Andrés Corón, Gerente Seguridad – Entelgy.
Preguntas tan simples y a la vez tan profundas como las mencionadas, parecieran no ser claras cada vez que se da a conocer una noticia sobre alguna organización que ha sufrido algún ciberataque, y nuevamente Chile es un ejemplo de ello, lo que se refleja en lo sucedido días atrás, con el ataque que enfrentó una importante institución de la banca.
“Este ejemplo concreto, sumado a otros que han ocurrido en Chile y a nivel mundial, y a que la gran mayoría de las organizaciones ha tenido que trabajar de forma remota producto de la contingencia de salud, han demostrado que las medidas tradicionales enfocadas a proteger la información, sistemas y equipos, el desarrollo de planes y políticas de seguridad o las auditorías que intentan analizar los riesgos de una organización frente a un ciberataque, son insuficientes”, enfatiza Andrés Corón, Gerente Seguridad – Entelgy. Los atacantes suelen ser muy creativos y disruptivos, y los sistemas de defensa de las organizaciones tardan demasiado en mejorar sus métodos de detección.
“Es una realidad que toda organización puede ser objeto de un ciberataque, independientemente de su tamaño, por lo que es de vital importancia que todas cuenten con medidas de protección, y para ello, deben conocer cuáles son sus puntos débiles, y así diseñar las medidas pertinentes”, agrega.
Simulando ataques reales
Partiendo desde la base, el concepto de Red Team proviene del ámbito militar y era utilizado en contraposición con el de Blue Team, englobados ambos dentro de las actividades de War Gamming, en el que un equipo adquiere el rol de atacante (Red Team) y otro de defensor (Blue Team). Este tipo de ejercicios ha sido realizado, de forma continuada, hace décadas, por los ejércitos de varios países, y supone uno de los entrenamientos más eficaces para conocer el nivel de seguridad y preparación real frente a posibles amenazas dirigidas. En este ámbito, un ejercicio Red Team busca simular un ataque dirigido sobre una determinada organización, y ver cómo esta se comporta sobre este ataque controlado.
Según advierte el ejecutivo de Entelgy, los ciberataques que enfrentamos están variando entre una organización y otra, no siguen normas, reglas o alcances limitados, como ocurre en las comprobaciones tradicionales que se realizan. Con este panorama, podemos concluir que la única forma que tiene una organización de aumentar su nivel real de seguridad, ante las amenazas de hoy, es la simulación de ataques reales.
“La verdad es que son muchas las organizaciones que no cuentan con este tipo de comprobaciones realistas y se encuentran, en el mejor de los casos, con la problemática de no conocer realmente cuál es su nivel de preparación y capacidad de hacer frente a un ataque dirigido. Hoy cualquier organización, sin importar su tamaño y rubro, podría ser vulnerada independientemente de cuál sea el vector de acceso: servicios que puedan estar expuestos en el perímetro, redes, Wi-Fi, uso de phishing, malware, etc.”, comenta el profesional. Por ende -a su juicio-, la mayor preocupación de una organización no debería ser identificar un vector de acceso a la red, sino conocer cuál es la capacidad de detección a nivel interno, que aportan sus equipos y plataformas de seguridad para identificar una amenaza.
Entrenando a la organización
Si bien la mayoría de las organizaciones medianas y grandes cuentan con amplios equipos de seguridad: ¿Cuál es la efectividad de estos para la detección de amenazas? ¿Por qué piensan que son capaces de detectarlas? “También debemos tener en cuenta cuál es la capacidad real de la organización para hacer frente a un ataque dirigido una vez que este haya sido detectado, es decir, conocer si su capacidad en la respuesta a incidentes es suficiente como para, una vez identificada la amenaza, dar una respuesta a esta y solventar de manera efectiva”, asevera Andrés Corón.
“Como hemos podido constatar con la información que se ha publicado luego de ataques a organizaciones, aunque existan planes de actuación y medidas de protección, habitualmente los equipos de seguridad no actúan del todo correcta y eficientemente ante un incidente, debido principalmente a que no están preparados para ello. La forma de dar respuesta a esta problemática adicional pasa por entrenar a la organización en hacer frente a posibles ataques dirigidos”, añade.
En la respuesta a esta problemática, toma vital importancia el conocimiento, rodaje y experiencia del equipo Red Team. Entelgy cuenta con un equipo independiente y multidisciplinario de profesionales técnicos, quienes están especializados en distintos dominios de la seguridad informática. Asimismo, tiene un alto número de profesionales con las certificaciones más avanzadas del sector, como OSCE, CREST, OSCP, OSWP, etc.
“El principal objetivo del equipo de Red Team de Entelgy es verificar el nivel de exposición y riesgo real al que se enfrentan nuestros clientes, frente a un atacante motivado y con recursos. Adicionalmente, y por la naturaleza del ejercicio, este tipo de simulación permite demostrar cuáles son las capacidades preventivas, de detección y reactivas de la organización”, comenta.
En concreto, el ejecutivo explica que “Entelgy propone una nueva metodología para conocer el nivel de exposición y riesgo de una organización, así como su capacidad de detección y respuesta”. Para ello, se simula, en cierto modo, un combate militar entre dos equipos, el rojo (Red Team), formado por sus profesionales, y el azul (Blue Team), que vendría a ser la organización que se está analizando en su conjunto.
“Para poder realizar estas simulaciones, es posible utilizar, de forma combinada, cualquier vector de ataque, para lo que hemos definido el Ámbito Digital, activos con los que existe una interacción digital, como sistemas expuestos a Internet, redes, clientes Wi-Fi, etc.; Ámbito Físico, activos con los que existe una interacción física, como controles de acceso, sistemas de vigilancia, etc.; y Ámbito Humano, personas de la organización con las que interactuar para lograr obtener información, acceso físico o lógico, etc.”, explica el profesional de Entelgy.
La metodología de trabajo de Entelgy aplica técnicas, tácticas y procedimientos de intrusión (TTPs), además de diseñar escenarios y vectores de ataque combinados, para comprobar el impacto real de un ataque dirigido y poner a prueba las capacidades de detección y respuesta. Estos ejercicios han entregado a sus clientes múltiples beneficios, como evaluación continua de la seguridad frente a cualquier tipo de ataque; mejora en la habilidad del equipo de seguridad interno para responder a los incidentes, manteniéndolo en permanente estado de alerta; identificación de vulnerabilidades antes que puedan ser aprovechadas por los atacantes; y verificación de la correcta actuación en todos los sistemas y procesos de la empresa.
“Entelgy Innotec Security lleva varios años desarrollando este tipo de servicios, tanto a nivel nacional como internacional. Nuestros excelentes resultados nos han permitido realizar ejercicios en países como Colombia, España, Chile y en sectores como banca, salud, industrial y gubernamental”, indica Andrés Corón, y agrega que “en base a nuestra experiencia y a los años que llevamos realizando estos ejercicios, recomendamos mantener una tensión constante durante los ejercicios de Red Team, de esta forma, la organización no se confía y la defensa no decae”.
