¿Qué es un Red Team?

Antes de conocer el enfoque que tiene un Red Team, es importante describir las actividades que se llevan a cabo en un análisis de vulnerabilidades y en una prueba de penetración.

Análisis de vulnerabilidades: tienden a tener una cobertura amplia y un alcance limitado. La evaluación se realiza a un amplio número de dispositivos, pero no se profundiza en un contexto relacionando con los riesgos de la organización. Este tipo de pruebas son buenas para reducir la superficie de ataque y dan visibilidad sobre las áreas de oportunidad que permiten focalizar los esfuerzos de remediación, por ejemplo, instalar parches de seguridad, realizar actualizaciones de software y aplicar líneas de base de configuraciones seguras.

Pruebas de penetración: tienen un alcance bien definido y limitado. Pasan a un siguiente nivel, aquí se explotan y se aprovechan las vulnerabilidades con el fin de que la organización visualice el impacto que estas puedan causar y la probabilidad de que se puedan materializar, es decir, se pueden medir los riesgos que permiten priorizar acciones de mitigación y establecer estrategias de seguridad.

Pasando a la definición, un Red Team es el proceso de usar TTPs (Tácticas, Técnicas y Procedimientos, por sus siglas en inglés), para emular o simular amenazas reales, con el objetivo de medir la efectividad de la gente, procesos y tecnología para defender un ambiente.

Y ahora ¿cuál es la diferencia de emular y simular? Básicamente emular significa reproducir una cosa con la intención de igualar o superar el original, mientras que simulación es una imitación o aproximación basada en un modelo.

En una emulación en un ejercicio de Red Team se utilizan como base los TTPs de los adversarios para diseñar escenarios de ataque y evaluar los objetivos establecidos, mientras que en la simulación se debe hacer lo mismo que el adversario.

Entonces, un ejercicio de Red Team se enfoca en simular o emular amenazas del mundo real con el fin de conocer la capacidad de detección y respuesta que tendría la organización ante este tipo de eventos. El alcance en este caso está definido con base en las funciones críticas del negocio.

Constantemente la ciberseguridad enfrenta grandes retos y se tiene que estar a la vanguardia, ya que los adversarios del mundo real son más sofisticados y generan pérdidas millonarias a las organizaciones.

Referencias
https://redteam.guide/docs/Concepts/red-vs-pen-vs-vuln
https://abs.org.sg/docs/library/abs-red-team—adversarial-attack-simulation-exercises-guidelines.pdf
https://attack.mitre.org/