Que las defensas se prueban con ataques es algo ya plenamente asumido por muchas organizaciones. Hace ya muchos años que los ejercicios de Red Team se han convertido en un elemento fundamental para evaluar y mejorar la seguridad de las infraestructuras TI más avanzadas. En ellos, uno o varios hackers simulan el comportamiento de un atacante y ponen a prueba durante un tiempo determinado tanto la seguridad de un conjunto de activos o usuarios como las capacidades defensivas del centro de operaciones de seguridad (SOC) de la organización, cuyos miembros no deben saber que el ejercicio se está llevando a cabo.
Los resultados obtenidos se reflejan en un informe que contiene una o varias narrativas de ataque e información sobre las debilidades identificadas. Este informe es utilizado luego por la organización para mejorar la seguridad, minimizando el impacto de futuros ataques reales.
Los ejercicios de Red Team son un excelente recurso, no solamente para mejorar las defensas de la organización, sino también para que el personal del SOC se enfrente a una situación de ataque realista de la que poder aprender, con la ventaja añadida de que luego puede sentarse tranquilamente con los atacantes a comentar la jugada.
Sin embargo, estos ejercicios presentan tres limitaciones importantes. En primer lugar, el número de vectores de ataques ejecutados está limitado por la duración y los objetivos definidos. Un equipo de Red Team utilizará todas las técnicas que necesite para alcanzar sin ser descubierto los objetivos del ejercicio, dando este por finalizado si se consiguen dichos objetivos o si el SOC identifica a los atacantes. Es posible que el Red Team identifique durante el ejercicio formas alternativas para realizar ciertas acciones intrusivas, pero las acciones se limitan normalmente a una única narrativa de ataque por cada uno de los objetivos alcanzados.
En segundo lugar, el Red Team ejecutará sus acciones desde la posición o posiciones de inicio acordadas con la organización, utilizando las técnicas que considere necesarias. Un ataque real cuyo punto de entrada sea diferente del elegido para los ejercicios de Red Team puede basar su progreso en un conjunto de técnicas diferentes que, sin embargo, logren culminar con éxito la acción intrusiva.
Por último, los ejercicios de Red Team ofrecen una imagen estática del estado de la seguridad, relativa al momento en el que se realiza el ejercicio. Los cambios de configuración en los equipos y la aparición y desaparición de activos en la infraestructura pueden hacer que una fotografía fija como la ofrecida por el ejercicio sea insuficiente para la correcta evolución de las medidas defensivas. Los efectos de esta limitación suelen mitigarse mediante la repetición periódica de los ejercicios de Red Team, lo que tiene como contrapartida que el SOC pueda acostumbrarse a un estado de simulacro continuo y descuide la identificación de ataques reales.
La clave para encontrar una aproximación alternativa que solvente dichas limitaciones está en considerar el carácter multietapa de los ataques. Un ataque está compuesto por un conjunto de acciones dependientes entre sí cuyas causas y consecuencias pueden ser analizadas de manera atómica y cuyo carácter no tiene por qué ser necesariamente intrusivo, aunque participe de una estrategia global que sí sea intrusiva [1]. Podemos ver así los ataques como un puzle compuesto por varias piezas. Las piezas utilizadas dependerán del punto de partida de los atacantes y de las características de la infraestructura atacada.
La descripción de los ataques ofrecida en los informes de Red Team considera ya esta descomposición de los ataques en piezas para ayudar a entender los elementos que han permitido la progresión del ataque y poder desarrollar nuevas defensas. Para ello, el Red Team se sirve del marco ATT&CK®, una base de datos desarrollada por MITRE que recoge las acciones individuales de los ataques como conjuntos de Tácticas, Técnicas y Procedimientos (TTP). El resultado de los ataques ejecutados en un ejercicio de Red Team puede entonces resumirse en un conjunto de TTP puestas en práctica en un momento preciso contra la infraestructura auditada.
Pero si cada TTP puede considerarse de forma individual, ¿por qué no crear una batería de pruebas con ellas y evaluarlas una por una en los activos auditados? Podríamos así aumentar la superficie en la que se evalúan las TTP e, incluso, repetir la ejecución de las TTP de forma periódica. Esta es la idea que sirve de base para los servicios de tipo Breach and Attack Simulation (BAS) [9], En esta aproximación no se evalúa la capacidad del SOC para responder a ataques reales pues, al contrario que en un Red Team, las pruebas a realizar están tipificadas y no se intenta evitar la generación de alertas. Más bien se trata de evaluar si los mecanismos de seguridad son capaces de identificar las TTP ejecutadas y generar una alerta útil para el SOC o un bloqueo adecuado de la acción, según el caso.
Se plantea así una aproximación alternativa y complementaria al ejercicio de Red Team, capaz de extender la evaluación de las TTP más allá de la narrativa de ataque concreta desarrollada por los auditores. El SOC podrá entonces componer los casos de uso que considere convenientes a partir de la conexión de las TTP evaluadas, analizando las posibilidades que tendrían los atacantes de ejecutar un ataque multietapa con éxito.
Además, si se cuenta con la infraestructura adecuada, la evaluación de las TTP en los activos auditados puede automatizarse para que se ejecute de forma periódica. Esto permite llevar la evaluación de las TTP más allá de la imagen estática generada en un ejercicio de Red Team, y adaptar las defensas a cambios en la infraestructura o en la configuración de los activos conforme se vayan identificando TTP que no sean identificadas por los sistemas de seguridad.
La propia MITRE ha desarrollado un software open source llamado Caldera [3] para implementar un servicio BAS de este tipo. La estructura y funcionamiento de Caldera es muy similar a la de muchos productos C2 comerciales utilizados en ejercicios de Red Team, como Cobalt Strike: dispone también de un servidor central desde el que se controla el comportamiento de un conjunto de agentes desplegados en los activos a auditar.
Sin embargo, si bien en el caso de un ejercicio de Red Team el despliegue de los agentes es parte de la acción intrusiva y, por tanto, no debería ser identificado por el SOC, en un servicio BAS contamos con la colaboración del equipo defensivo del cliente para el despliegue en aquellos activos que se quiera evaluar.
Una vez instalados, los agentes podrán ejecutar TTP según lo indicado por el servidor central. Las TTP pueden ejecutarse de forma manual, por un operador del servicio BAS, o programarse para ser ejecutadas de forma automática siguiendo una secuencia en base a un conjunto de condiciones. Además, una vez evaluadas, pueden programarse para ser ejecutadas de forma periódica, en base a lo definido en las condiciones del servicio.
En cuanto al diseño de las acciones a evaluar, Caldera ya incluye un conjunto de plugins que contienen TTP ya listas para ser ejecutadas y que se corresponden a diferentes perfiles de ataque [4]. Entre estos plugins, destaca “Atomic” [5], que adapta a Caldera todos las pruebas incluidas en el GitHub Atomic Red Team™ de Red Canary [6], toda una referencia en la implementación concreta de las TTP de MITRE ATT&CK®. El operador de BAS solo tiene que elegir qué conjunto de TTP quiere evaluar en cada activo y programar su ejecución desde el servidor central.
Además de MITRE Caldera, existen otras plataformas comerciales que implementan la tecnología BAS, como las desarrolladas por fabricantes como AttackIQ o XM Cyber [7]. Independientemente de cómo se lleve a cabo la implementación, un servicio BAS en una organización con un nivel de seguridad maduro puede suponer una diferencia significativa en la mitigación del impacto de grupos APT y ser un complemento indispensable a los ejercicios de Red Team periódicos, además de poder ser la primera piedra para la construcción de un equipo de Purple Team que permita una mejora continua de los sistemas de protección y detección.
[1] Julio Navarro, Aline Deruyver and Pierre Parrend. A systematic survey on multi-step attack detection. Computers & Security, vol. 76, páginas 214–249, julio 2018.
Speak Your Mind