Con un nuevo ataque cibernético que ocurre cada 39 segundos, habiendo aumentado más de 300% solo en el último año, nunca ha habido un mejor momento para centrarse en la ciberseguridad de su empresa. Construir un sistema de defensa sólido requiere pruebas, lo que le permite a su equipo encontrar y corregir vulnerabilidades antes de que sean explotadas.
En este artículo, lo guiaremos a través del concepto central de Purple Teaming, demostrando cómo esta práctica puede optimizar aún más los ejercicios de prueba de penetración de su seguridad digital.
Primero, ¿qué es la prueba de penetración?
La prueba de penetración, más comúnmente conocida como prueba de penetración, es donde simula un ataque cibernético en su propio negocio. Esto se hace contratando a un equipo externo para encontrar vulnerabilidades en su sistema o encargando a su propio equipo de seguridad que ataque el sistema.
A través de pruebas de penetración, un equipo de seguridad puede encontrar vulnerabilidades que antes desconocían. Estas infracciones son éticas, y se documenta cada paso del hackeo para que el equipo de seguridad pueda ingresar al sistema y colocar barricadas para bloquear o cambiar las vulnerabilidades.
Por lo general, un intento de penetración se divide en dos equipos: los equipos rojo y azul. Estos equipos están integrados por profesionales de la seguridad pero con objetivos diferentes.
El equipo rojo simula a los atacantes, el grupo de personas que trabajan para piratear su sistema de seguridad. Típicamente, el equipo rojo seleccionará varios ataques metodologías del Marco MITRE ATT&CK para simular mejor los tipos de ataque que lanza un hacker moderno.
El objetivo principal del equipo rojo es encontrar cualquier debilidad o vulnerabilidad en la infraestructura de seguridad general, los sistemas o las aplicaciones individuales conectadas a la empresa.
En el otro lado de la ecuación, el equipo Azul simula a los defensores. Este equipo está compuesto principalmente por ingenieros de seguridad que intentarán responder a la amenaza de seguridad del equipo rojo lo más rápido posible. Ellos defenderán activamente el sistema, previniendo más ataques, detectando lo que el equipo Rojo está intentando hacer y tratando de detenerlos.
Una vez que haya concluido el ejercicio, el equipo rojo y azul comparará sus hallazgos, juntando las vulnerabilidades que luego se pueden solucionar.
El cambio al equipo morado
En lugar de dividir su equipo de seguridad digital en dos, rojo y azul, una forma posible de realizar pruebas de penetración es hacer que trabajen juntos. Esta forma de prueba de penetración se llama Equipo morado, con rojo y azul juntos para hacer un equipo Morado singular.
Al trabajar juntos, el equipo azul obtendrá una idea de cómo está trabajando el equipo rojo, lo que significa que pueden moverse para bloquearlos más fácilmente. Este proceso le permite a su equipo azul aprender los movimientos y procedimientos típicos que usan los piratas informáticos y luego prevenirlos.
De manera similar, a medida que el equipo rojo se entera de lo que está haciendo el equipo azul para prevenirlos, tendrán que pensar en cómo los piratas informáticos cambiarían sus tácticas. Este equipo morado permite que ambos equipos obtengan aún más del ejercicio, desarrollando aún más la medida en que la simulación ayuda a su equipo de seguridad digital.
Los principales beneficios del equipo morado
El equipo morado permite que su fuerza de seguridad desarrolle aún más sus innovaciones de seguridad, impulsando sus defensas digitales más que nunca.
Al hacer equipo morado, podrá acceder a los siguientes beneficios para su sistema de seguridad digital:
- Conocimiento de seguridad mejorado
- Rendimiento mejorado
- Perspectiva crítica
Analicemos estos más abajo.
Conocimiento de seguridad mejorado
El trabajo en equipo púrpura tiene que ver con la colaboración. En lugar de dos equipos separados trabajando en un objetivo, se beneficiará de la capacidad intelectual de ambos equipos que se unen. El experiencia de los equipos rojo y azul puede informar al otro, ayudándolo y guiándolo a través de problemas y soluciones.
Este es especialmente el caso cuando contrata a un equipo rojo externo para piratear el programa. Debido a su conocimiento limitado de sus estructuras internas, es posible que dediquen mucho tiempo a encontrar una forma inicial de ingresar. Si le brinda al equipo rojo el conocimiento de seguridad mejorado del equipo azul interno, podrán ingresar de manera más efectiva.
A partir de ahí, el equipo rojo puede probar una variedad de diferentes procedimientos de piratería, creando de manera rápida y eficiente un informe de posibles vulnerabilidades en el sistema. Teniendo en cuenta que se trata de una simulación, el objetivo debe ser encontrar tantas vulnerabilidades como sea posible, asegurando que sus equipos puedan mejorar la ciberseguridad de su empresa.
Impulse el rendimiento del aprendizaje
Lo más probable es que los equipos rojo y azul se dividan en aquellos que tienen más talento natural para defender sistemas y aquellos que están familiarizados con los vectores de ataque y la piratería. Si bien esto significa que todos serán eficientes en su función, conduce a una falta de desarrollo profesional.
Cuando utilice activamente el canal de comunicación púrpura, se asegurará de que ambos equipos aprendan más del ejercicio. Si bien un defensor puede no estar familiarizado con los sistemas de ataque, al trabajar junto al equipo rojo, verá cuáles son los caminos típicos. Con este conocimiento, al ponerse dentro de la mente de un atacante, estarán más preparados para defenderse si alguna vez surgiera un incidente.
Perspectiva crítica
El marco MITRE ATT&CK es un centro de información en constante crecimiento cuando se trata de piratería y las vías típicas que utilizarán los atacantes para penetrar en un sistema. Esta base de datos es enorme, con 14 columnas diferentes, todas conteniendo entre 7 y 40 técnicas. Teniendo en cuenta la gran cantidad de ataques diferentes que podrían lanzarse, su equipo necesita realizar pruebas periódicamente para prepararse para cualquiera de ellos.
Al formar equipos morados, tu equipo rojo comunicará en qué técnica de ataque están trabajando actualmente. A partir de esto, su equipo azul puede desarrollar un protocolo de lanzamiento, así como desarrollar señales de advertencia clave para este ataque en particular.
En lugar de simplemente saber que se está produciendo un ataque, el equipo azul podrá documentar con mayor precisión los pasos necesarios para detener el ataque, así como la ruta típica y las señales de que se está produciendo esta forma particular de ataque.
Este nivel crítico de conocimiento es esencial para una respuesta de seguridad sólida, rápida y eficaz.
Consideraciones Finales:
La formación de equipos púrpura le permite sacar el máximo partido de sus pruebas de penetración de seguridad. No solo todos los involucrados aprenden más sobre los diversos procesos de ataque y defensa, sino que también revelará vulnerabilidades en su sistema.
A partir de ahí, podrá corregirlos para que la seguridad digital de su empresa sea lo más sólida posible. Con el número de ciberataques aumentando cada día, es hora de tomar acción.
Fuente de la imagen: DepositPhotos
Comente
¿Tienes algo que decir sobre este artículo? Agregue su comentario y comience la discusión.