Vés al contingut

Red Teaming: posant a prova la seguretat organitzacional

La seguretat de les organitzacions es posa cada cop més en evidència, ja que els ciberatacs no només són més nombrosos, sinó també més sofisticats i difícils de detectar. Aquesta evolució deixa al descobert les vulnerabilitats de moltes empreses, un problema que cal abordar amb serietat, ja que la filtració de dades no només compromet la privacitat, sinó que també exposa directament persones i organitzacions a futurs atacs d’enginyeria social i estafes.

Per entendre la gravetat d’aquesta situació, només cal observar les dades de l’IBM X-Force Threat Intelligence Index, segons les quals el temps mitjà per dur a terme un atac de ransomware ha disminuït un 94% en els darrers anys: de 68 dies el 2019 a menys de quatre dies el 2023. Aquesta realitat subratlla la importància que les organitzacions no només identifiquin fallades tècniques, sinó que també avaluïn la seva preparació operativa i capacitat de resposta en escenaris d’atac reals.

Davant aquest tipus d’amenaces, les empreses necessiten estratègies que permetin avaluar de manera realista la seva capacitat de defensa. Aquest context reforça la importància d’adoptar enfocaments estratègics i proactius com el red teaming, que permet simular atacs reals per detectar i corregir vulnerabilitats abans que siguin explotades per actors maliciosos.

Què és el red teaming?

El red teaming (conegut també com a equip vermell) és un procés d’avaluació de seguretat en què hackers ètics duen a terme un ciberatac simulat i no destructiu amb l’objectiu d’identificar vulnerabilitats en els sistemes, processos i personal d’una organització.

A diferència d’un test de penetració convencional, que es centra en detectar fallades específiques, el red teaming adopta una visió més estratègica i realista, replicant tàctiques, tècniques i procediments (TTPs) propis d’actors de ciberamenaces avançades. El seu objectiu no és només trobar vulnerabilitats, sinó també mesurar la capacitat de detecció i resposta de l’organització davant un atac real.

Un element fonamental d’aquest enfocament és la simulació de ciberatacs sense previ avís, que pot incloure des de tècniques d’enginyeria social fins a atacs físics i explotació de debilitats tècniques. Això permet obtenir una visió global dels possibles vectors d’atac. A més, el red teaming afavoreix la cultura de la ciberseguretat dins l’organització, exposant empleats i directives a escenaris reals i fomentant una millor preparació davant situacions crítiques.

Relació entre red teaming i blue teaming

En el context de la ciberseguretat, els equips solen dividir-se en red team i blue team. Tot i que el concepte de red teaming ha guanyat protagonisme per la necessitat d’adoptar una postura proactiva, aquest no té sentit sense la participació del blue team. És a dir, les empreses han de disposar també d’estratègies defensives per contrarestar els riscos que el red team posa de manifest.

El red team simula atacs, mentre que el blue team els ha de detectar, contenir i respondre. Sense un equip defensor, no hi ha res a avaluar ni a millorar. Així mateix, el blue team es beneficia del treball del red team, ja que aquest li ofereix informació clau per reforçar les seves defenses.

De fet, moltes organitzacions estan adoptant un enfocament conegut com a purple teaming, on red team i blue team col·laboren de manera coordinada per optimitzar la seguretat. Aquest model garanteix que les troballes del red team es converteixin en millores tangibles per a les defenses, integrant atac i defensa en un procés de millora contínua.

Tècniques de red teaming

El red team utilitza tècniques avançades per avaluar la seguretat d’una organització, tot replicant els mètodes emprats per atacants reals. Entre les seves estratègies principals hi trobem la enginyeria social, mitjançant tàctiques com phishing, vishing i smishing amb l’objectiu d’obtenir credencials o accessos no autoritzats.
També es duen a terme proves de seguretat física, analitzant sistemes de videovigilància, alarmes i controls d’accés, així com proves de penetració en aplicacions, centrant-se en vulnerabilitats conegudes com les injeccions SQL o fallades en mecanismes d’autenticació.

A més, l’equip vermell pot executar tasques d’espionatge de xarxes, monitorant el trànsit per detectar configuracions errònies o credencials exposades, i utilitzar atacs de força bruta per accedir a sistemes mitjançant llistes de contrasenyes comunes o filtrades.

Per tal d’avaluar la resistència d’una infraestructura davant ciberatacs complexos, el red team realitza simulacions dirigides a diversos punts crítics, incloent-hi:

  • Sistemes d’intel·ligència artificial i machine learning
  • Bases de dades i estacions de treball
  • Dispositius mòbils
  • Sistemes criptogràfics
  • Solucions de detecció i resposta (EDR/XDR)
  • Firewalls i sistemes de detecció d’intrusions (IDS)
  • Plataformes d’automatització i resposta en seguretat (SOAR)

Aquest enfocament integral permet identificar vulnerabilitats en múltiples nivells i reforçar la postura de seguretat abans que actors maliciosos les puguin explotar.

Fases d’una avaluació de red teaming

Els exercicis de red teaming segueixen un enfocament estructurat que es divideix en diverses fases:

  • Reconeixement: Es recopila informació sobre l’organització a partir de fonts obertes (OSINT), enginyeria social i tècniques avançades.
  • Desenvolupament de l’accés: S’exploten vulnerabilitats per aconseguir accés inicial als sistemes objectiu.
  • Escalada de privilegis: Es busquen vies per obtenir permisos més elevats dins la infraestructura compromesa.
  • Moviment lateral: Es despleguen tècniques per moure’s dins la xarxa i accedir a actius crítics.
  • Persistència i exfiltració: S’estableixen mecanismes per mantenir l’accés i extreure dades sensibles sense ser detectats.
  • Informe i recomanacions: Es documenten les troballes i es presenten estratègies de mitigació a l’equip de seguretat.

Red Teaming Automatitzat Continu (CART)

Un dels principals reptes del red teaming tradicional és que les avaluacions de seguretat es fan en intervals puntuals, deixant períodes en què l’organització pot quedar exposada a noves amenaces. Durant aquests intervals, poden aparèixer vulnerabilitats crítiques, canvis en la infraestructura o tècniques d’atac més sofisticades que no es detecten fins a la propera auditoria.

Per abordar aquesta limitació, han sorgit solucions de Red Teaming Automatitzat Continu (CART), una metodologia que aprofita la automatització per executar proves de seguretat de manera contínua. Aquestes eines permeten descobrir actius en temps real, mantenint un inventari actualitzat de sistemes i detectant canvis inesperats que podrien representar una vulnerabilitat.

A més, el CART facilita la priorització de vulnerabilitats mitjançant anàlisis automatitzades que classifiquen els riscos segons la seva criticitat i potencial d’explotació.

Un altre aspecte clau del CART és la seva capacitat per simular atacs de forma contínua, utilitzant eines i exploits actualitzats que reprodueixen les tàctiques, tècniques i procediments (TTPs) utilitzats per actors maliciosos reals. Això proporciona una visió dinàmica i en temps real de la postura de seguretat de l’organització, permetent aplicar ajustos immediats a les estratègies de defensa.

Adoptant un enfocament d’avaluació constant i automatitzada, el CART millora significativament la capacitat de resposta davant amenaces en evolució. En lloc de dependre d’auditories esporàdiques, les organitzacions poden detectar, analitzar i mitigar riscos de manera proactiva, reduint la seva exposició i enfortint la seva seguretat davant atacs emergents.

Proves de penetració vs Red teaming

Tot i que les proves de penetració (pentesting) i el red teaming comparteixen certes similituds i es complementen dins d’una estratègia de ciberseguretat efectiva, els seus enfocaments són diferents:

Red teamingPentesting
EnfocamentHolístic (infraestructura, processos i persones)Tècnic (aplicacions i sistemes)
ObjectiuAvaluar la resiliència davant atacs realsIdentificar vulnerabilitats tècniques específiques
DuradaSetmanes o mesosDies o setmanes
InteraccióEn secret: l’equip blue no sap que està passantCoordinat amb l’equip de seguretat

Aquesta diferenciació fa que ambdues pràctiques siguin complementàries segons el moment o context de l’avaluació de seguretat. Mentre que el pentesting és més adequat per validar configuracions concretes o identificar fallades puntuals, el red teaming proporciona una visió estratègica sobre la capacitat real de defensa d’una organització.

Conclusions

L’evolució de les amenaces cibernètiques ha evidenciat la necessitat que les organitzacions adoptin enfocaments estratègics i proactius per protegir els seus sistemes, dades i personal. En aquest context, el red teaming s’ha consolidat com una eina essencial per avaluar la seguretat de manera realista, permetent detectar vulnerabilitats i enfortir les capacitats de resposta davant atacs reals.

Tanmateix, el red teaming no és una solució aïllada: la seva eficàcia depèn de la coordinació amb el blue teaming, donant pas a enfocaments col·laboratius com el purple teaming. A més, l’adopció del CART (Red Teaming Automatitzat Continu) representa un avenç rellevant, ja que possibilita una avaluació contínua i en temps real, reduint les finestres d’exposició a noves amenaces.

En definitiva, la ciberseguretat s’ha d’entendre com un procés dinàmic, on la detecció, la resposta i la millora contínua són claus. Només amb una combinació ben integrada d’estratègies ofensives i defensives, les organitzacions podran anticipar-se als atacs i reforçar la seva postura de seguretat en un entorn digital en constant evolució.


Recursos:
[1] Wikipedia – Red Team
[2] IBM – ¿Qué es el equipo rojo?
[3] Microsoft Learn – Planeamiento de red teaming para modelos de lenguaje grandes (LLM) y sus aplicaciones



A Block&Capital, especialistes en selecció de personal, treballem per crear oportunitats on el creixement i l’èxit siguin a l’abast de tothom. Si estàs preparat per fer un pas endavant en la teva carrera professional, no dubtis a contactar amb nosaltres.