Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Red Team en aguas misteriosas

Fecha de publicación 16/02/2023
Autor
INCIBE (INCIBE)
Red Team en aguas misteriosas

Día tras día, las noticias relacionadas con incidentes de ciberseguridad no dejan de sucederse. Esta situación no es diferente en el mundo industrial y por ello, algunos sectores están explorando nuevas formas proactivas de analizar sus infraestructuras. 

Por este motivo, los departamentos de ciberseguridad, encargados de la defensa ante cualquier ataque de seguridad informática, han tomado un mayor peso dentro de las empresas, siendo una de sus tareas más destacadas, el correcto desarrollo y ejecución de un plan de respuesta ante incidentes de seguridad ya que, a pesar de que las empresas dispongan de diferentes dispositivos de seguridad que ayuden a prevenir y defenderse de diversos ataques, ninguna se encuentra exenta al 100% de verse afectada por un incidente de seguridad. 

En este punto es donde entra la ejecución de ejercicios de Red Team, donde un equipo autorizado de atacantes (denominado como Red Team) intentará realizar una intrusión real en la empresa. De esta forma, se pondrán a prueba, tanto los dispositivos de seguridad, como la correcta ejecución del plan de respuesta ante un incidente, ya que el equipo encargado de la defensa no tendrá conocimiento de que sea un ataque controlado. 

Red Team en entornos industriales

Los entornos industriales, son infraestructuras consideradas sensibles y de criticidad alta, dado que una pequeña modificación no controlada en cualquier punto podría tener consecuencias catastróficas, como pérdidas cuantiosas para la empresa o accidentes laborales con víctimas humanas. Es por ello que estos entornos suelen ser un objetivo para los atacantes, ya sea con el objetivo de dañar el equipo industrial, la producción de la empresa o el entorno natural colindante, realizar espionaje industrial, etcétera.

Por lo tanto, si bien la ejecución de ejercicios de Red Team es importante en empresas u entornos donde un atacante podría llegar a comprometer datos dentro de un espectro amplio de sensibilidad, en un entorno industrial no iba a ser menos, pero con una pequeña diferencia: las pruebas ejecutadas dentro de un entorno industrial tienen que encontrarse dentro de un marco específico, dado que el impacto de las pruebas es mayor que en otros entornos.

Dada esta necesidad de encontrar un marco común para la realización de este tipo de ejercicios en los entornos industriales, se ha adaptado el marco “Threat Intelligence-based Ethical Red Teaming (o ’TIBER-EU’)”  originalmente creado para entornos financieros.

Proceso de ejecución de marco TIBER-EU

A la hora de implementar el marco ‘TIBER-EU’, se sigue el siguiente proceso preestablecido:

  • Se comienza con una valoración genérica de amenazas del sector al que pertenece la empresa que va a aplicar el marco ‘TIBER-EU’.
  • A continuación, se entra en la fase de preparación, donde se delimitan tanto el alcance, como los miembros que conforman los diferentes equipos de seguridad implicados, además de establecer cuáles son los objetivos que debe conseguir el equipo atacante o Red Team.
  • Tras la fase de preparación, se entra en la fase de pruebas donde el equipo de ciberinteligencia facilitará un informe TTI (Targeted Threat Intelligence) mediante el cual, el Red Team, desarrollará escenarios de ataques.
  • En última instancia, se encuentra la fase de cierre, donde el equipo realizará un informe recolectando toda la información obtenida durante la ejecución de los escenarios desarrollados y ejecutados en la fase anterior, con su correspondiente plan corrector.

 Imagen de las fases de Tiber-EU
- Fases de TIBER-EU

Tácticas y técnicas de Red Team en entornos industriales

Aunque los ejercicios de Red Team siguen una serie de tácticas y técnicas definidas en matrices como si de una base de conocimiento se tratase, a nivel industrial, también es importante tener otros factores presentes como:

  • Ejecutar los ataques bajo ciertas condiciones del entorno industrial.
  • Potenciales impactos de los ataques ejecutados.
  • Intentar ejecutar las pruebas en un entorno de laboratorio preparado previamente, antes de su ejecución en producción.

Si se consulta la matriz de MITRE ATT&CK  orientada a la parte industrial, teniendo en cuenta la potencial emulación de criminales que han atacado a los entornos industriales, es posible destacar 2 tácticas que permiten, tanto el reconocimiento inicial de la organización, como el acceso inicial por parte de estos a las redes de las empresas víctima.

Estas tácticas son:

  • Reconocimiento: táctica utilizada para la recopilación de información. En el ámbito industrial, el conocimiento de la arquitectura (la estructura de la red IT y de la red OT) es un valor muy importante para el atacante. Esta táctica ha de ser ensayada por los equipos de red team para tener un conocimiento base de toda la industria que pueda servir de punto de partida para posteriores ataques. Las técnicas más utilizadas dentro de esta táctica que, si se ejecutan correctamente,  tienen impacto 0 en la producción, serían:
    • [T0842] Network Sniffing: actualmente, existen diferentes herramientas que permiten capturar tráfico, tanto a nivel nativo, como con herramientas externas a los sistemas operativos. Con estas capturas, los atacantes serían capaces de analizar protocolos industriales, cuya especificación es pública, y protocolos propietarios. Un ejemplo de este análisis previo quedó evidenciado con el ataque de TRITON .

Para evitar esta técnica se posible utilizar diferentes métodos como:

  • Correcta configuración de las redes industriales.
  • Cifrado de las comunicaciones.
  • Acceso restringido a ciertos segmentos de red.
  • Acceso inicial: esta táctica resulta de gran importancia una vez que el atacante conoce claramente los activos objetivo dentro de la red víctima. Es muy común que el malware enviado por los atacantes en las redes industriales comiencen por medio de técnicas relacionadas con el arte de la ingeniería social, como es el caso de:
    • [T0865] Spearphishing Attachment: muchos grupos atacantes han utilizado esta técnica para obtener un acceso inicial a través del envío de correos con adjuntos maliciosos. Un ejemplo de estos grupos puede evidenciarse con ALLANITE que tenía como objetivo empresas del sector energía centrando sus ataques en regiones de EE.UU y Reino Unido.
    • [T0817] Drive-by Compromise: a través de ataques más elaborados basados en la infección de páginas web externas consultadas por la organización víctima (watering hole), los atacantes son capaces de burlar las medidas de ciberseguridad que poseen muchas empresas. Un ejemplo de estos ataques se evidenció con el grupo de atacantes Dragonfly 2.0  que centraba todos sus ataques en empresas del sector energía.

Para evitar este tipo de técnicas dentro de las empresas es posible implementar medidas de ciberseguridad como:

  • Concienciación a los empleados con campañas de phishing especialmente diseñadas.
  • Uso de herramientas sandbox o que permitan un análisis aislado de adjuntos para evitar la ejecución de código malicioso a través de adjuntos.
  • Actualizar lo máximo posible todos los sistemas de los que dispone la organización.
  • Restringir la navegación de ciertos activos a través de proxies. 

La ejecución de ejercicios de Red Team en entornos industriales pasa por fijar como objetivo inicial un análisis previo de la organización, buscando detectar su exposición frente a ataques originados en Internet y cualquier otra información útil proveniente de licitaciones, documentación de la organización, etc., que de pistas para poder implementar ataques elaborados.

Para los casos en los que se quieren utilizar tácticas más avanzadas y complejas, es recomendable utilizar un enfoque de ejercicios Purple Team, a partir de los cuales, tanto el Red Team (atacante) como el Blue Team (defensor) comparten información con el objetivo de retroalimentarse. Esto implica también una mayor seguridad a la hora de utilizar estos entrenamientos en procesos industriales de alto riesgo.

Conclusiones

Los ejercicios de Red Team han venido para quedarse, tanto en entornos IT, como en entornos industriales, ya que se han convertido en un servicio básico a contratar por las empresas que deseen poner a prueba, tanto los sistemas de ciberseguridad, como los planes de contención ante un incidente de seguridad real. 

Como se ha visto, pese a que los ejercicios de Red Team sean simulaciones de ataques cibernéticos reales, se requiere de un marco establecido para tener identificado en todo momento la empresa, la identidad de los miembros que conforman el equipo de Red Team, las pruebas que se realizan y el impacto de las mismas sobre la infraestructura.