Nos vemos en RSA Conference™ 2025 en el booth N-4204.

Contáctanos
Buscar
Español

Tribu de hackers red team 4.0

Aprendiendo del experto en red teams 'Tinker Secor'

Blog Tribu de hackers red team 4.0
fruiz

Felipe Ruiz

| 4 min de lectura

Contenido

Contáctanos

47 es el número de expertos en red teaming que podemos encontrar en el libro Tribe of Hackers Red Team escrito por Carey y Jin (2019). Y solo hemos publicado tres artículos al respecto, cada uno dedicado a un experto en el siguiente orden: (1.0) Carey, (2.0) Donnelly, and (3.0) Weidman. Entonces, ¿por qué no hacer espacio para un cuarto artículo? ¿O esto se empieza a parecer a Rápido y Furioso? ¡Es broma!

FF50

Imagen tomada de aquí.

Aquí quiero mostrarte otro punto de vista sobre el red teaming (otro experto respondiendo a las mismas preguntas), con las correspondientes recomendaciones para cualquiera, eso es todo. El artículo anterior mostraba lo que podríamos considerar, para asombro de algunos, un caso "extraño". Es decir, presentaba las ideas y consejos de una mujer relacionados con el hacking ético, y eso es raro porque, por desgracia, en la actualidad no es habitual ver a muchas mujeres ejerciendo esta profesión.

Ahora, sería interesante leer (por qué no aprender) las opiniones y recomendaciones de otro caso "curioso". En esta ocasión, una persona que no aparece en el libro en cuestión con su nombre “real”. Y, al contrario que la mayoría de los expertos entrevistados, una persona que no muestra foto en su sección. Sí, al parecer, es un hombre y utiliza el alias de "Tinker Secor."

Veamos qué podemos obtener de este sujeto que sirvió en el Cuerpo de Marines de EE. UU., ha trabajado como analista de detección de intrusos y ahora es un pentester de alcance total con experiencia en evaluar y eludir la seguridad de ambientes lógicos, físicos y sociales.

Para los que buscan ser diligentes en los red teams

Tinker fue reclutado y entrenado para convertirse en red analyst tras adquirir cierta experiencia con blue teams y algo de reputación, sobre todo dando charlas acerca de operaciones de defensa en el Cuerpo de Marines. Pero ya sabemos que no es necesario haber pasado por un equipo azul para pertenecer a uno rojo. De hecho, como dice acertadamente Tinker —cuando se le pregunta por la mejor forma de conseguir un trabajo en un red team—, es igual que para conseguir cualquier trabajo; divides tu tiempo entre la adquisición de las habilidades necesarias y la creación de contactos. ¡Ya está!

¿Qué te recomienda Tinker para desarrollar tus habilidades? En primer lugar, estudiar lo siguiente: sistemas, redes, entornos virtuales y nube, aplicaciones robustas/web/móviles, secuencias de comandos, ambientes físicos, intercambios sociales, y ataques y defensas básicos. Muchas cosas que asimilar, ¿no? Bueno, esto es lo que propone sobre la práctica: Participar en retos de scripting, construir un laboratorio virtual dentro de tu portátil o computador barato e instalar sistemas y conectarlos entre sí a través de redes, y hacer ejercicios de capturar la bandera (CTFs, por su nombre en inglés) en línea o en conferencias.

Conferencias y encuentros; ese es el tipo de eventos a los que Tinker sugiere asistir para establecer una red de contactos y buscar trabajo (más allá de la típica pero nada insignificante aplicación por internet). Incluso recomienda ser voluntario en este tipo de eventos y, si es posible, organizar algunos de ellos. Por supuesto, ¡no olvides unirte a algunos grupos de buena reputación en línea!

Old Trope

Cita de Tinker Secor.

Para los que ya sudan sangre en los red teams

Tinker reduce el red teaming a “control de calidad". Tan sencillo como eso. Por lo tanto, cuando pretendas ofrecer tus servicios a algunos clientes reacios o sin conocimientos técnicos (que reflejen que no necesitan seguridad), utiliza alguna evaluación como demostración, y hazles saber que el red teaming es realmente necesario hoy en día si quieren garantizar la calidad de sus sistemas no solo para ellos, sino también para sus clientes o usuarios.

Inicia ahora con la solución de red teaming de Fluid Attacks

Un red team bien establecido debería poseer un entendimiento clarísimo de las habilidades particulares de cada uno de sus miembros. Como dice Tinker, es habitual ver en estos grupos a personas que pueden hacer un poco de todo. Sin embargo, sobre todo en los grandes proyectos, los líderes podrían delegar tareas de acuerdo con las habilidades especiales de los miembros del equipo y reunirlos para discutir sus actividades de evaluación y reporte en determinados momentos.

En cuanto a lo que el cliente tiene que saber después de que el red team obtenga resultados en un programa de evaluación, Tinker sugiere que lo más importante es repasar la metodología del ataque y mostrar lo que funcionó y lo que no funcionó. La idea es que el cliente conozca los detalles de la trayectoria seguida por cada analista junto con los procedimientos realizados. Por otra parte, además de informar sobre las vulnerabilidades, Tinker recomienda la entrega de información relacionada con los hallazgos positivos. Estos incluirían los mecanismos de seguridad que evitaron ataques específicos, así como los momentos en los que el blue team detectó, respondió a, y contuvo los ataques".

Para empresas que aspiran estar a la vanguardia en seguridad

Las evaluaciones de garantía de calidad de la seguridad y las pruebas de penetración pueden y deberían realizarse en todas las etapas de un modelo de madurez de seguridad. Esa es la respuesta que da Tinker a la pregunta de cuándo introducir un red team en el programa de seguridad de una organización, para que la tengas en cuenta. (No deberías olvidar el término DevSecOps.) Después, si es posible para tu empresa, siguiendo el consejo de Tinker, sería excelente contar con una persona dedicada o un equipo que realice continuamente hacking ético en tus sistemas. (¿Has oído hablar de nuestro servicio principal de hacking continuo?)

Adicionalmente, Tinker cree que, por el bien de tu compañía, no deberías emplear únicamente escáneres de vulnerabilidades. Es mejor mezclar con ellos las pruebas de penetración Como él dice, los dos cubren diferentes áreas y tienen diferentes puntos fuertes y aplicaciones, y las empresas deberían emplear ambos. Según él, es típico ver cómo las organizaciones implementan herramientas de escaneo de vulnerabilidades de los mejores proveedores y las utilizan para detectar problemas de seguridad, para luego, al cabo de varios meses, remediar solo algunos de ellos, ignorando por lo general los hallazgos de severidades media y baja. No existe la creación de programas de gestión y reparación de vulnerabilidades, y en los análisis posteriores aparecen listas de vulnerabilidades más extensas, sobre las que, de nuevo, no se toman las medidas adecuadas. (Ahora, repito la pregunta para aquellas empresas que han caído en ese error pero lo reconocen como tal: ¿Han oído hablar de nuestro servicio principal de hacking continuo?)

¡Eso es todo, amigos!

Por supuesto, puedes acceder a la información completa de la entrevista en el libro de Carey y Jin. Aquí he compartido solo algunos aspectos destacados de las respuestas dadas por Tinker Secor, uno de los 47 expertos en red teaming que puedes encontrar allí. Por otro lado, si quieres formar parte del equipo de Fluid Attacks, puedes consultar nuestra página de Trabaja con nosotros y si necesitas información sobre nuestros servicios y soluciones para tu empresa, haz clic aquí para contactarnos.

Tags:

Suscríbete a nuestro blog

Recibe el boletín semanal de Fluid Attacks.

Blog posts recomendados

Quizá te interesen los siguientes posts similares.

Foto por Marek Szturc en Unsplash

¡Llamada de atención para GitHub Actions!

Una vulnerabilidad de día cero en tj-actions/changed-files

Foto por David Clode en Unsplash

¿Qué es el EPSS?

Para un mejor enfoque de las vulnerabilidades a priorizar

Foto por Steve Smith en Unsplash

Oferta pública de alta exactitud

F-scores y SLA de exactitud en Fluid Attacks

Foto por Ümit Yıldırım en Unsplash

Ataques al sector del transporte

10 brechas de seguridad críticas recientes

Foto por Frankie Mish en Unsplash

Introducción a reachability analysis

Hacia una mejor priorización de vulnerabilidades

Foto por Jr Korpa en Unsplash

Creando un framework para pruebas en Python

Cómo mejoramos nuestras pruebas al estandarizarlas

Foto por Logan Weaver en Unsplash

Asegurando el suelo y los cielos

Introducción a la ciberseguridad del sector de la aviación

Inicia tu prueba gratuita de 21 días

Descubre las ventajas de nuestra solución Hacking Continuo, de la cual ya disfrutan cientos de organizaciones.

Inicia tu prueba gratuita de 21 días
Fluid Logo Footer

Más de 20 años evaluando seguridad de software

Fluid Attacks analiza aplicaciones y otros sistemas, abarcando todas las fases de desarrollo de software. Nuestro equipo ayuda a los clientes a identificar y gestionar rápidamente las vulnerabilidades para reducir el riesgo de ciberincidentes y desplegar tecnología segura.

Servicio

Hacking Continuo

Plataforma

Soluciones

Seguridad de las aplicaciones

Compliance

Sistemas

Técnicas de evaluación

ASPM

SAST

DAST

MPT

MAST

SCA

CSPM

PTaaS

RE

SCR

Planes

Essential

Advanced

Recursos

Blog

Learn

Advisories

Clientes

Descargables

Documentación

Compañía

Quiénes somos

Certificaciones

Aliados

Trabaja con nosotros

Contáctanos

Línea Ética

Copyright © 0 Fluid Attacks. We hack your software. Todos los derechos reservados.

Estado del servicio

Términos de uso

Política de privacidad

Política de cookies