Por qué los equipos rojos no pueden responder las preguntas más importantes de los defensores

COMENTARIO

En 1931, científico y filósofo. Alfred Korzybski escribió: “El mapa no es el territorio”. Quería decir que todos los modelos, como los mapas, omiten cierta información en comparación con la realidad. Los modelos utilizados para detectar amenazas en ciberseguridad son igualmente limitados, por lo que los defensores siempre deberían preguntarse: "¿Mi detección de amenazas detecta todo lo que se supone que debe detectar?". Las pruebas de penetración y los ejercicios de los equipos rojo y azul son intentos de responder a esta pregunta. O, para decirlo de otra manera, ¿en qué medida su mapa de una amenaza coincide con la realidad de la amenaza? 

Desafortunadamente, evaluaciones del equipo rojo No respondas muy bien a esta pregunta. El equipo rojo es útil para muchas otras cosas, pero es el protocolo equivocado para responder esta pregunta específica sobre la eficacia de la defensa. Como resultado, los defensores no tienen una idea realista de cuán fuertes son sus defensas.

Las evaluaciones del equipo rojo están limitadas por la naturaleza

Las evaluaciones del equipo rojo no son tan buenas para validar que las defensas estén funcionando. Por su naturaleza, sólo prueban unas pocas variantes específicas de algunas posibles técnicas de ataque que un adversario podría utilizar. Esto se debe a que intentan imitar un ataque del mundo real: primero reconocimiento, luego intrusión, luego movimiento lateral, etc. Pero lo único que los defensores aprenden de esto es que esas técnicas y variedades específicas van en contra de sus defensas. No obtienen información sobre otras técnicas ni sobre otras variedades de la misma técnica.

En otras palabras, si los defensores no detectan al equipo rojo, ¿es porque les faltan defensas? ¿O es porque el equipo rojo eligió la única opción para la que no estaban preparados? Y si detectaron al equipo rojo, ¿es completa su detección de amenazas? ¿O los “atacantes” simplemente eligieron una técnica para la que estaban preparados? No hay forma de saberlo con seguridad.

La raíz de este problema es que los equipos rojos no prueban suficientes variantes de ataque posibles para juzgar la fuerza general de las defensas (aunque agregan valor de otras maneras). Y los atacantes probablemente tengan más opciones de las que cree. Una técnica que examiné tenía 39,000 variaciones. ¡Otro tenía 2.4 millones! Probar todos o la mayoría de estos es imposible, y probar muy pocos da una falsa sensación de seguridad.

Para proveedores: confíe pero verifique

¿Por qué es tan importante probar la detección de amenazas? En resumen, se debe a que los profesionales de la seguridad quieren verificar que los proveedores realmente tengan una detección integral de los comportamientos que afirman detener. La postura de seguridad se basa en gran medida en los proveedores. El equipo de seguridad de la organización elige e implementa un sistema de prevención de intrusiones (IPS), detección y respuesta de endpoints (EDR), análisis de comportamiento de entidades y usuarios (UEBA) o herramientas similares y confía en que el software del proveedor seleccionado detectará los comportamientos que dice que detectará. Los profesionales de la seguridad quieren cada vez más verificar las afirmaciones de los proveedores. He perdido la cuenta de la cantidad de conversaciones que he escuchado en las que el equipo rojo informa lo que hicieron para ingresar a la red, el equipo azul dice que eso no debería ser posible y el equipo rojo se encoge de hombros y dice: "Bueno, lo hicimos así…” Los defensores quieren profundizar en esta discrepancia.

Pruebas contra decenas de miles de variantes

Aunque probar cada variante de una técnica de ataque no es práctico, creo que probar una muestra representativa de ellas sí lo es. Para hacer esto, las organizaciones pueden utilizar enfoques como el código abierto de Red Canary. Pruebas atómicas, donde las técnicas se prueban individualmente (no como parte de una cadena de ataque general) utilizando múltiples casos de prueba para cada una. Si un ejercicio del equipo rojo es como un partido de fútbol, ​​las Pruebas Atómicas son como practicar jugadas individuales. No todas esas jugadas sucederán en una práctica completa, pero aun así es importante practicar para cuando sucedan. Ambos deben ser parte de un programa de capacitación completo o, en este caso, de un programa de seguridad completo.

A continuación, deben utilizar un conjunto de casos de prueba que cubran todas las variantes posibles de la técnica en cuestión. Crear estos casos de prueba es una tarea crucial para los defensores; se correlacionará directamente con qué tan bien las pruebas evalúan los controles de seguridad. Para continuar con mi analogía anterior, estos casos de prueba constituyen el "mapa" de la amenaza. Como un buen mapa, omiten detalles no importantes y resaltan los importantes para crear una representación de la amenaza de menor resolución, pero en general precisa. Cómo construir estos casos de prueba es un problema con el que todavía estoy luchando (he escrito sobre algunos de mis trabajos hasta ahora).

Otra solución a las deficiencias de la detección de amenazas actual es utilizar equipos morados – lograr que los equipos rojo y azul trabajen juntos en lugar de verse como oponentes. Una mayor cooperación entre los equipos rojo y azul es algo bueno, de ahí el aumento de los servicios del equipo morado. Pero la mayoría de estos servicios no solucionan el problema fundamental. Incluso con una mayor cooperación, las evaluaciones que analizan sólo unas pocas técnicas y variantes de ataque siguen siendo demasiado limitadas. Los servicios del equipo morado deben evolucionar.

Construyendo mejores casos de prueba

Parte del desafío de crear buenos casos de prueba (y la razón por la cual la cooperación entre equipos rojo-azul no es suficiente por sí sola) es que la forma en que categorizamos los ataques oscurece muchos detalles. La ciberseguridad analiza los ataques a través de una lente de tres niveles: tácticas, técnicas y procedimientos (TTP). Una técnica como volcado de credenciales se puede lograr mediante muchos procedimientos diferentes, como Mimikatz o Dumpert, y cada procedimiento puede tener muchas secuencias diferentes de llamadas a funciones. Definir qué es un “procedimiento” resulta difícil muy rápidamente, pero es posible con el enfoque correcto. La industria aún no ha desarrollado un buen sistema para nombrar y categorizar todos estos detalles.

Si está buscando poner a prueba su detección de amenazas, busque formas de crear muestras representativas que se prueben con una gama más amplia de posibilidades; esta es una mejor estrategia que producirá mejores mejoras. También ayudará a los defensores a responder finalmente las preguntas con las que luchan los equipos rojos.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions