O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Technical Approach to Red Team Operations

618 visualizações

Publicada em

Presentación realizada en el congreso MoscowCON (Moscu) sobre aspectos técnicos de la realización de ejercicios de Red Team

Publicada em: Internet
  • Entre para ver os comentários

Technical Approach to Red Team Operations

  1. 1. Technical Approach to Red Team Operations MoscowC0N earriols@redteaming.es
  2. 2. Índice 1) Introducción 2) Definición de los ejercicios 3) Pautas para la correcta ejecucción 4) Ejemplos reales
  3. 3. Introducción
  4. 4. Necesidad actual Eduardo Arriols Nuñez (earriols@redteaming.es) ¿Podemos decir por lo tanto que estamos protegidos? Las comprobaciones de seguridad actuales no son realistas Las empresas desconocen el nivel real de detección de sus equipos Los ataques dirigidos no siguen normas ni reglas
  5. 5. Definición de los ejercicios
  6. 6. Definición Los ejercicios de Red Team son pruebas altamente especializado de intrusión, que mediante la combinación de vectores de ataque simula una intrusión real en la organización y permite a la empresa identificar su nivel de seguridad global, así como el nivel de prevención y protección frente a amenazas dirigidas. El equipo debe estar formado por un grupo multidisciplinar de expertos en los diferentes ámbitos de actuación (seguridad digital, física y humana). SEGURIDAD DIGITAL SEGURIDAD HUMANA SEGURIDAD FÍSICA INTELIGENCIA OFENSIVA
  7. 7. Objetivo Mediante la replicación de las técnicas, tácticas y procedimientos (TTPs) de intrusión que podrían ser utilizadas por un atacante real, se comprueba el impacto real de negocio que provocaría un ataque dirigido a través del compromiso de los principales activos de la organización. Este tipo de ejercicios permite identificar el nivel de protección de la organización frente a ataques dirigidos, y aumentar posteriormente las capacidades técnicas del equipo de defensa o Blue Team. Eduardo Arriols Nuñez (earriols@redteaming.es)
  8. 8. Vectores de ataque Dependiendo de los ámbitos de actuación permitidos en el ejercicio pueden ser utilizadas cualquier tipo de técnica o combinación de ellas que permitan materializar una intrusión y posteriormente acceso a los activos críticos de la organización. Algunos ejemplos de acciones comunes son: Intrusión Física Intrusión Digital Ingeniería Social Análisis perimetral de seguridad física Identificación de accesos alternativos Evasión de control RFID / NFC Evasión de control biométrico Evaluación de sistemas embebidos Análisis Wireless Control remoto de CCTV Análisis de Smart-Buildings Anonimización de las comunicaciones Análisis de sistemas perimetrales Análisis de servidores públicos Intrusión y control de dominios internos Control a sistemas Industriales Control de sistemas Mainframe Desarrollo de exploits propios Desarrollo de campañas de Phishing Envío de Phishing dirigido Envío de malware personalizado Despliegue de dispositivos USB Cebo Acciones de Vishing personalizado Suplantación de identidad Escenario personal de Ingeniería Social Análisis de leaks y datos filtradosDesarrollo de malware a medida Análisis físico de entornos industriales Creación de escenarios a medidaObtención de información crítica
  9. 9. Distinción entre servicios Alcance: Activos muy limitados Ámbitos: Acotado a un escenario Detalles: Conocidos por la organización Tiempo: Ajustado a días Vectores: Limitado a identificación de vulnerabilidades conocidas Alcance: Específicos con cierta amplitud Ámbitos: Acotado a un escenario Detalles: Conocidos por la organización Tiempo: Semanas Vectores: Identificación y explotación de vulnerabilidades conocidas o no Alcance: Completo Ámbitos: Cualquier ámbito y uniones Detalles: Desconocidos por la organización Tiempo: Meses Vectores: Multidimensionales y flexibles (Simulación de amenazas dirigidas)
  10. 10. Metodología COMPROMISO INICIAL ACCESO INTERNO RECONOCIMIENTO INTERNO & MOVIMIENTO LATERAL ELEVACION DE PRIVILEGIOS & PERSISTENCIA FINALIZACIÓN DEL EJERCICIO RECONOCIMIENTO EXTERNO DEFINICIÓN Y PLANIFICACIÓN Atendiendo a la necesidad de llevar a cabo una intrusión realista, se siguen en todo momento las mismas acciones que son realizadas por un atacante durante una intrusión o ataque dirigido (APT). En dicha metodología destaca el modelado de amenazas realizado al inicio. Simulación real
  11. 11. Equipo de trabajo Manager Red Team Coordinadores de Equipo Expertos Red Team Coordinadores de Soporte Especialistas RED TEAM La comunicación entre los equipos es directa
  12. 12. Equipos involucrados Eduardo Arriols Nuñez (earriols@redteaming.es) Red Team PurpleTeam Blue Team White Team Defensor Empresa Atacante Amplificar
  13. 13. Beneficios para la organización Nivel de seguridad global1 Entrenamiento del Blue Team 2 Vectores de ataque reales3 Mejora continua 4 Preparación y defensa frente a ataques dirigidos y amenazas reales
  14. 14. Pautas para la correcta ejecucción
  15. 15. 1) Definición y planificación 2) Reconocimiento externo y compromiso inicial 3) Intrusión interna Ejercicio Red Team
  16. 16. 1) Definición y planificación 2) Reconocimiento externo y compromiso inicial 3) Intrusión interna Ejercicio Red Team
  17. 17. Definición y planificación Dentro de las acciones acotadas en este apartado encontraríamos las siguientes: - Investigación preliminar: Reconocimiento previo al inicio del ejercicio que permita identificar la tipología de empresa, ubicaciones, infraestructura de red publica, etcétera. - Identificación de activos críticos: Con la información anterior es necesario identificar aquellos activos considerados como el ‘core’ de negocio para la organización. Matriz CARVER y otros. - Planificación del ejercicio: Planificación de las acciones permitidas y en base a las probabilidades de éxito. También deberá estimarse los perfiles y el numero de integrantes del equipo. Eduardo Arriols Nuñez (earriols@redteaming.es) - Preparación de la infraestructura: Desarrollo y despliegue de la infraestructura necesaria para la ejecución del ejercicio. Algunos ejemplos comunes: Servidores de ataque, túneles, gestión de VPSs, … En este aspecto se incluye también la parte física y humana.
  18. 18. Evitar la identificación del equipo Otro aspecto fundamente para la correcta ejecución del ejercicio es evitar la identificación del equipo como origen de las pruebas. Para ello habrá que tener especial cuidado en la realización de pruebas activas en el ámbito digital, físico y humano. A nivel de perímetro es recomendable utilizar las siguientes tecnologías dentro del ámbito digital:
  19. 19. Uso de software indetectable Otro de los puntos ha destacar para materializar una intrusión real es tener la capacidad dentro del equipo de poder desarrollar software a medida y hacer indetectables ciertos softwares como Mimikatz. Es importante destacar que deben utilizarse escaners o plataformas que mantengan anónimas las muestras generadas para cada ejercicio. Eduardo Arriols Nuñez (earriols@redteaming.es) https://scan.majyx.net/ También es importante evitar el uso de software de 3º partes que no haya sido comprobado anteriormente, por si este pudiera contener algún tipo de código malicioso. Un ejemplo claro podría ser el uso de webshells.
  20. 20. 1) Definición y planificación 2) Reconocimiento externo y compromiso inicial 3) Intrusión interna Ejercicio Red Team
  21. 21. Reconocimiento externo y compromiso inicial Dentro de las acciones principales acotadas en este apartado encontraríamos las siguientes: - Análisis inicial: Reconocimiento exhaustivo sobre los activos acotados dentro del alcance. - Vectores de acceso digital: Cualquier vector que permita acceso a la infraestructura digital. - Vectores de acceso físico: Cualquier vector que permita acceso a la infraestructura física. - Vectores de acceso humano: Cualquier vector que haga uso de ingeniería social. - Compromiso inicial: Identificación del vector de acceso que permitiera materializar la intrusión. Eduardo Arriols Nuñez (earriols@redteaming.es) Vector de acceso Vector de ataque
  22. 22. Análisis inicial El análisis inicial consiste en comenzar las pruebas siguiendo la planificación establecida anteriormente. Este análisis involucrará a los diferentes integrantes del equipo, que se distribuirán las tareas de forma paralela hasta que uno de ellos tenga éxito e identifique un vector de acceso que permita continuar con la intrusión interna. Dependiendo del tipo de organización (Bancaria, Industrial, etcétera) habrá diferentes pruebas con mayor probabilidad de éxito. Es común en los ejercicios dedicar un par de semanas a realizar de forma correcta este análisis inicial que nos permita identificar todos los activos de la organización sobre los que se podrán realizar las pruebas. Eduardo Arriols Nuñez (earriols@redteaming.es)
  23. 23. Vector de acceso digital Cuando hablamos de vector de acceso digital nos referimos a aquellas pruebas que pueden ser realizadas sobre activos digitales con el objetivo de identificar un vector de acceso a la organización con el que materializar la intrusión. De entre las acciones que podemos encontrarnos, las mas comunes son: - Perímetro: Nuestro objetivo será identificar un sistema vulnerable expuesto a Internet que posteriormente podamos utilizar para pivotar a la red interna. No se buscaran vulnerabilidades que no cumplan este objetivo. - Redes Wi-Fi: Nuestro objetivo será lograr acceso interno a la organización utilizando para ello vectores de ataque sobre las redes y clientes Wi-Fi de la organización. En este punto destacaran principalmente los ataques a clientes. Eduardo Arriols Nuñez (earriols@redteaming.es)
  24. 24. Vector de acceso digital – Perímetro Principales pautas para lograr el acceso digital a través del perímetro Normalmente las organizaciones tienden a proteger fuertemente sus sistemas a nivel de perímetro, pero únicamente aquellos que consideran mas importantes o críticos para el negocio. Por ello, es común encontrar aplicaciones antiguas, olvidadas y sin ningún valor para la organización que pueden servirnos como vector de acceso para pivotar a la parte interna. En este punto vamos a destacar tres aspectos realmente importantes - Inventariado de activos dentro del alcance: Esto es posible a través de la búsqueda en sistema autónomos (AS), rangos de red, buscadores como Shodan, histórico de escaneos, dominios y subdominios, etcétera. - Búsqueda de sistemas antiguos: Hay que centrarse en los mas antiguos primero. - Uso de software como reGeorg para pivotar: ReGeorg es una excelente herramienta desarrollada en PHP, JSP, ASP y ASP.NET que nos permite tunelizar nuestro trafico a través de llamadas al sistema. De esta forma, teniendo la capacidad de subir un fichero al sistema podemos utilizarlo para pivotar a través de el a la red a la que este conectada.
  25. 25. Vector de acceso digital – Wi-Fi Principales pautas para lograr el acceso digital a través de las redes Wi-Fi Otra posibilidad para comprobar el ámbito digital sería revisar las redes inalámbricas de la organización objetivo. Al igual que con las pruebas de perímetro, no se verifican todas las posibilidades, sino aquellas que realmente puedan permitir acceso a la red interna de la organización. Algunas de las pruebas principales que podemos realizar son las siguientes: - Ataques a redes tradicionales (WEP, WPA y WPA2 con clave precompartida) - Ataques a clientes en redes WPA2 Enterprise (FreeRadius & Hostapd-wpe) - Ataques a clientes mediante ingeniería social (Suplantación de redes, portales cautivos, …) - Otros ataques mas avanzados y combinados contra clientes como MouseJacking con ingeniería social Eduardo Arriols Nuñez (earriols@redteaming.es)
  26. 26. Vector de acceso físico Cuando hablamos de vector de acceso físico nos referimos a aquellas pruebas que pueden ser realizadas sobre activos físicos con el objetivo de identificar un vector de acceso a la organización con el que materializar la intrusión. Realmente podemos acotar las pruebas al acceso físico a las instalaciones, aunque podemos hacer una diferenciación respecto del método a través del cual se mantendrá el acceso a la organización en: - Despliegue de implante físico: Tras lograr acceso físico a las instalaciones se despliegue un dispositivo como una Raspberry Pi o similar oculta y conectada por un lado a la red interna de la organización y por otro, mediante una conexiones 3G o Wi-Fi al equipo Red Team. De esta forma es posible tener un dispositivo conectado a la red que evita todos los sistemas de seguridad a nivel de perímetro. - Acceso a equipo interno e implantación de backdoor: Otra posibilidad una vez se ha logrado el acceso físico es acceder a un equipo interno mediante un Live USB o CD como Kon-Boot, con el cual poder acceder al equipo como administrador local. De esta forma se buscara implantar persistencia en el sistema para que se conecte de forma inversa al equipo Red Team. Eduardo Arriols Nuñez (earriols@redteaming.es)
  27. 27. Vector de acceso físico Principales pautas para lograr el acceso físico a las instalaciones Otro aspecto fundamente para la correcta ejecución del ejercicio es evitar la identificación del equipo. Para ello habrá que tener especial cuidado en la realización de pruebas activas en el ámbito digital, físico y humano. - Reconocimiento Online: Se buscará realizar un reconocimiento previo de las instalaciones para identificar la mayor cantidad de información posible sin interactuar con el activo, como medidas de seguridad, posibles vías de entrada, etcétera. Eduardo Arriols Nuñez (earriols@redteaming.es) - Reconocimiento Onsite: Se realizará un reconocimiento activo y directo contra las instalaciones de la entidad objetivo. Para ello se puede hacer uso de micro-cámaras, cámaras réflex, drones de reconocimiento, etcétera. Principalmente se deberá de identificar todos los accesos, sus medidas de seguridad, las medidas de seguridad internas, alarmas instaladas, etcétera.
  28. 28. Vector de acceso físico Principales pautas para lograr el acceso físico a las instalaciones - Evasión del control de acceso mediante clonado de tarjetas de acceso (RFID / NFC): El uso de tarjetas contactless para el control de acceso es algo realmente habitual a día de hoy en las organización. En muchas ocasiones estas tarjetas no están correctamente aseguradas y con simples escenarios de ingeniería social puede ser posible obtener la copia de la tarjeta de un empleado. - Evasión del control de acceso mediante el uso de ingeniería social: Otra posibilidad que tiene relación con el ámbito humano es utilizar escenarios de ingeniería social especialmente diseñados para lograr la intrusión física en la organización. Esto puede hacer uso de suplantaciones de identidad, técnicas como tailgating, etcétera. - Evasión de medidas de seguridad físicas: En aquellos casos donde la intrusión tenga un enfoque mas puro respecto de la intrusión física será necesario utilizar técnicas para la evasión de medidas de seguridad como detectores de movimiento, alarmas, etcétera. Esto son únicamente algunos ejemplos ya que dependiendo del escenario que este siendo realizado puede haber una diferentes variaciones a ejecutar. Eduardo Arriols Nuñez (earriols@redteaming.es)
  29. 29. Vector de acceso humano Cuando hablamos de vector de acceso digital nos referimos a aquellas pruebas que pueden ser realizadas sobre activos humanos (empleados) con el objetivo de identificar un vector de acceso a la organización con el que materializar la intrusión. De entre las acciones que podemos encontrarnos, las mas comunes son: - Phishing: Envío de correos suplantando la identidad del emisor. - Vishing: Llamadas de teléfono suplantando la identidad del llamador. - USB Cebo: Despliegue de dispositivos USB maliciosos por las inmediaciones del objetivo. - Personal: Desarrollo de escenarios de ingeniería social de manera personal. Es importante destacar que en los ejercicios de Red Team, las pruebas de ingeniería social no suelen ser indiscriminadas sobre todos los empleados, sino sobre un pequeño conjunto de ellos para evitar levantar sospechas. Eduardo Arriols Nuñez (earriols@redteaming.es)
  30. 30. Vector de acceso humano – Phishing Cuando realizamos pruebas de Phishing podemos tener diferentes enfoques en base al objetivo que tenga el envío de correos en el ejercicio. Por hacer un breve resumen y teniendo en cuenta los mas destacados nos encontramos: - Obtención de información: Sobre la compañía, empleado, equipos internos, etcétera. - Cambio de credenciales: Crear un escenario donde se fuerce al empleado a modificar sus credenciales. - Redirección a pagina falsa: Realizar una suplantación de una web con el objetivo de capturar credenciales, distribuir malware y/o comprometer equipos internos. - Enlace para la descarga de malware: Redireccionar al usuario para que se descargue y ejecute un malware. - Malware adjunto en el correo: Adjuntar malware al correo enviado con un pretexto creíble. Eduardo Arriols Nuñez (earriols@redteaming.es)
  31. 31. Vector de acceso humano – Phishing Ya que las pruebas son realizadas dentro de un ejercicio de Red Team es importante tener en consideración ciertos aspectos como: - Importancia de crear escenarios lo mas realistas posibles. - Importancia de desarrollar pretextos creíbles y satisfactorios. - Comprar y utilizar dominios lo mas similares posibles a los originales. Esto requiere comúnmente de un estudio previo, así como de las aplicaciones con mas probabilidad de éxito. - Al igual que en todas las demás pruebas, los datos del equipo proporcionados en proveedores deberían de ser falsos. - Cuando sea necesario lanzar una campaña sobre muchos usuarios es importante utilizar plataforma como goPhish o similares. Eduardo Arriols Nuñez (earriols@redteaming.es)
  32. 32. Vector de acceso humano – Vishing Las pruebas de llamadas telefónicas pueden ser realmente efectivas si se desarrollan bajo un escenario y pretexto creíble, y se juntan con otras pruebas ejecutadas en el ejercicio. Dentro de las posibilidades que nos podemos encontrar en cuanto al objetivo de las pruebas nos encontramos principalmente las siguientes: - Obtención de información: Buscaremos obtener información sobre el sistema del empleado, la red interna, su configuración, antivirus, credenciales, etcétera. - Cambio de credenciales: Buscaremos forzar al usuario a modificar sus credenciales para permitirnos acceso por otras vías como VPN corporativa, redes Wi-Fi, etcétera. Eduardo Arriols Nuñez (earriols@redteaming.es)
  33. 33. Vector de acceso humano – Vishing A la hora de realizar acciones de Vishing es importante tener en cuenta una serie de pautas: - Es una aproximación muy efectiva y directa, que permite de forma rápida obtener información sensible o ayudar en la ejecución de otras actividades como la intrusión física. - Para realizar correctamente los escenarios es muy importante tener definido la información a extraer o las acciones que debe realizar el objetivo. - Desarrollar una hoja de ruta para la conversación nos permitirá focalizarnos en los objetivos que hayan sido planteados. En este caos es importante contemplar todas las situaciones posibles y estar preparado para cualquier cosa. - Suplantar números de teléfonos conocidos por la persona objetivo nos permite obtener un mayor nivel de confianza con la persona objetivo. Eduardo Arriols Nuñez (earriols@redteaming.es)
  34. 34. Vector de acceso humano – USB Cebo Otro vector de ataque inicial que puede ser ejecutado son los escenarios de USB Cebo, donde se buscara comprometer el equipo de aquellas personas que ‘piquen’ en este cebo. Para una correcta ejecución de las pruebas es recomendable tener en cuenta los siguientes aspectos: - Importancia de utilizar dispositivos USB diferentes para evitar que se identifique el ataque. - No desplegar una gran cantidad de dispositivos. - Desplegar los dispositivos en diferentes zonas, evitar dejar todos muy próximos. - Uso de malware o mutaciones diferentes a ser posible en cada dispositivo. - Montar escenarios de ingeniería social para dar un mayor nivel de realismo. Si es posible esto es algo que incrementa enormemente las posibilidades de éxito, aunque hay que realizar un correcto escenario de ingeniería social. Eduardo Arriols Nuñez (earriols@redteaming.es)
  35. 35. Vector de acceso humano – USB Cebo Aunque suele ser mas atípico, utilizar la ingeniería social de manera personal es un vector con un alto grado de éxito aunque arriesgado ya que únicamente puede ser ejecutado una vez. En este caso se suele requerir que la persona que vaya a realizar las pruebas tenga un perfil apto para las mismas, y cuente con una serie de escenarios y pretextos ampliamente trabajados. El objetivo de realizar este tipo de pruebas suele ser acceder físicamente a las instalaciones para poder acceder a la red interna de la organización para desplegar un dispositivo o acceder a algún equipo interno. En este caso debemos tener una serie de aspectos en cuenta: - Destacar la importancia de planificar en detalle las pruebas. - Conocer exactamente cuales van a ser los objetivos con los que se va a interactuar, y tener un plan B, C y D por si fuera necesario interactuar con otras personas de la organización. Eduardo Arriols Nuñez (earriols@redteaming.es)
  36. 36. Compromiso inicial Una vez hemos logrado, a través de cualquiera de los anteriores vectores de ataque acceder a un sistema interno, es necesario realizar al menos las siguientes acciones antes de pasar a realizar la intrusión interna sobre la organización. - Análisis del sistema accedido - Identificación de información sensible en el sistema - Verificar las posibles acciones de pivoting hacia la red interna - Elevación de privilegios local en el equipo - Persistencia en el sistema - Verificar la posibilidad de continuar las pruebas de intrusión desde la persistencia Eduardo Arriols Nuñez (earriols@redteaming.es)
  37. 37. 1) Definición y planificación 2) Reconocimiento externo y compromiso inicial 3) Intrusión interna Ejercicio Red Team
  38. 38. Aspectos importantes a tener en cuenta Una vez contamos con un acceso a la red interna es hora de comenzar la intrusión digital interna sobre la organización en la mayoría de ocasiones, aunque esto puede variar dependiendo de la naturaleza de la intrusión que este siendo realizada. En el caso común será crucial que tengamos en cuenta ciertos aspectos, entre los que podemos destacar: - Evitar la identificación del equipo como origen de las pruebas durante todo el ejercicio. - Cifrado de la información tanto en las comunicaciones como en el almacenamiento. - Bitácora de acciones donde se centralice todas las acciones realizadas por los integrantes. - Coordinación con el White Team, aunque únicamente con información proporcionada por el RT. - No precipitarse en la ejecución de acciones, hay tiempo de sobra. - Estar al día de nuevas vulnerabilidades que puedan ser aprovechadas en el ejercicio. Eduardo Arriols Nuñez (earriols@redteaming.es)
  39. 39. Pautas generales durante la intrusión Este punto podría tratar libros y libros ya que cada organización es completamente diferente a nivel interno. Aun así, existen una serie de pautas o comprobaciones que deben ser realizadas para ayudar a realizar la intrusión de forma correcta: - Análisis de la red accedida: Analizar la red que haya sido accedida para identificar sistemas y hacernos una idea del nivel de visibilidad interna que podemos tener. - Análisis de la red interna: Posteriormente comenzar con la enumeración interna de forma dirigida y acotada a determinados puertos que pudieran ser interesantes (8080, 445, …) - Análisis del dominio interno: Tras lograr acceso al Directorio Activo, analizarlo para comprender la organización interna. - Análisis de recursos compartidos: Por norma general, dentro de los recursos compartidos existe una gran cantidad de información sensible tanto de empleados, clientes como infraestructura. Eduardo Arriols Nuñez (earriols@redteaming.es)
  40. 40. Pautas generales durante la intrusión - Acceso a equipos de administradores: Los administradores almacenan gran cantidad de información en sus equipos, por lo que acceder a ellos nos puede facilitar la intrusión interna. - Obtención de credenciales: Mediante enumeración de usuarios y fuerza bruta, internas mediante Mimikatz o similar, etcétera. - Reutilización de credenciales: Verificar la reutilización de credenciales en servicios internos y externos, cuentas de administrador, etcétera. - Explotación de vulnerabilidades (Mas típicas): En muchas ocasiones es posible realizar una intrusión interna haciendo uso de vulnerabilidades comunes como por ejemplo: - Incorrecta segmentación de red - Credenciales por defecto - Vulnerabilidades antiguas Eduardo Arriols Nuñez (earriols@redteaming.es)
  41. 41. Implantación de persistencia real Al igual que las demás acciones descritas hasta el momento, la persistencia debe seguir una aproximación real a como se realizaría en un ataque dirigido. Este punto es importante ya que si se despliega de forma correcta la persistencia es prácticamente imposible que se pierda el acceso. Para implantar persistencia se deben de seguir las siguientes pautas: - Utilizar sistemas alojados en redes diferentes - Utilizar proxies de salida diferentes (si los hubiera) - Utilizar credenciales de empleado diferentes - Conectar la persistencia a sistemas VPS diferentes - Variar los métodos de persistencia - Implantar persistencia en red DMZ e interna Eduardo Arriols Nuñez (earriols@redteaming.es)
  42. 42. Acceso a principales activos Sin duda este es el punto mas genérico, ya que cada organización tiene sus activos y las formas de acceder a los mismos pueden variar. Si es importante destacar que los activos críticos de negocio para una organización como los sistemas Mainframe o cajeros para una entidad bancaria suelen estar robustamente bastionados y con amplias medidas de seguridad, por lo que se recomienda no ir a la liguera y realizar acciones lo menos llamativas posibles. Una ultima recomendación, investigar y armaros de paciencia, que en muchos casos es necesaria!!
  43. 43. Ejemplos reales
  44. 44. Intrusión mediante perímetro Red Team Innotec System Web Web Web WorkstationsServidores Windows Controlador de dominio Dominio DominioNAS UnixP-SynchMainframe BBDD Servidor Cajeros Seg. Física Puestos Oficina WebWebBBDD Correo Servidores Internos VPS VPS VPS Se han omitido pasos para hacer mas fácil la comprensión
  45. 45. Intrusión mediante Wi-Fi Cisco ISEWi-Fi DOM. IntSistemas int. PRO PRE DOM. Serv DOM. GestProxy Internet Red Team VPS Aux VPS Salida Tomcat Aplicación Cajeros Servidores Otros Otros Otros DDBB Aplicación Oficinas Se han omitido pasos para hacer mas fácil la comprensión
  46. 46. ¿PREGUNTAS?

×