Una nueva y mejor forma de hacer Red Team desde la Inteligencia: se llama: Planets©
Febrero 2021
Aurora García
Red Team Service Manager Mnemo
Autor: Aurora García
Cargo: Red Team Service Manager Mnemo
Una nueva y mejor forma de hacer Red Teaming desde la Inteligencia: se llama: Planets©
Hace dos años, MNEMO decidió comenzar una nueva aventura: crear un Red Team guiado por la Inteligencia acorde con la realidad y las necesidades actuales de nuestros clientes. No fue un camino sencillo, pues todos sabemos que antes que pintar un proceso este debe modelarse. Medimos, evaluamos, observamos y analizamos cada función del Red Team (personas, procesos y tareas) y, tras ello, siguiendo la metodología tradicional de Inteligencia, nos sumergimos en toda la literatura red que había disponible en bibliotecas militares (al fin y al cabo, el Red Team procede de este ámbito), operacionales y de otras disciplinas, como en la abogacía, que también se aplican. Extrapolamos, adaptamos y, sobre todo, escuchamos otras opiniones sobre Red Team diferentes a las que teníamos de partida. Para innovar, hay que “salirse de la caja”.
Tras dos años de modelado y operando misiones principalmente de índole tecnológico, nos dimos cuenta de que quizás teníamos un concepto incompleto de lo que es en realidad un Red Team y que se estaba perdiendo una gran parte de su eficacia por no entenderse bien la labor que realizamos. En primer lugar, concluimos que un Red Team es un equipo que debe entrenar de forma eficaz e integral a TODOS los servicios de seguridad de una organización (no solo a los tecnológicos). Entendemos que el objetivo final de estos equipos es elevar los protocolos de seguridad al mayor nivel de excelencia posible, pero de todas las áreas al mismo tiempo (recursos humanos, auditoría, comunicación…) sin restringirse meramente al ámbito tecnológico.
No todos los enemigos de nuestros clientes se esconden tras un ordenador. La terrible estafa de la desinformación, aprovechando una vulnerabilidad judicial (la desinformación no es un delito per se a no ser que sea subsumible en otro delito como por ejemplo, la estafa), nos ha creado un gran problema en el que ahora nos vemos envueltos; si no que pregunten a los de Lehman Brothers cómo les fue por basarse en informaciones inexactas. Los criminales o enemigos hostiles (como la competencia desleal) buscan siempre agujeros vulnerables por donde colarse, sean estos tecnológicos o no. Y todos sabemos que, la mayoría de las veces, las vulnerabilidades son humanas. Sería un grave error no dar de forma equilibrada a todos el mismo entrenamiento y no profundizar en áreas con tanta experiencia como la Seguridad Física en nuestros ejercicios.
Por ello, entendimos rápidamente que el área de pentesting debería contar con un equipo de analistas de inteligencia que le facilitara el diseño de las operaciones acorde a las necesidades de la organización, no improvisando, ya que es evidente que el pentester no puede abarcar toda esa labor. Diseñar operaciones es un proceso complejo que requiere una metodología de Inteligencia característica de esta disciplina: evaluar los riesgos de nuestro cliente “a la carta”, tomando en consideración no solo esos riesgos sino también su estrategia empresarial, Funciones Críticas concretas y las tendencias criminales en su área (no solo cibercriminales). Eso requiere un equipo de Inteligencia que beba de fuentes distintas (entre ellas, CTI) para anticiparse a las situaciones. Ir por detrás de los criminales, ya lo llevamos haciendo mucho tiempo. Queremos adelantarnos.
Por eso creamos Planets©, que tiene como uno de sus pilares el modelo militar de ataque basado en equipos coordinados Alpha y Omega, al que hemos rodeado de un conjunto de servicios enfocados a mejorar la calidad de las misiones desarrolladas. El planeta de Inteligencia (Épsilon), es el lugar donde un equipo multidisciplinar formado por Analistas de Inteligencia, con perfiles de expertos en división de negocio, criminólogos, documentalistas, expertos en Consultoría y Relaciones Internacionales, Ingenieros de Seguridad, Periodistas, Sociólogos y de otras disciplinas, analiza todos los riesgos del cliente y diseña un plan de misiones anual que refuerce la seguridad de la compañía. Después, el planeta Gamma prepara la infraestructura necesaria para que Alpha identifique vulnerabilidades antes del ataque. Una vez ha reconocido el área objetivo, el planeta Omega ejecuta el ataque en su fase final. El planeta Delta es una de las más destacables porque incorpora otro elemento que antes no existía: prospectiva de amenazas sobre los productos criminales. Recordemos: queremos ir por delante de los malos, la espalda se la tenemos muy vista. El planeta Kappa, por su parte, proporciona un método de comunicación de resultados mediante una concienciación reactiva, tomando como premisa el poco éxito que suele obtener la concienciación habitual.
Esto nos permite resolver también un problema importante: la falta de talento técnico en ciberseguridad. Con este modelo, mucho más preciso y adaptado a las necesidades reales de nuestro cliente, se compensa una posible carencia técnica con otras competencias necesarias para tener una visión global y que enriquecen el resultado final, mejorando, de forma potencial, el entrenamiento de los equipos de seguridad de la compañía: de TODOS al mismo tiempo, ya que el área de Inteligencia también realiza misiones que abordan el lado humano y social, atacando los propios procesos de seguridad de la organización, que hasta ahora no se estaban abordando desde el equipo de pentesting.
Ahora estamos incluyendo en el modelo el planeta Zeta, que será en el que se canalicen el Purple Teaming y sus procesos. Al final esto ahorra dinero al cliente, ya que dispone de todos los ejercicios necesarios en un solo modelo, aprovechando así sinergias y recursos.
Este modelo es aplicable a cualquier sector. Es cierto que parte de su metodología tiene en consideración un marco de trabajo originado en instituciones financieras (TIBER-EU, promulgado por el BCE), pero se trata de un método general que es perfectamente aplicable a otros sectores. Y esto es así porque TIBER-EU dice qué tienes que hacer, pero no el cómo. El cómo, ha venido gracias a una exhaustiva labor de auditoría y análisis de inteligencia sobre cómo construir un Red Team eficaz que sea indispensable para la compañía por su notable aumento de resiliencia ante las injerencias externas.