Por: Natalia Godyla, gerente de mercadotecnia de producto para seguridad, y Matthew Hickey cofundador y CEO, y autor de Hacker House.
La comunidad de seguridad cambia, crece y aprende de manera continua entre sí para posicionar mejor al mundo frente a las amenazas cibernéticas. En la última publicación de la serie de blogs Voice of the Community, la gerente de marketing de productos de Microsoft, Natalia Godyla, habla con Matthew Hickey, cofundador, director ejecutivo y escritor de Hacker House. En esta publicación de blog, Matthew habla sobre los beneficios de un equipo morado y ofrece las mejores prácticas para construir uno exitoso.
Natalia: ¿Qué es un equipo morado y cómo une a los equipos rojos y azules?
Matthew: Los roles tradicionales involucran a un equipo azul que actúa como tus defensores y un equipo rojo que actúa como tus atacantes. El equipo azul quiere proteger la red. El equipo rojo trabaja para violar la red. Quieren resaltar las deficiencias de seguridad de las defensas del equipo azul. Los dos equipos no siempre trabajan con el mismo objetivo de proteger los activos de información y eliminar el riesgo de la información, ya que cada uno se centra en el objetivo de su equipo respectivo: uno para prevenir brechas de seguridad y el otro para tener éxito en una brecha de seguridad.
La formación de equipos morados es una fusión de los equipos azul y rojo en un solo equipo para proporcionar valor al negocio. Con un equipo morado exitoso, dos grupos de personas que por lo general trabajan en extremos opuestos de la mesa, colaboran en un objetivo unificado: mejorar juntos la ciberseguridad. Puede eliminar mucha competitividad de los procesos de prueba de seguridad. Los equipos morados pueden reemplazar a los equipos rojos y azules, y son más rentables para las organizaciones más pequeñas. Si eres un gran conglomerado, es posible que desees considerar tener un equipo azul, un equipo rojo y un equipo morado. Los equipos morados trabajan tanto para mejorar el conocimiento de los ataques que enfrenta una organización como para construir mejores defensas para derrotarlos.
Natalia: ¿Por qué las empresas necesitan equipos morados?
Matthew: La piratería informática se ha vuelto mucho más accesible. Si una persona inteligente en Internet escribe y comparte un exploit o una herramienta, todos los demás pueden descargar el programa y usarlo. No tiene una barrera de entrada alta. Hay estudiantes de secundaria que se aprovechan de los ataques de inyección SQL y eliminan millones de la valoración de una empresa. Debido a que la información sobre piratería se difunde de manera más amplia, también es más accesible para las personas que defienden los sistemas. También ha habido mejoras significativas en la forma en que entendemos el comportamiento de los atacantes y modelamos esos comportamientos. El marco MITRE ATT & CK, por ejemplo, es aprovechado por la mayoría de los equipos rojos para simular el comportamiento de los atacantes y cómo operan.
Cuando los equipos rojo y azul trabajan juntos como un equipo morado, pueden realizar evaluaciones de una manera similar a las pruebas unitarias contra marcos, como MITRE ATT & CK, y usar esa información sobre el comportamiento de los atacantes para identificar brechas en la red y construir mejores defensas alrededor de activos críticos. Adoptar las técnicas de los atacantes y trabajar con el sistema para construir evaluaciones más completas, tiene ventajas que su atacante no tiene. Esas ventajas provienen de su inteligencia empresarial y de su gente.
Natalia: ¿Cuáles son los beneficios de tener todo bajo un solo equipo?
Matthew: Los beneficios de un equipo morado incluyen velocidad y reducción de costos. Los equipos morados por lo general se construyen como un recurso interno, lo que puede reducir la necesidad de recurrir a expertos externos en busca de asesoramiento. Si reciben alertas en su correo electrónico, los equipos morados pueden atravesarlas y decir: «Oh, esto es una prioridad porque los atacantes van a explotar esto de manera rápida, ya que hay un código de explotación público disponible. Necesitamos corregir esto». La prueba unitaria de comportamientos y capacidades de atacantes específicos contra marcos de manera continua en lugar de realizar compromisos simulados periódicos y completos que duran de varias semanas a varios meses también es una gran reducción de tiempo para muchas empresas.
Los equipos rojos a menudo pueden ser sorprendidos al querer crear el mejor ataque de phishing. Los equipos azules quieren asegurarse de que sus controles funcionen de manera correcta. Lograrán mucho más en un período de tiempo más corto como equipo púrpura porque son más transparentes entre sí, comparten su experiencia y comprensión de las amenazas. Aún tendrán que adentrarse de manera ocasional en el mundo de un ejercicio simulado basado en escenarios en el que un equipo se mantiene en la oscuridad para garantizar que los procesos y las prácticas sean efectivos.
Natalia: ¿Cómo proporcionan los equipos morados garantías de seguridad?
Matthew: La garantía de la ciberseguridad es el proceso de comprender cuál es el riesgo de la información para una empresa: sus servidores, aplicaciones o cualquier infraestructura de TI de apoyo. El trabajo de aseguramiento consiste, en esencia, en demostrar si un sistema tiene un nivel de seguridad o gestión de riesgos que sea cómodo para una organización. Ningún sistema en el mundo es 100 por ciento infalible. Siempre habrá un ataque que no esperabas. El proceso de garantía está destinado a hacer que los ataques sean más complejos y costosos para un atacante. Muchos atacantes son oportunistas y con frecuencia se mueven hacia un objetivo más fácil cuando encuentran resistencia, y una fuerte resistencia proviene de los equipos morados. Los equipos morados se utilizan para proporcionar un nivel de garantía de que lo que ha creado tiene la suficiente resiliencia como para resistir las amenazas de red modernas al aumentar la visibilidad y los conocimientos compartidos entre los equipos habitualmente aislados.
Natalia: ¿Cuáles son las mejores prácticas para construir un equipo morado exitoso?
Matthew: No es necesario ser un experto en explotación de día cero o el mejor programador del mundo, pero debes tener una competencia central de ciberseguridad y una comprensión de los conceptos básicos fundamentales, como cómo se comporta un atacante, cómo se estructura una prueba de penetración, qué herramientas se utilizan para qué y cómo revisar un cortafuegos o un registro de eventos. Los equipos morados deberían poder revisar el malware y comprender sus objetivos, revisar los exploits para comprender su impacto y hacer uso de herramientas como nmap y mitmproxy para buscar vulnerabilidades. También deben comprender cómo interpretar los registros de eventos y traducir el lado del ataque de la piratería en defensas como reglas de firewall y aplicación de políticas. La gente viene a mí y me dice: «No sabía por qué construíamos firewalls alrededor de estos activos de información críticos hasta que vi a alguien explotar un servidor PostgreSQL y obtener un shell raíz en él, y de repente, tenía sentido por qué podría necesitar bloquear el protocolo de mensajes de control de Internet salientes (ICMP) «.
Contratar hackers para unirse a su equipo morado solía ser un tabú, pero los hackers suelen ser excelentes defensores. Adopten la piratería porque es una mentalidad de resolución de problemas. La información está disponible y sus atacantes ya la conocen. También podrían saberlo, así que contraten hackers. He escuchado a personas decir que los piratas informáticos son el sistema inmunológico de Internet cuando describen cómo su comportamiento puede ser beneficioso. Los piratas informáticos siguen con atención lo que sucede en el mundo y serán las personas que vean un ataque y digan: «Usamos Jenkins para nuestra construcción de producción. Será mejor que lo reparemos porque esta nueva vulnerabilidad de puntuación CVSS 9.8 salió hace dos horas. Los atacantes se ocuparán de esto muy rápido». Irrumpir en las computadoras se hace paso a paso, es un proceso lógico. Los atacantes encuentran una debilidad en la armadura. Encuentran otra debilidad en la armadura. Combinan esas dos. Obtienen acceso a algún código fuente. Obtienen algunas credenciales de un sistema. Saltan al siguiente sistema. Una vez que comprendan el flujo de trabajo de lo que hace su atacante, sabrán mejor qué sistemas necesitarán la intrusión del host, la supervisión mejorada y los motivos para hacerlo. Los piratas informáticos son los que controlan sus riesgos como organización y pueden proporcionar información sobre las amenazas en las que sus equipos deben enfocarse.
Natalia: ¿Cómo deberían los gerentes apoyar las necesidades de capacitación y educación de su equipo morado?
Matthew: Asegurarse de que las personas tengan la formación adecuada y las herramientas adecuadas para su trabajo puede resultar complicado. Caminas por cualquier piso de exposición y hay cientos de cajas con luces elegantes y un millón de carteras de productos. Podrías comprar cada caja de ese piso de la exposición, y nada de eso te servirá de nada a menos que tengas a la persona adecuada en sitio para operar cómo funciona esa caja y para interpretar esos datos. Su gente es más importante en algunos aspectos que la tecnología, porque son sus ojos y oídos en lo que sucede en la red. Si tienen un sistema que envía 50 alertas de alto riesgo, y nadie contesta y reacciona a esas alertas, lo único que tienen es una caja costosa con luces intermitentes.
Si van a contratar a alguien para un equipo morado, asegúrense de que reciba apoyo para asistir a conferencias o establecer contactos con colegas de la industria e invertir en su capacitación y educación. Eso siempre les dará mejores resultados a medida que aprendan y estén expuestos a más conocimientos, y su gente también se sentirá más valorada. Si desean obtener más información sobre el comportamiento adverso y cómo pueden utilizar la piratería informática para proporcionar resultados de seguridad a las empresas, lean Piratería práctica: ¿Qué pueden esperar? por Hacker House.
Conozcan más
Para conocer más sobre las soluciones de Microsoft Security, visiten nuestro sitio web. Agreguen a Favoritos el blog de Security para estar al tanto de nuestra cobertura experta en materia de seguridad. También, síganos en @MSFTSecurity para las noticias y actualizaciones más recientes en ciberseguridad.