Preguntas más frecuentes sobre cómo convertirse en hacker y probador de penetración del equipo rojo respondidas por expertos de Triber of Hackers
¿Cuál es la mejor manera de conseguir un trabajo en el equipo rojo?
Es poco común que las personas comiencen directamente en trabajos del equipo rojo. La mejor manera
es tener o adquirir una habilidad como conexión a Internet, administración de sistemas o
ingeniería de software y comenzar en un rol de equipo azul. Asumir un puesto en el equipo azul le permitirá adquirir experiencia en ciberseguridad y establecer contactos con personas en el puesto de sus sueños.
Puede conectarse en red interna y externamente desde su organización en
eventos locales y conferencias regionales sobre ciberseguridad. Hay un par de
certificaciones adaptadas a los equipos rojos que pueden hacer que los equipos rojos lo noten
Buscando agregar algunos recursos humanos.
Necesitas conocer a tu público objetivo y luego impresionar.
a ellos. No existe un solo tipo de trabajo en el equipo rojo. Hay bastantes sutiles
diferencias entre las distintas empresas/grupos que realizan este tipo de trabajos.
Desde un nivel alto, encontrarás que hay dos tipos principales de hackers en este
campo. Ambos tienen lugares en diferentes equipos rojos y ambos son realmente geniales. El
La mayor diferencia práctica entre los dos estará en su clientela.
El primer tipo de equipo rojo es el equipo tipo operador de red informática.
Su principal objetivo será el acceso. Se entrenan para utilizar herramientas de hacking.
y marcos, y su objetivo es impresionar. Si quieres unirte a uno de estos
equipos, es necesario centrarse en la capacitación sobre simulación de violaciones porque eso es
de qué se trata su mundo. Sus clientes los contratan para mostrar exactamente cómo
El atacante podría obtener y aprovechar el acceso a una red o sistema. Este tipo de
El equipo se colocará en una red, o en un sistema de destino, con el
objetivo de explotar el sistema en su máxima extensión y construir una narrativa que
puede presentar al equipo ejecutivo de la empresa detallando cómo lo hicieron. A
únete a uno de estos equipos, es casi seguro que no necesitarás muchos certificados, y
Probablemente no necesites un título universitario. Lo que necesitas son las habilidades para hacer
el trabajo y las agallas para pedirlo. Para llegar allí, busca un equipo al que quieras unirte.
Entrena hasta que estés listo y luego demuestra tu valía compitiendo o contribuyendo a
la comunidad.
El segundo tipo de equipo es el equipo de ingeniería de seguridad. Este tipo de
Es menos probable que el equipo sea incluido en redes con el objetivo de "simular" una
incumplimiento literal. En cambio, es probable que dediquen su tiempo a crear y construir
y auditar soluciones complejas a problemas difíciles centrados en la seguridad con el objetivo
de mejorar la sofisticación técnica y la seguridad de un determinado software o
sistema de hardware. Si te unes a uno de estos equipos, no perderás tu tiempo
tratando de crear una narrativa para describir cómo accediste exactamente a una red a través de
un truco simulado. Más bien, dedicará su tiempo a analizar sistemas desde un punto de vista
multitud de perspectivas y luego aplicar sus conocimientos para responder con precisión
preguntas específicas como "Si un atacante tuviera acceso a esta red, ¿podría
¿Omitir nuestra lista blanca de hosts?
Para ambos tipos de equipos querrás alguna combinación de informática y
conocimientos de tecnologías de la información. Puedes obtener estas cosas en la escuela o en
tu propio tiempo. El tipo de equipo al que desea unirse influirá en si
debería estar aprendiendo Metasploit y Active Directory o criptología y software
ingeniería. Una vez que sepas qué es exactamente lo que quieres hacer, simplemente aprende
esas habilidades y enviar una solicitud.
¿Cómo puede alguien adquirir habilidades de equipo rojo y pruebas de penetración sin meterse en problemas?
con la ley?
Recomiendo descargar máquinas virtuales y aplicaciones web que tengan
vulnerabilidades cuando intentan aprender en casa. hay muchos afuera
allá; Solo ten cuidado y no los subas a Internet porque serán
comprometido en poco tiempo.
Si no tiene permiso de los propietarios del sistema para probar o ejecutar herramientas,
Probablemente estén violando alguna ley. Si estás intentando formar parte del equipo rojo, intenta
Explotar sólo los sistemas que posee o los sistemas que tiene escritos explícitamente.
permiso para explotar.
Únase a los programas de recompensas por errores y comience a piratear. Estas empresas ofrecen un incentivo para que los cazadores de errores encuentren errores, por lo que le ofrecen capacitación en sus sitios web para que pueda comenzar.
HackerOne y BugCrowd son solo dos de las empresas, pero creo que este espacio estará abarrotado en los próximos años. La empresa que gane esta carrera será la que proporcione el mayor valor a su comunidad haciendo todo lo posible por ellos. Pueden proporcionarle todas las herramientas y
Hay entrenamiento, pero debes esforzarte y escribir en tu teclado para desarrollar esas habilidades y ganar recompensas.
La codificación sería una de las más fáciles. Y esto tiene un alcance casi ilimitado.
número de caminos donde puedes pasar el tiempo. Puedes escribir herramientas que sean divertidas.
cosas relacionadas con la seguridad que le enseñarán cosas sobre la marcha. Creo que todos deberían
escriba un escáner de puertos de red en algún momento y haga un esfuerzo real para comprender
cómo funciona realmente un enchufe. Puedes jugar con el código de otras personas para aprender cómo
conquistar desafíos interesantes en el espacio de seguridad ofensiva. Aprende suficiente código
para comprender cómo funcionan realmente proyectos fantásticos como BloodHound para que puedas
Hablar en profundidad de lo que realmente están haciendo. Pluralsight tiene un montón de contenido excelente.
en Active Directory (AD). Configure AD en un laboratorio e intente gestionarlo durante algunas semanas.
Esto se relaciona con lo que considero una respuesta clásica a este tipo de preguntas, que
es construir un laboratorio. Yo diría que esto es casi imprescindible. Tengo varios laboratorios que uso en un
regularmente. Recientemente compré una computadora portátil donde tengo un mini laboratorio de Windows. I
use Hyper-V para crear un controlador de dominio con uno o dos miembros unidos. Él
Da la casualidad de que esta computadora portátil también es excelente para jugar. El truco con el laboratorio es
Hazlo flexible y ve a usarlo. Instale EDR o AV e intente superarlo. Entender
qué funciona y qué no y por qué.
Las habilidades de ingeniería social y acceso físico son un poco más difíciles de lograr.
adquirir sin capacitación en el trabajo. Los CTF de ingeniería social existen junto con
Organizaciones como TOOOL que pueden ayudar a guiar a las personas a mejorar la apertura de cerraduras.
o ataques de acceso físico. Al final, tendrás que hacer los compromisos con
esa carta para salir libre de la cárcel.
En el lado del ataque electrónico, existen numerosas oportunidades, incluyendo
eventos de captura de bandera (CTF), programas de recompensas por errores, vulnerables pirateables
sistemas (Hack The Box, VulnHub, tryhackme, etc.) y vulnerables
repositorios de software y máquinas virtuales locales/contenedores Docker. Acoplado
con miles de horas de videos de conferencias y capacitación en línea, hay más
material que alguien podría esperar consumir. Elige un tema
que te interese y ponte manos a la obra.
Aquí hay algunos recursos útiles que
tal vez quieras explorar:
- SANS.org
- Cybrary.it
- PenTesterLabs.com
- github.com/enaqx/awesome-pentest
La clave para pasar de principiante a competente es consistente, deliberado y
práctica práctica. Los recursos proporcionarán un tesoro de orientación que
le permitirá trazar un rumbo basado en sus recursos disponibles.
Unos pocos principios rectores ayudarán a evitar problemas penales y legales mientras
desarrollar sus habilidades de seguridad ofensiva: - "Primero no hagas daño".
- No entres en lugares que no te pertenecen o a los que no tienes acceso legítimo.
- En caso de duda, consulte el primer punto.
¿Cuándo se debe introducir un equipo rojo formal en el sistema de una organización?
programa de seguridad?
Creo que todos en tecnología de la información e ingeniería de software
Deben saber cómo construir, proteger y piratear todo lo que esté a su cargo. Mi
La visión loca es que todos siempre modelan amenazas y combinan todo con el equipo rojo.
ellas hacen. No es necesario tener el título de equipo rojo para utilizar las habilidades del equipo rojo. I
Siempre diga: “Hackea más. Preocuparse menos."
¿Cómo se explica el valor del equipo rojo a una persona renuente o
¿Cliente u organización no técnica?
Creo que la mejor manera de hacerlo es explicar que a pesar de que el equipo rojo tiene
un rol adversario, los objetivos internos y externos del equipo rojo están alineados en el sentido
que todos queremos proteger datos confidenciales y sistemas críticos. Para mantener la confianza
Con el tiempo, los equipos rojos siempre deben evitar que aparezcan equipos azules y equipos internos.
partes interesadas. Esto sólo se puede lograr trabajando estrechamente como equipo. solo se necesita uno
mala experiencia para arruinar potencialmente estas relaciones.
¿Cuáles son los controles de seguridad cibernética más importantes y más fáciles de implementar que pueden
¿Le impide comprometer un sistema o red?
Voy a restringir los privilegios administrativos para los usuarios finales. He visto
Comprobar de primera mano cómo esto reduce drásticamente las infecciones en una red. Así de sencillo
El control se aplica a organizaciones de cualquier tamaño. Restringir privilegios es fácil de
implementar y escalar.
¿Por qué cree que es fundamental respetar las reglas de enfrentamiento?
La única diferencia entre una buena y una mala persona es que la buena
La persona sigue las reglas. Violar las reglas de enfrentamiento rompe la confianza
entre equipos. Si violas las reglas de enfrentamiento, puedes estar rompiendo el
ley también.
La combinación de una política de contraseñas segura y dos factores obligatorios
La autenticación en todos los servicios críticos comúnmente resulta en grandes dolores de cabeza en
un equipo rojo. Cuanto más grande sea una organización, más difícil puede resultar implementarla,
pero para las pequeñas y medianas empresas esto puede ser una ganancia rápida que crece con
la organización y al mismo tiempo contar con un presupuesto reducido.
Las contraseñas son la pesadilla de la seguridad de la información en este momento.
2FA/MFA es una solución, pero aún es engorroso o imposible de incorporar
en la plataforma de autenticación que utiliza una empresa. Más pentests y equipo rojo
Las evaluaciones que realizo estos días comienzan con algún tipo de punto de apoyo inicial.
en la organización, y luego comienza la búsqueda de credenciales: claves API, SSH
claves, contraseñas, cualquier cosa que pueda llevarme a un nivel superior o a más acceso que
ese punto de apoyo. Por eso creo que una empresa debería exigir el uso de una contraseña.
administradores para toda la autenticación basada en el trabajo; esto incluye claves API (bóveda
productos ayudan a que esto sea una realidad). Una forma de forzar esto es cambiar tu interior.
contraseña mínima de algo así como 40 caracteres. Inicio de sesión inicial (para obtener
al administrador de contraseñas) se puede hacer a través de una tarjeta inteligente, FIDO u otro token basado
producto. Incluso los dispositivos móviles hoy en día pueden actuar como dispositivos FIDO, lo que
eliminaría la necesidad de implementar y administrar una flota de dispositivos para la autenticación.
Reglas de firewall a nivel de sistema. Restringir la capacidad de los sistemas para comunicarse.
entre sí pueden dificultar o dificultar el movimiento lateral alrededor de una red.
imposible. Puede ser difícil de ejecutar tanto desde el punto de vista técnico como de planificación.
aspectos, pero creo que proporcionará un valor inmenso si se hace correctamente. a menudo pregunto
gente, "¿Sus estaciones de trabajo necesitan poder comunicarse en el puerto X?" a
a lo cual la respuesta casi siempre es no.
¿Cómo trabaja el equipo rojo en conjunto para hacer el trabajo?
Si trabajas en equipo, la comunicación es el elemento más importante.
Divida el trabajo y asegúrese de documentar todo lo que hace en un
compromiso. La confianza también es importante, porque he visto situaciones en las que el equipo
Los miembros pierden la fe en sus compañeros de equipo.
Recomiendo usar herramientas colaborativas para que todos puedan ver cuáles son sus
lo están haciendo sus compañeros. La transparencia siempre gana. Una cosa más, no seas
miedo de pedir ayuda; para eso están los compañeros. Si tu compañero de equipo es un
experto en una determinada cosa, simplemente pide ayuda.
¿Cuáles son algunos consejos prácticos para redactar un buen informe de pruebas de penetración?
Mi consejo es no reinventar la rueda: hay muchos recursos disponibles
allí para describir vulnerabilidades, explotación y puntuación de riesgos. Siéntete libre de agarrar
contenido de NIST, CVSS o MITRE ATT&CK y citarlos como referencias. Citando
utilizarlos como referencias en realidad aumenta la credibilidad de sus hallazgos e informe.
Utilice algo como CVSS para ayudar a calificar las vulnerabilidades que encuentre.
MITRE ATT&CK es excelente para discutir técnicas de explotación y sugerencias
remediaciones. Si utiliza esos recursos, será más fácil redactar el informe.
usted y más fácil para el consumidor confiar.
¿Qué diferencia a los buenos jugadores del equipo rojo del resto en cuanto a
¿Abordar un problema de manera diferente?
Creo que los buenos jugadores del equipo rojo estudian y saben cómo funcionan las cosas. yo mencione
empatía antes. Un buen jugador del equipo rojo puede meterse en el sistema.
mentalidad de administrador, ingeniero de redes o desarrollador de software y resolver los problemas
problemas que enfrentan. Un buen jugador del equipo rojo siempre tiene hambre de mejorar su
habilidades y ayudar a otros a hacerlo también.
¿Qué habilidades o actitudes no técnicas busca al contratar?
y entrevistar a los miembros del equipo rojo?
Cuando hablo con candidatos, busco actitudes positivas y fuertes
impulso/motivación interna. Los miembros del equipo rojo a menudo se encontrarán hasta el cuello en
análisis alucinante, cuyos resultados podrían determinar el éxito de la
compromiso.
Por tanto, es importante que los candidatos sean capaces de motivarse a sí mismos.
seguir adelante, no perder de vista el objetivo y no quejarse de que “no están
haciendo cosas interesantes”. El trabajo en equipo rojo suele ser bastante aburrido, menos los momentos de
pura adrenalina cuando ese caparazón finalmente regresa, por lo que los candidatos deben dar
la impresión de que tienen la paciencia y la determinación para lograr
la misión.
