Capacidades técnicas, tácticas y de respuesta para equipos red Team y Bue Team

Abstract

El presente trabajo es el resultado de un análisis a los procesos de ciberdefensa realizados por Red Team y Blue Team en SecureNova Labs, empresa que ha sido afectada con irregularidades en contratos y atacada desde un Host-A (Windows 7 con HFS 2.3 vulnerable) hacia Host-B vía pivoting y EternalBlue (MS17-010), proceso que derivó a la creación de un usuario administrativo no autorizado y la fuga de datos sensibles de la empresa. A través del laboratorio creado por Red Team, se aplicaron fases de reconocimiento (Nmap, ARP), explotación (Metasploit), post-explotación y pivoting (autoroute, portproxy). Por otro lado, Blue Team propone responder al ataque en tiempo real a partir del uso de herramientas nativas como netstat, tasklist, para la contención: firewall, VLAN, para el hardening: parches, la CIS Controls, y SIEM (Security Information and Event Management) para la activación de eventos. A partir de los procedimientos mencionados anteriormente, los hallazgos sugieren la segmentación de la red, auditorías internas, pruebas recurrentes para mitigar recurrencias en los ataques y puntos vulnerables que propaguen demás accesos no autorizados con el propósito de contribuir a la madurez defensiva de la organización. Además, de que se recomienda la incorporación de las estrategias usadas para mitigar los ataques como una manera de promover y mejorar la ciberdefensa de la empresa tanto para el cuidado de los datos internos como para proteger sus equipos y servidores.