Cómo sacar el máximo provecho a los Red Teams

Casi 200 asistentes se dieron cita en el II Encuentro Nacional de Red Team, organizado por Bankia y Entelgy Innotec Security, para escuchar a los principales expertos en servicios de intrusión avanzada del país, incluidos profesionales de Bankia, Entelgy Innotec Security, BBVA, Countercraft, Banco Sabadell, Ferrovial, Sanitas, Sec-1 y el Mando Conjunto de Ciberdefensa (MCCD).

El acto ha servido de punto de encuentro en el que compartir aspectos organizativos, modelos de operación y casos de éxito de Red Team, un servicio consistente en la realización de ataques controlados a un objetivo que ha sido previamente acordado entre el cliente y la compañía de ciberseguridad. En la jornada se trataron nuevos vectores de ataque, junto con las últimas novedades en técnicas de persistencia, escalado de privilegios o exfiltración, entre otras.

Sabiendo que toda organización puede ser objeto de un ciberataque, independientemente del tamaño de esta, es de vital importancia que todas cuenten con medidas de protección. Y, para ello, es necesario analizar bien la organización y conocer cuáles son sus puntos más débiles para poder protegerlos. De hecho, para Daniel Casado de Luis, responsable de Threat & Vulnerability Management de SABIS/Sabadell, el scoping, es decir, definir qué es lo que se va a analizar durante un ejercicio de Red Team, es la fase más crítica y quizás la más importante.

Una de las conclusiones a las que los expertos llegaron durante la jornada es que es necesario mantener una tensión constante durante los ejercicios de Red Team. De esta forma, la organización no se confía y la defensa no decae. También se destacó la importancia de que las organizaciones realicen ejercicios de intrusión completos, no solo limitarse al perímetro, y se subrayó que el Red Team por sí solo no es suficiente si se quieren obtener los mejores resultados posibles, sino que es necesario complementarlo con el Blue Team, el equipo de defensa del cliente.

Por otra parte, con el objetivo de que la seguridad de las infraestructuras se mantenga en el tiempo, es importante que se lleven a cabo comprobaciones con una periodicidad de 1 a 2 años. Sin embargo, tal y como señaló Eduardo Arriols, Red Team Manager de Entelgy Innotec Security, muchas organizaciones son de la opinión de que no tiene sentido repetir las mismas pruebas. Pero, como apunta, “en ese tiempo cambian muchísimo las cosas". Por este motivo, es también esencial llevar a cabo un trabajo de concienciación con las organizaciones, de modo que sean conscientes de la necesidad actual de proteger sus sistemas, punto en el cual coincidieron todos los ponentes que participaron en este Encuentro.