Blog B-SECURE

Análisis de metodologías de pentesting, red team y simulación de adversarios

Actualmente existen diferentes servicios destinados a evaluar los controles de seguridad de las compañías, riesgos presentes en sus activos y debilidades en la red que podrían dar paso a brechas de seguridad. Estos servicios son pruebas de pentesting, ejercicios de red team y simulación de adversarios.

Desde un punto de vista de metodología existen grandes diferencias entre cada servicio. A continuación describo cada uno de ellos abordados desde el framework de Mitre ATT&CK.

Pentesting

que-es-el-pentesting

El pentesting busca identificar vulnerabilidades, así como evaluar su explotación y las medidas de seguridad que tenga una compañía. Desde el punto de vista táctico, este servicio involucra la siguiente metodología:

La fase inicial consiste en la planeación y reconocimiento. Aquí se busca obtener inteligencia asociada con la organización, objetivos potenciales, información de red, entre otros.

La siguiente fase es el descubrimiento, donde se utilizan diferentes herramientas para identificar equipos y servicios en sus objetivos, así como vulnerabilidades potencialmente explotables en cada uno.

En el acceso inicial, se lleva a cabo la explotación de las vulnerabilidades identificadas tomando evidencia de los resultados obtenidos.

Dependiendo del alcance del pentest, se utilizan tácticas de movimiento Lateral y ejecución de payloads para mantener la persistencia.

Al final del ejercicio, se obtiene un reporte que le permite a la organización evaluar la criticidad de los hallazgos, así como el riesgo que representa cada una de las vulnerabilidades explotadas en cada activo, y una medición de la efectividad de sus controles de seguridad.

Red Team 

Red team

Los ejercicios de red team son frecuentes en entidades que tengan un gobierno de seguridad más maduro. Este aunque también busca evaluar la seguridad de la red de una compañía, va mucho más allá del pentest.

El objetivo principal de un ejercicio de red team es el de emular un adversario con tácticas reales, el equipo a cargo busca ser sigiloso y hacer poco ruido en la red, incluyendo ataques de ingeniería social, y muchas de sus pruebas se enfocan en obtener detección y respuesta por parte del blue team. Este tipo de ejercicios contempla tácticas como las siguientes:

El Red team ejecuta una fase de reconocimiento que busca recolectar tanta información como sea posible asociada con la organización, objetivos potenciales, información de red, empleados, tecnología, aliados, entre otros.

Después lleva a cabo el descubrimiento de su objetivo usando diferentes herramientas para identificar equipos de TI, instalaciones y personal.

A partir de este punto, el equipo planea su ataque y sus escenarios a evaluar de acuerdo a sus objetivos y a la información recolectada. Adicionalmente lleva a cabo el desarrollo de recursos que puede variar dependiendo del alcance, que en general incluye payload maliciosos, configuración de hardware con código malicioso, falsificación de credenciales, preparación de servidores de comando y control, entre otros.

La siguiente fase del Red Team consiste en la explotación, en la cual el equipo logra acceder a algún activo en la compañía aprovechando una brecha de seguridad. Para lograr este objetivo, el equipo podría buscar un Acceso inicial a través de cuentas válidas identificadas en internet, correos de phishing, explotación de vulnerabilidades, piezas de hardware introducidas en la compañía a través de una intrusión física, entre otros. 

Dependiendo del procedimiento empleado por el Red Team, las tácticas ejecutadas posteriormente pueden variar, sin embargo, en la mayoría de los casos se observa la ejecución de herramientas y comandos para ganar control de la máquina, la creación de recursos como tareas programadas y usuarios para generar persistencia, el uso de tácticas de escalamiento de privilegios que involucran la ejecución de herramientas y explotación de vulnerabilidades, y la ejecución de movimientos laterales, con el objetivo de ganar mayores privilegios, todo esto, haciendo uso de técnicas de evasión.

Al final de un ejercicio de Red Team, se entrega un reporte que incluye una descripción de la planeación y metodologías utilizadas, una descripción de los escenarios planteados para evaluar cada una de las superficies de ataque identificadas, así como un resumen de las tácticas, técnicas y procedimientos (TTP’s) utilizados bajo el marco de Mitre, los hallazgos y las recomendaciones. Este reporte es generalmente complementado por un reporte elaborado por el blue team donde se evidencia la detección de las técnicas utilizadas y la efectividad de los controles.

Simulación de Adversarios

emulacion-de-adversarios-mitre-attck

Los ejercicios de simulación o emulación de adversarios surgen a raíz de una problemática que se genera entre el Red team, el cual busca no ser detectado, y el Blue Team que busca por el contrario detectar cada técnica ejecutada por el Red Team. Es así, como estos ejercicios se convierten en muchas ocasiones en un conflicto entre evasión, detección y contención, que los aleja de realmente emular técnicas o procedimientos comúnmente utilizados por adversarios.

La simulación de adversarios consiste en ejercicios guiados generalmente por reportes como los utilizados por Mitre para identificar los procedimientos utilizados por cada actor de amenaza bajo un framework similar al utilizado en las pruebas de Red team, pero que se enfoca en evaluar TTP’s específicos planteados desde el inicio del ejercicio y bajo un marco colaborativo entre el Red Team y el Blue Team. Las etapas principales en una prueba de simulación de adversarios son las siguientes:

1. Definición de Objetivos: Los objetivos de la simulación de adversarios pueden variar dependiendo de lo que busca cada cliente, puede tratarse de la simulación de un actor o actores de APT para un sector específico, la ejecución de TTP’s específicos para evaluar la efectividad de alguna herramienta de seguridad, entre otros.

2. Investigación de TTP’s del Adversario: Consiste en identificar los adversarios de interés para la organización, realizar una búsqueda de reportes de inteligencia de amenazas asociadas con estos adversarios y definir los TTP’s que serán emulados durante las pruebas.

3. Planeación de la actividad: Consiste en definir un alcance, un cronograma, un acuerdo escrito y un plan de comunicaciones.

4. Implementación de TTPs: Esta etapa consiste en la implementación de TTP’s en un formato que permita su ejecución y en la consolidación de un Plan de emulación de adversarios que contiene un paso a paso detallado de la ejecución de cada una de las TTPs.

5. Ejecución: Consiste en ejecutar cada uno de los TTP’s de acuerdo con el plan realizado, confirmar si fue o no detectado y contenido, y comunicar y documentar los resultados.

6. Finalización de la actividad: Consiste en la entrega de reportes y presentaciones que incluyan los hallazgos, para cada TTP ejecutado, junto con recomendaciones y medidas de mitigación que pueda tomar la compañía.

La simulación de adversarios es una metodología que está siendo usada actualmente por el grupo de Mitre Engenuity para evaluar las capacidades de detección de diferentes herramientas del mercado ante amenazas específicas. Debido a que se requiere de la implementación de procedimientos utilizados por actores de amenaza a partir de los informes de inteligencia publicados por diferentes investigadores de ciberseguridad, el equipo que lleva a cabo este tipo de pruebas requiere de gran habilidad técnica y creatividad para lograr generar un Kill chain que realmente logre emular al adversario en todas sus fases bajo el framework de Mitre ATT&CK.

Existen en el mercado diferentes herramientas de BAS (Breach and Attack Simulation) que ya implementan TTP’s usados por algunos actores de amenaza y que reducen el tiempo requerido para definición del plan de simulación de adversarios, así como recursos gratuitos que contienen planes de emulación de adversarios detallados para grupos APT específicos que facilitan la ejecución de este tipo de pruebas. 

Desde el área de investigación de B-SECURE, resaltamos la importancia de llevar a cabo ejercicios de simulación de adversarios de forma periódica, y ejecutarlos bajo demanda cada que se adquieran nuevas tecnologías o se realice algún cambio importante en las herramientas de seguridad para conocer las fortalezas y debilidades de los controles, así como las capacidades de detección y contención frente a amenazas actuales como por ejemplo un grupo de APT o una familia de ransomware específica.

 

 

 

 

 

 

Fuentes: