Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Cómo el incidente de una organización puede volverse la defensa de todos

¿Cómo pueden las organizaciones usar un equipo rojo para identificar brechas de seguridad?

"Y el ejercicio cibernético comienza en tres, dos, uno...".

Nada. Ni un blip. Pasa un minuto. Dos minutos. Tres. Cuatro minutos y 43 segundos.

Entonces toda la oficina se oscurece. Todas las luces. Cada pantalla digital. Cada dispositivo conectado. Cada toma de corriente. Todos los teléfonos. Sistemas de identificación de credenciales. Cada sistema de respaldo. El ascensor. Todo.

Ahora el ataque cibernético realmente comienza. Bienvenido a lo que se conoce como un ejercicio de equipo rojo.

El trabajo con equipo rojo –como se conoce a veces– es una práctica utilizada en los sectores público y privado para examinar los preparativos cibernéticos, las defensas y la resiliencia de una organización.

Normalmente, un equipo rojo es un equipo de hackers éticos que pretenden ser los "malos" y hacen todo lo posible para comprometer una organización. Del reconocimiento a la ingeniería social, del malware adaptado a los ataques de fuerza bruta. De la seguridad cibernética a la seguridad física y a la de sistemas.

El equipo rojo observa cualquier vía abierta a un adversario real y "piensa como el enemigo". Parte del ataque está hecho como una distracción para cubrir la intención real de los atacantes. Por ejemplo, un ataque distribuido de denegación de servicio (DDoS) puede ser un ataque distractor para cubrir un intento de comprometer sistemas y robar datos críticos de negocios o cuentas, o incluso fondos.

Lo que normalmente se denomina el equipo azul es el equipo defensor que opera bajo las mejores prácticas documentadas de respuesta a incidentes.

Estos tipos de ejercicios pueden ir desde simulaciones "de sobremesa" hasta ataques reales (dentro de parámetros aceptables) que tienen un impacto inmediato y real en una organización, para ayudar a mostrar las lagunas que necesitan ser mitigadas: mantenga a sus amigos cerca, y a sus enemigos, más cerca.

La mayoría de las organizaciones avanzadas tienen una guía de respuesta de incidentes de seguridad cibernética. Un ejercicio que implica a un equipo rojo pone ese libro de jugadas a prueba. A menudo, el equipo rojo actuará de maneras inesperadas, y no de acuerdo a un libro de jugadas o un calendario, como los adversarios de la vida real.

Al final del ejercicio, los equipos informan –o realizan un "lavado en caliente", como se le llama a veces– y ayudan a la organización a identificar cómo se deben fortalecer los sistemas, procesos y manuales para mejorar la seguridad cibernética y la resistencia general de la organización.

Equipo rojo y más allá

¿Pero es el típico ejercicio de equipo rojo suficiente hoy en día?

Una tendencia en el sector financiero es ir más allá de la esfera limitada de una operación de equipo rojo e incluir muchas áreas de operación de la organización, no solo los equipos de seguridad y riesgo.

Por ejemplo, este tipo de ejercicio expandido puede incluir ejecutivos, equipos de operaciones, equipos de pago, equipos cibernéticos, equipos de seguridad física y de gestión de riesgos, equipos de relaciones públicas, equipos de servicios al cliente y más.

Si bien este tipo de ejercicio puede no ser tan dramático como el ejercicio de equipo rojo tradicional, implica una sección transversal más amplia de una organización, y en muchos aspectos puede ser más realista en su enfoque, sus implicaciones y sus aprendizajes.

Cada organización puede optar por ejecutar este tipo de ejercicio. En el sector financiero, hay varios ejercicios bien considerados que se ejecutan anualmente o semestralmente. Miles de organizaciones participan, pero cada una participa como una entidad individual y la información utilizada durante los ejercicios es anónima y confidencial.

Dos de los ejercicios más conocidos en el ámbito de los servicios financieros son "Quantum Dawn", dirigido por la Asociación de Mercados Financieros e Industria de Valores (Sifma), y "Caps", administrado por el Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-Isac).

En lugar de tener solo un pequeño enclave de una firma financiera participando, estos ejercicios invitan a cada área funcional a participar en un ejercicio de simulación realista, en tiempo real.

El FS-Isac, una organización sin ánimo de lucro con más de 7.000 miembros en todo el mundo, dirige el ejercicio Ciberataque contra los sistemas de pago (Cyber-Attack Against Payment Systems o Caps).

Se trata de un ejercicio confidencial de dos días para simular un ataque a los sistemas y procesos de pago. Anteriormente llamado Capp, este ejercicio anual se ha celebrado durante los últimos seis años para las instituciones financieras de EE.UU. y se ha ampliado recientemente a Europa. En Estados Unidos, casi mil organizaciones participaron activamente.

El simulacro de Caps simula un ataque cibernético robusto y real contra los sistemas de pago al por mayor del mismo día, para desafiar a los equipos de respuesta a incidentes a practicar la movilización rápida, trabajar bajo presión, informar críticamente la información, como está disponible y conectar los puntos cibernéticos para defenderse del ataque.

Este respetado modelo descubre brechas en los planes de respuesta a incidentes; fortalece las relaciones del equipo de respuesta a incidentes; mejora la comprensión de las vulnerabilidades del sistema; y conduce la exploración de mejoras en la respuesta.

Otro ejercicio muy conocido es el "Quantum Dawn", patrocinado por Sifma. Realizado a intervalos regulares, Quantum Dawn 3 (QD3) fue el último de una serie de ejercicios de seguridad cibernética realizados en 2015. El próximo Quantum Dawn está en las etapas de planificación ahora.

Durante QD3, participaron más de 650 participantes de más de 80 instituciones financieras y agencias gubernamentales. Las entidades participantes incluyeron socios clave de la industria y del gobierno, tales como el Departamento del Tesoro de los Estados Unidos, el Departamento de Seguridad Nacional, la Oficina Federal de Investigación, los reguladores federales y el FS-Isac.

Los ejercicios Quantum Dawn son un componente del amplio trabajo de Sifma con sus miembros en una variedad de iniciativas de seguridad cibernética. Estos ejercicios crean un enfoque intersectorial de respuesta a incidentes que es difícil de lograr en las operaciones diarias del negocio.

Por ejemplo, el equipo de seguridad cibernética de un banco determinado puede entender muy bien su ámbito, pero puede no comprender completamente cómo funciona el procesamiento de pagos en su banco, y el impacto de si las funciones de procesamiento de pagos son atacadas como parte de una sofisticada empresa criminal apuntando al banco.

Pero, a través de estos ejercicios colaborativos, cada departamento entiende sus funciones y responsabilidades. La comunicación rápida y precisa es clave. Los indicadores de compromiso descubiertos durante las primeras partes de un ataque pueden desencadenar partes específicas de la guía de respuesta a incidentes.

Los equipos de servicios al cliente deben ser capaces de responder a los clientes de alto valor neto. Los equipos de relaciones públicas deben responder a las preguntas de los medios de comunicación y las fugas. Los intermediarios con reguladores necesitan saber cuándo y cómo involucrar a los reguladores. Los ejecutivos necesitan información de cada jugada para tomar decisiones de negocios, y así sucesivamente.

Si bien los ejercicios de equipo rojo son una parte importante de los preparativos de resiliencia, los ejercicios más amplios que incorporan múltiples áreas funcionales de cada organización son verdaderamente la ola del futuro, y pueden ayudar a cada firma participante a identificar brechas de seguridad y de riesgo, mejorar las guías de acción, y –en un entorno relativamente seguro– a practicar para un 'muy mal día’. Con suerte, ese día nunca llegará, pero si lo hace, como dicen, la suerte favorece a los preparados.

Andrew Hoerner es vicepresidente de comunicaciones del Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-Isac). .

Próximos pasos

No olvide revisar también:

Cisco amplía su portafolio de protección contra malware y respuesta a incidentes

Cómo construir un Plan de Respuesta a Incidentes

¿Cuándo es recomendable apagar un sistema en el proceso de respuesta a incidentes?

Este artículo se actualizó por última vez en mayo 2017

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close