CCP US Army 2016

 

Fig. 3.- Relaciones entre las distintas infraestructuras en el ciberespacio - Cyberspace Operations CCP US Army 2016

Fig. 3.- Relaciones entre las distintas infraestructuras en el ciberespacio – Cyberspace Operations CCP US Army 2016

Queda patente pues, que ya no pueden abordarse proyectos de seguridad de la información de forma tradicional. Es necesario ir un paso más allá y enfrentarnos a la realidad de la inseguridad que actualmente predomina, con un enfoque Realista, Equilibrado y Dinámico:

Fig.4.- Realista, Equilibrado y Dinámico

Fig.4.- Realista, Equilibrado y Dinámico

REALISTA en cuanto a que aborda la realidad completa, es decir, todas las capas que componen el mundo que hoy día conocemos (Digital, Físico y Social).

EQUILIBRADO al tratar de eliminar las desigualdades entre delincuentes y profesionales de seguridad.

DINÁMICO porque no se atiene a consideraciones rígidas, buscando siempre la mejora continua de los procesos de comprensión del adversario, de elaboración de inteligencia y de toma de decisiones a través del pensamiento crítico flexible.

Fig. 5.- Áreas Principales de un Red Team

Fig. 5.- Áreas Principales de un Red Team

Los Red Team desafían constantemente las organizaciones en las que intervienen, aportando alternativas que de no tenerse en cuenta, podrían suponer consecuencias indeseadas (no vamos a ser catastróficos diciendo que sería el fin de la empresa u organización). En definintiva, si el punto débil de la seguridad de la información de una empresa está en su arquitectura de seguridad física o en la obsolescencia de los sistemas que emplea para controlar el acceso físico a sus sistemas informáticos, un Red Team lo pondrá de manifiesto de forma teórica y práctica.

Por último, como comentario final querría aclarar que al contrario de lo que mucha gente piensa, es prácticamente imposible ponerse en la piel de un criminal y pensar como él o ella lo haría (salvo algunos, pocos, profesionales reconvertidos desde el lado oscuro o en contacto permanente). Básicamente, porque nuestras experiencias, entornos, ética y objetivos son muy distintos. No jugamos con las mismas reglas y por eso cobra tanta importancia entender bien el concepto Red Teaming y aplicarlo desde ya en nuestra carrera profesional. Es decir, la seguridad ofensiva juega un papel clave durante la realización del Red Teaming, pero, al menos nosotros, no nos quedamos ahí…

Ƨɒluboƨ

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *