Penetration Testing vs. Red Teaming ¿Cuál es la diferencia?
Una de las cosas más frustrantes para los que trabajamos en seguridad es que las empresas (y los equipos de marketing) confunden los diferentes tipos de evaluación de seguridad que existen.
Y, entre esos tipos de evaluación, el Pentest y el Red Team son dos de los más comúnmente confundidos. Por eso, comencemos con las similitudes.
Hay miles de empresas que venden Pentest. El problema es que no hay forma de saber si el cliente obtendrá un escaneo automático de Nessus o una evaluación manual personalizada y de alta calidad.
El Red Team tiene similitudes pero los objetivos son diferentes. La formación de equipos rojos está más orientada a los escenarios del mundo real. El objetivo no es solo probar el entorno y sus sistemas, sino también evaluar a las personas y los procesos de la organización.
Las pruebas de penetración son desafíos a corto plazo y sirven para validar la suposición de que la ciertos controles funcionan, que "tenemos la casa en orden". Pueden estar basados en un análisis de red, ataques físicos, ingeniería social, phishing, estar enfocados en las aplicaciones, o todo lo anterior.
En algún momento alrededor de 2017, el Red Team se convirtió en una evaluación "típica" de gran parte de la industria. El problema es que solo un pequeño porcentaje de las empresas de servicios de seguridad puede ejecutarlos.
Fuente: Daniel Miessler | TechTarget | RedTeamSecurity
Y, entre esos tipos de evaluación, el Pentest y el Red Team son dos de los más comúnmente confundidos. Por eso, comencemos con las similitudes.
- ambos son tipos de evaluación de seguridad, lo que significa que su objetivo es mejorar la seguridad de una organización;
- ambos se basan en comportarse, hasta cierto punto, como un atacante;
- ambos se centran en los resultados en lugar de la cobertura, por lo que no están diseñados para encontrar "todo lo que está mal" en una empresa, sino para mostrar los problemas específicos que se pudieron descubrieron en un tiempo determinado;
- ambos deben ser utilizados por clientes con cierta madurez, es decir, clientes que ya han pasado por múltiples rondas de evaluación de vulnerabilidades y parches.
Las diferencias
- Pruebas de Penetración o Pentesting: es una evaluación técnica en un período de tiempo determinado, diseñada para lograr un objetivo específico, por ejemplo, robar datos de clientes, obtener el administrador de un dominio o modificar información salarial confidencial. Estas pruebas no buscan descubrir nuevas vulnerabilidades o 0-Day; su objetivo es encontrar vulnerabilidades ya conocidas pero no parcheadas. En muchos casos, lo exige la legislación y las regulaciones locales.
- Red Team: es una evaluación a largo plazo o continua, basada en campañas que emula a los adversarios del mundo real y el objetivo es mejorar la calidad de los controles y las defensas corporativa, que, si existe, sería el equipo azul de la empresa. Su origen proviene de las fuerzas armadas, donde un grupo independiente desafía a una organización a mejorar su efectividad. Las operaciones tienen objetivos reducidos y un enfoque simultáneo, queriendo evitar la detección (tal como lo haría el cibercriminal). Como parte de la ejecución llevan a cabo acciones contra en el objetivo, como la ingeniería social cara a cara, la siembra de troyanos de hardware y, con el tiempo, observan oportunidades de explotación.
Hay miles de empresas que venden Pentest. El problema es que no hay forma de saber si el cliente obtendrá un escaneo automático de Nessus o una evaluación manual personalizada y de alta calidad.
El Red Team tiene similitudes pero los objetivos son diferentes. La formación de equipos rojos está más orientada a los escenarios del mundo real. El objetivo no es solo probar el entorno y sus sistemas, sino también evaluar a las personas y los procesos de la organización.
Las pruebas de penetración son desafíos a corto plazo y sirven para validar la suposición de que la ciertos controles funcionan, que "tenemos la casa en orden". Pueden estar basados en un análisis de red, ataques físicos, ingeniería social, phishing, estar enfocados en las aplicaciones, o todo lo anterior.
En algún momento alrededor de 2017, el Red Team se convirtió en una evaluación "típica" de gran parte de la industria. El problema es que solo un pequeño porcentaje de las empresas de servicios de seguridad puede ejecutarlos.
Características de un Red Team
- Duración: las campañas del equipo rojo pueden durar semanas, meses o años. El equipo azul y los usuarios objetivo siempre deben estar en estado de incertidumbre sobre si un comportamiento extraño es el resultado de las pruebas del equipo rojo o de un adversario real. No se puede obtener eso con una evaluación de una o dos semanas.
- Multi-dominio: mientras que los pentest pueden cruzarse en múltiples dominios, por ejemplo, físico, social, de red, aplicación, etc., un buen equipo rojo casi siempre lo hace de esa manera.
- Emulación del adversario: hay un elemento fundamental que separa un pentest tradicional de un compromiso realizado por un equipo rojo. Ambos implican ejecutar herramientas y técnicas comunes sobre un objetivo pero, el equipo rojo busca afectar a la organización con ataques muy similares a lo que llevan adelante los adversarios; eso incluye innovación constante en términos de herramientas, técnicas y procedimientos, lo que contrasta fuertemente con ejecutar Nessus y Metasploit.
- Escenarios: los equipos rojos crean escenarios buscando la detección y la respuesta. Se busca probar la capacidad de una empresa para detectar y gestionar amenazas externas, como campañas de phishing, intentos de ingeniería social, intentos de obtener acceso físico al sitio, evaluaciones de compromiso del sitio web, evasión de software de protección , movimiento lateral a través de las redes y muchos otros ataques, dependiendo de la complejidad de los sistemas de una organización.
Escenarios del Red Team
Los escenarios típicos del equipo rojo incluyen la explotación de computadoras y móviles perdidos, dispositivos no autorizados conectados a la red interna, hosts de la DMZ comprometidos, así como probar cómo el centro de operaciones de seguridad (SOC) o el equipo azul reaccionan ante una amenaza persistente avanzada (APT). ¿Se darán cuenta cuando un empleado extraiga datos de la red? ¿Cuánto tardarán en notarlo?Cómo elegir
Elegir entre un Pentest y un Red Team depende de cuáles son los objetivos de la organización. Si el objetivo es probar sistemas y redes para detectar y explotar vulnerabilidades conocidas, un pentest sería la mejor manera de hacerlo. En cambio, si el objetivo es aprender más sobre la postura de seguridad y defensa de la organización, entonces, crear escenarios con un Red Team sería el camino apropiado.Fuente: Daniel Miessler | TechTarget | RedTeamSecurity
Ni que decir tiene que la formación para un red team tiene que ser enorme. Mientras que para un pentesting alguien que haya ya trasteado o acabe de salir del máster puede hacer ciertos análisis de penetración, para un red team se requiere gente muy completa, con mucha experiencia y que conozca mucha tecnología. Por ejemplo, alguien como yo, que acaba de salir del máster de ciber y lleva trabajando pocos meses en Madrid, no es ni mucho menos capaz de hacer un análisis de red team (todavía). Quizás algún día y así poder trabajar con vosotros. Saludos.
ResponderBorrar