Red Teaming: revirtiendo las formas de abordar los ciberataques

A pesar de las medidas de protección, la instalación de software de protección de identidad, la técnica de cifrado de datos y las utilidades antimalware, la seguridad cibernética sigue siendo vulnerable a las amenazas emergentes, lo que en última instancia somete a las empresas modernas y los sistemas informáticos individuales a riesgos de fuga de datos y uso indebido de la información. Si bien tiene un riesgo sustancial de pérdidas financieras para las corporaciones que usan software de computadora para administrar sus diferentes niveles de tareas, también tiene consecuencias de amenazar la seguridad personal y la presencia en línea del público, lo que, a su vez, las lleva a ser víctimas del ciberacoso. Dado que nuestras defensas contra los ataques cibernéticos y el terrorismo cibernético están fallando en gran medida, tal vez sea necesario un enfoque diferente para mejorar nuestras técnicas de protección cibernética. Aunque la mayoría de las corporaciones confían en una compleja red de funciones de seguridad para sus servidores y la nube, muchas de ellas ahora han comenzado a probar su mecanismo de defensa con una nueva táctica, llamada Red Teaming. ¿De que se trata? ¿Y qué cambio puede traer en las tácticas de ciberseguridad? Vamos a averiguar.

Debe leer: 5 predicciones de ciberseguridad que debe conocer

¿Por qué es necesario un enfoque diferente de la ciberseguridad?

Cuando hablamos de ciberseguridad y mecanismos de defensa web, hay varias personas involucradas en la implementación de estas medidas en un servidor corporativo o espacio en la nube. Estas personas poseen un conocimiento profundo de sistemas, lenguajes informáticos, codificación y piratería. Habilidosos y calificados para realizar diversas tareas relacionadas con la ciberseguridad, el trabajo de estos muchachos es asegurarse de que sus empleadores no sean robados en línea de sus datos y finanzas por algún asaltante desconocido, lo que puede exponerlos a pérdidas personales y profesionales. Ahora, la mayoría de las empresas contratan a estas personas para monitorear sus servidores en busca de amenazas potenciales y parches regulares de lagunas. Evalúan todos los sistemas de red, buscan posibles lagunas que hacen que el servidor de la empresa sea vulnerable a los ataques y los reparan. La auditoría y el análisis regulares ayudan a estos equipos de ciberseguridad a mantener el mismo servidor y espacio web en cuestión. B

Pero los atacantes cibernéticos ya no se limitan a violar la seguridad de los datos mediante el antiguo método de prueba y error de penetrar el cifrado. Los atacantes hoy en día están tratando de buscar otras medidas que puedan llevarlos a una red protegida sin dejar huellas digitales y, por lo tanto, solo encuentran una manera de robarle el control y la protección de sus datos sin siquiera avisarle. Dado que estos atacantes ahora están pensando de manera innovadora para atacar servidores y redes, es necesario que el enfoque hacia la defensa del servidor de ciberseguridad también cambie y se piense en algo innovador.

¿Qué es Red Teaming?

Los servicios de protección de terceros de la mayoría de las corporaciones monitorean y reparan sus firewalls y mantienen el malware fuera del servidor en cuestión. Pero los Equipos Rojos son un caso completamente diferente de los servicios de protección. Aunque las habilidades y el conocimiento de los chicos de los servicios de protección de cortafuegos y los miembros de los "equipos rojos" son similares, son sus trabajos los que distinguen tanto su talento como su trabajo. En Red Teaming, las corporaciones reúnen un equipo interno de expertos en seguridad cibernética, que no solo son expertos en rastrear y prevenir un ataque cibernético, sino que también se destacan en la realización de uno. Estos tipos imitan un ataque cibernético como atacantes y piensan en diferentes formas de violar el servidor de sus empleadores para determinar todas las formas posibles en que un atacante real puede penetrarlo. Esto permite a las corporaciones identificar en qué parte de sus firewalls necesitan actualizaciones y qué puertas tienen sus servidores para otorgar acceso no autorizado a los atacantes.

Al asumir el papel de atacantes, el equipo rojo no solo monitorea el servidor en busca de vulnerabilidades, sino que se enfoca inmensamente en encontrarlas y explotarlas. Ayuda a las corporaciones a saber qué tipo de ataques su firewall no podrá defenderse. Sin embargo, los equipos rojos solo pueden ser efectivos si conocen las herramientas de piratería y son expertos en llevar a cabo ataques de phishing y malware. Pueden utilizar otras técnicas, como acceder al espacio en la nube de datos corporativos o acceder a un mainframe industrial y tomar el control de la maquinaria en una línea de producción. Estos muchachos piensan en nuevas posibilidades de violar la protección del firewall y, por lo tanto, ayudan a actualizar la arquitectura del firewall.

¿Es Red Teaming una práctica importante para las corporaciones?

Si. A pesar de contratar servicios de protección profesional e implementar todo tipo de medidas de firewall, las corporaciones se encuentran regularmente bajo ciberamenazas y ciberterrorismo. Esto se puede confirmar analizando los ataques más impactantes de esta década que dejaron a cientos de gigantes corporativos famosos en pérdidas, así como en el escrutinio público. Uno de ellos fue Sony Pictures Hack de 2014, donde el servidor del estudio de cine fue pirateado para acceder a los correos electrónicos personales y profesionales de los directores del estudio, lo que finalmente llevó a la revelación de varias empresas y negociaciones de Sony Pictures. También llevó al estudio a cancelar el lanzamiento de su película The Interview. Otro fue Stuxnet, un ataque de malware financiado por el estado por parte de EE. UU. e Israel contra el gobierno iraní para retrasar el programa de desarrollo de armas nucleares de Irán. Este gusano finalmente terminó propagándose a sistemas desconocidos, que ni siquiera estaban en la lista de objetivos y causó estragos. El más famoso, el ataque Ransomware de 2017 se dirigió a cientos de pequeñas y grandes corporaciones en todo el mundo, lo que lo convirtió en el mayor ataque cibernético de la historia.

Por lo tanto, a pesar de los firewalls que las empresas implementen, siempre habrá nuevas vulnerabilidades o métodos de propagación de malware que los atacantes reconocerán o incluso diseñarán por su cuenta. Entonces, sí, el equipo rojo debe estar allí para asegurarse de que los firewalls implementados sean tan efectivos como parecen. Dado que incluso las corporaciones más grandes continúan bajo la amenaza de violaciones de seguridad cibernética, es obvio que la protección del firewall se está quedando atrás y de alguna manera no puede mantenerse al día con las nuevas tácticas que desarrollan estas decenas de piratas informáticos de vez en cuando. Por lo tanto, para pensar fuera de la caja y pensar de la misma manera que lo haría un atacante antes de intentar una violación, el equipo rojo es una medida esencial que todas las corporaciones deben adoptar.

¿Puede Red Teaming ser una solución única?

Si cree que el equipo rojo por sí solo mantendría su servidor seguro, está absolutamente EQUIVOCADO. Porque al tratar de encontrar nuevas vulnerabilidades en su red, también necesitaría otro equipo, que contrarrestaría los esfuerzos del equipo rojo y protegería esas vulnerabilidades en tiempo real. Todo esto suena como un hackathon, pero esa es la forma correcta de hacerlo. Un equipo rojo que intenta penetrar en el servidor, mientras que un equipo de defensa intenta resistir los ataques del equipo rojo. Esto permitiría a las empresas garantizar la actualización del firewall en tiempo real y la corrección instantánea de las lagunas en sus medidas de protección cibernética. Red Team no puede sobrevivir solo y se volvería ineficaz si no hay muchachos al otro lado de la pared.

Lea también: ¿Cómo usar la capacitación de concientización sobre seguridad cibernética para cambiar el comportamiento de los empleados?

Las empresas en todas las escalas cuentan con considerables mecanismos de protección cibernética y herramientas de firewall y es probable que dependan en gran medida de ellos. Pero los atacantes siempre encuentran una escapatoria allí, ya que así es como piensan. Para garantizar una protección completa contra tales ataques, se debe imitar la forma en que un atacante abordaría la protección de firewall en lugar de pensar que es un experto en ciberseguridad. Estas imitaciones prácticas de los ataques cibernéticos pueden ser útiles para mantener un alto nivel de seguridad del servidor y resistencia a los ataques cibernéticos.