• Buscar

Desinstalando los fundamentos del “hacking ético”. De los “equipos tigre” al flujo de permisos y los espacios de conversación no técnicos

https://global-strategy.org/desinstalando-los-fundamentos-del-hacking-etico-de-los-equipos-tigre-al-flujo-de-permisos-y-los-espacios-de-conversacion-no-tecnicos/ Desinstalando los fundamentos del “hacking ético”. De los “equipos tigre” al flujo de permisos y los espacios de conversación no técnicos 2021-03-23 11:19:06 Jeimy Cano Blog post Estudios Globales Global Strategy Reports Ciberseguridad
Print Friendly, PDF & Email

Global Strategy Report, 11/2021

Resumen: Las prácticas de aseguramiento actualmente desplegadas por las empresas para validar el estado de su seguridad y control incluyen en otras, las pruebas de vulnerabilidades, los equipos rojos y azules y el “hacking ético”. Este último, es un ejercicio en la actualidad estandarizado por cuerpos de conocimiento establecidos en certificaciones internacionales que brindan a quienes logran superar sus condiciones y pruebas el estatus de “hacker ético”. En este contexto, este documento hace un breve análisis de sus orígenes y transformaciones, con el fin de proponer estrategias complementarias que vayan más allá de sus actuales resultados y logros, y permita facilitar nuevas conversaciones para desinstalar sus fundamentos, deconstruir sus prácticas y habilitar espacios de aprendizaje, para potenciar una ejercicio de pruebas y validación que no sólo entregue información técnica sino una propuesta de valor estratégica para aquellos que toman decisiones. 

Introducción

Hablar sobre análisis de vulnerabilidades, pruebas de penetración, o cualquier otra estrategia en esta categoría, es remitirse al imaginario de los “hackers”, de aquellos personajes que tienen la capacidad de retar los modelos de seguridad y control, para comprometer los activos estratégicos de las empresas o las naciones. Esta dinámica de pruebas y estrés para estos modelos se ha convertido con el tiempo en una práctica básica que toda organización realiza de forma periódica para validar el estado actual de la fortaleza o resistencia de las medidas de seguridad vigentes en las infraestructuras o procesos de las corporaciones (Osterman Research, 2020).

El “hacking ético” se ha convertido en una práctica propia de las áreas de seguridad de la información y de ciberseguridad, como una forma para mantenerse atento a la evolución de los atacantes y sus nuevas estrategias. Es un ejercicio, que ha terminado en un marco de trabajo y cuerpo de conocimiento que se ha materializado en certificaciones internacionales, que le otorgan a quienes logran superar sus exámenes y pruebas, el título de “Hacker ético”. Así las cosas, este entrenamiento, por demás exigente, prepara a quienes lo toman en la comprensión y análisis de la dinámica del atacante y en las estrategias más recientes que usan los adversarios.

La práctica de contratar el servicio de pruebas de vulnerabilidades con el tiempo se ha convertido en un “commodity” que se debe mantener como un ejercicio mandatorio de la dinámica de las área de seguridad de la información y como una estrategia de debido cuidado que los ejecutivos de seguridad han implementado para no estar confiados exclusivamente en las “cajas de seguridad” automatizadas, ni en las evaluaciones de controles efectuadas por las áreas de auditoría y cumplimiento (Cano, 2021).

Sin perjuicio de las bondades que este tipo de ejercicios ha concretado en las organizaciones y los resultados relevantes que introduce al revelar posibles puntos ciegos sobre el modelo de seguridad y control, se hace necesario revisar en profundidad su promesa de valor para la seguridad y la ciberseguridad, comoquiera que su práctica estandarizada en sí misma ha tenido poca evolución y demanda una actualización, en la medida que, el entorno se convierte en un escenario más agreste, inestable y sobremanera incierto, lo que se traduce en mayores posibilidades y retos que las organizaciones van a tener para enfrentar nuevas amenazas.

Así las cosas, la práctica de “Hacking ético”, deberá ir más allá de ubicar nuevas vulnerabilidades, utilizar software automatizado para adelantar sus acciones, clasificar sus hallazgos según su nivel de severidad y generar reportes detallados de sus hallazgos críticos, para entrar en la dinámica de los sistemas que analizan y explorar cómo los permisos o accesos se propagan y así dar mayores luces sobre aquellos puntos críticos que los éstos pueden tener, los cuales terminan siendo aprovechados por los atacantes cuando logran concretar sus actividades no autorizadas.

En este sentido, este documento propone una reflexión básica y académica que busca explorar nuevas formas de enriquecer la práctica de “hacking ético”, para generar mayores apuestas de valor que permitan evolucionar los logros alcanzados por estos profesionales especializados en vulnerabilidades, y pasen de una práctica estandarizada de observar y explotar fallas en los sistemas, a seguir la dinámica del modelo de control con la propagación de los permisos o accesos que terminan siendo los damnificados cuando una intrusión se materializa y convocar la mirada de otros profesionales para enriquecer los resultados de sus actividades.

Tiger teams. El inicio de una práctica

Cuando hablamos de “hacking ético” se hace necesario revisar los antecedentes de esta práctica. De acuerdo con la literatura consultada una primera aproximación o reporte sobre prácticas semejantes se encuentra en los años 60s cuando se introduce el término de “equipos tigre” o “tiger teams”, cuya definición habla de “un equipo de especialistas técnicos no domesticados y desinhibidos, seleccionados por su experiencia, energía e imaginación, a los que se les asigna la tarea de rastrear implacablemente toda posible fuente de fallos en un subsistema o simulación (…)” (Dempsey et al., 1964)

Esta definición plantea de forma clara y concreta el perfil de los profesionales que pertenecen a estos equipos. Especialistas técnicos no domesticados, es decir, profesionales que piensan distinto, fuera de los estándares y reglas establecidas, que son capaces de hablar, sugerir y retar las instancias de control, para introducir incierto y rebeldía a la estructura formal de un sistema.

De otra parte, se habla de la experiencia, energía e imaginación, tres características que cuentan la historia de personas que han estado en el campo de acción, que se han expuesto a situaciones inesperadas, con la energía y entusiasmo que caracteriza a aquellos que no se rinden en el ejercicio de concretar una solución o superar un reto, y finalmente la imaginación, como el combustible base que nutre y alimenta las reflexiones para avanzar en medio de aquellas propuestas que son posibles y no necesariamente probables.

Termina la definición hablando de la tarea que tienen encomendada “rastrear implacablemente toda posible fuente de fallos en un subsistema o simulación”, que sugiere el ejercicio permanente, sin restricciones autoimpuestas para encontrar puntos ciegos de operación y control en un sistema, que termine ocasionando una falla o pérdida de productividad en el mismo. Esta tarea es una acción que busca indagar con olfato especializado la inevitabilidad de la falla para perseguir la dinámica del atacante, desde la propagación los eventos y aquellos elementos del contexto que pueden fallar, más que culpar a una persona o “usuario” por su comportamiento.

Los “equipos tigre” se configuran para resolver problemas críticos después que se han intentado las soluciones más probables y conocidas. Son una fuerza élite que se convoca para que usando su experiencia, su rebeldía mental y científica, sus posturas no convencionales puedan distinguir nuevas formas de comprender los retos que se plantean, superar los marcos mentales conocidos y disponibles, y así cruzar umbrales de las prácticas conocidas para visualizar alternativas que brinden una posible respuesta al reto que se plantea (Dempsey et al., 1964).

Una lectura básica de las actividades que realiza un “equipo tigre” son: (Lucidchart, s.f.)

  • Observar y documentar los síntomas y su impacto.
  • Identificar las posibles causas.
  • Desarrollar pruebas para validar esas causas.
  • Decidir qué pruebas realizar en función de las prioridades de la organización.
  • Llevar a cabo las pruebas hasta que se confirme la causa raíz.
  • Esbozar posibles soluciones.
  • Acordar una solución y aplicarla.
  • Documentar los resultados.

Los “equipos tigre” son conjuntos de profesionales de diferentes áreas que permiten una perspectiva convergente del contexto, como un referente básico de análisis, que más allá de identificar posible puntos de falla y revelar sus debilidades, es capaz de seguir la dinámica del sistema que quiere explorar, llevar a cabo las pruebas del caso, sugerir propuestas no convencionales de respuesta y sobremanera, acompañar en la implementación de la misma en un escenario real.

Hacking ético y sus prácticas actuales

Los fundamentos de los “equipos tigre” establecen la dinámica de una forma de pensar y actuar frente al reto de un problema particular. En la actualidad, los discursos metodológicos de “hacking ético” pueden abordar el reto de “encontrar un punto de falla” bien desde la postura de las fallas conocidas (OWASP, s.f.), las posibilidades reales de explotación independientemente de los indicadores de riesgos y vulnerabilidades (Offensive Security (Oakley, 2019)) o la dinámica del atacante (CEH (Walker, 2019)).

Cualquiera que sea el enfoque que se utilice, permite movilizar el pensamiento de los profesionales para sugerir posibilidades de acción que se encuentren fuera del dominio de los estándares y prácticas conocidas. Este ejercicio habilita encontrar razones y fuentes de riesgos que ponen en alerta a las organizaciones para dar cuenta con aquellas zonas grises que se pueden generar con ocasión de la evolución de las aplicaciones, software o ajuste de las infraestructuras tecnológicas.

En la actualidad hay una marcada práctica del “hacking ético” desde la dinámica del atacante generalmente basada en el discurso metodológico del CyberKill Chain, que establece que toda actividad maliciosa o adversa cursa al menos siete momentos:

1. Reconocimiento: exploración intencional del objetivo para identificar posibles vulnerabilidades.

2. Militarización (Weaponization): el adversario crea código malicioso o condiciones particulares adaptadas a las debilidades de los objetivos.

3. Entrega: el adversario ubica el código malicioso o configura el escenario para desplegar en el objetivo.

4. Explotación: se ejecuta el código malicioso o se materializa el escenario estudiado según el plan del adversario.

5. Instalación: la condición adversa se enraíza y conecta en el contexto del objetivo.

6. Mando y control: el código malicioso se comunica con los sistemas del adversario y se crea una condición de control remoto.

7. Acción sobre los objetivos: el código malicioso realiza la acción planeada o el escenario desarrolla y materializa los efectos deseados (Lockheed Martin, 2015).

Seguir esta estrategia metodológica permite recrear lo que podría ser la dinámica de un adversario, muy semejante al entorno militar, con el fin de concretar sus acciones sobre el oponente. Cuando el “hacker ético” asume como su práctica esta forma de actuación sabe que tiene que calzarse los zapatos de su adversario y tratar de seguir una pauta de pensamiento orientada por el objetivo final que se persigue. Si bien, esta ruta le permitirá un avance significativo y logros interesantes, sus resultados dependerán del alcance de la actividad, las herramientas utilizadas y la experiencia del profesional que las ejecuta (Carón, 2019).

Por lo general, realizar este tipo de ejercicios supone un conocimiento especializado, una manera particular de razonar y un lenguaje de comunicación, donde este último, con frecuencia termina aislando la riqueza conceptual y práctica de sus resultados, frente a otras audiencias (general de toma de decisiones), las cuales reclaman entender y analizar las acciones realizadas para concretar las actividades no autorizadas realizadas. En este sentido, uno de los elementos claves que demandan este tipo de ejercicios como lo es comunicar los hallazgos, termina siendo una tarea pendiente que debe revisarse y actualizarse en el marco de trabajo del “hacking ético”.

Colores para los equipos de ataque y defensa. Transformación de la práctica de hacking ético.

Mientras el “hacking ético” representado en las pruebas de penetración o análisis de vulnerabilidades puede darle a la organización algunas indicaciones sobre la madurez de sus controles e identificación de escenarios claves para su operación, los equipos rojos, azules y morados crean contextos más elaborados de confrontación, defensa y aseguramiento que permite ver fuerzas encontradas de acciones coordinadas, como generalmente ocurren en la realidad.

Los equipos rojos pueden realizar al menos tres tipos de ejercicios de pruebas: simulaciones de ataques realistas y sin restricciones, desafíos conceptuales y juegos de guerra. En el primero el equipo puede usar cualquier tipo de herramienta o vector de ataque para concretar su objetivo. En el segundo, basado en el conocimiento del contexto de la empresa plantear hipótesis y retos para provocar y promover un análisis de riesgos e impactos y finalmente en el tercer caso, plantear un ejercicio de mesa “tabletop exercise” basados en secuencias de acciones que terminen en una toma de decisiones de los diferentes participantes (Caron, 2017).

De otra parte, están los equipos azules que configuran la estrategia de defensa, cuyo reto no sólo es defender, sino detectar y responder frente a ataques que se pueden identificar basados en capacidades de analítica de datos, monitoreo permanente de alertas, análisis y firmas de otros incidentes, e información relevante consultada en el entorno. En este sentido, la efectividad de un equipo azul se mide en términos de su habilidad para descubrir ataques, contener los daños, remover las vulnerabilidades y asegurar la disponibilidad de las operaciones (Granasen & Andersson, 2016).

El equipo morado, por su parte permite maximizar las efectividad de los equipos rojo y azul, para lo cual conecta los patrones, vectores de ataque y vulnerabilidades aprovechadas por el equipo rojo con las alertas, monitoreo y análisis de comportamiento realizadas por el equipo azul, de tal forma que se tenga una visual integrada de los dos ejercicios de tal forma se puedan proponer e implementar medidas de seguridad y control costo/efectivas que aumenten la resistencia de la organización frente a nuevos ataques y disminuir los riesgos en este sentido (Dale, 2021).

Si vemos la dinámica de los tres equipos, se puede identificar que cada uno de ellos intrínsecamente sigue el discurso metodológico del atacante (ilustrado previamente), cada cual desde su perspectiva, lo que implica una mirada al adversario como base de las sugerencias de controles, como estrategia de defensa y como fundamento del ataque. El equipo morado, que para algunos debería ser la dinámica de coordinación entre los equipos rojo y azul (y no un equipo), tiene adicionalmente la función de comunicar los hallazgos y crear los canales de colaboración con los diferentes participantes de los ejercicios (Dale, 2021), sin embargo es una tarea que aún está en construcción en la práctica misma de su aplicación.

La práctica de “hacking ético” ahora desde esta simulación de ataque y defensa, contextualizada para cada organización adquiere una dimensión y transformación que pasa de un individuo especializado que cuenta con un conocimiento experto, al desarrollo y construcción de conocimiento de forma colectiva en equipos con tareas y objetivos específicos, que buscan recrear la dinámica de acción de los adversarios en un escenario más real, buscando no solo retar al modelo de seguridad y control de la organización, sino sugerir patrones de comportamiento y amenazas emergentes que pueden llegar a desestabilizar la organización y sus procesos de negocio.

Repensando la práctica de “hacking ético”: Más allá de las vulnerabilidades y vectores de ataque

Como se ha evidenciado las prácticas de hacking ético se concentran en encontrar vulnerabilidades y concretar vectores de ataque como estrategias básicas para navegar en la dinámica del atacante. Con el paso del tiempo, la automatización de la práctica ha llevado a la construcción de productos de software y de simulación que han permitido recrear estas acciones, manteniendo los pasos del adversario y aumentando la capacidad de proponer escenarios más allá de lo que pueden tener los profesionales que participan en este ejercicio.

De esta forma los “hackers éticos” son retados y tensionados por propuestas de herramientas basadas en algoritmos de inteligencia artificial, correlación avanzada de eventos, inteligencia de amenazas automatizada e inteligencia analítica de riesgos, las cuales permiten una base de operación enriquecida y aumentada para visualizar al adversario, sin perjuicio de los movimientos que siempre pueden pasar por debajo del radar de controles que se pueda tener en la organización.

En este sentido, se hace necesario incorporar actividades que generen mayor valor y exijan un análisis en profundidad de las acciones ejecutadas. Es el caso, de establecer el flujo de permisos que se tiene en el sistema analizado, de tal forma que se pueda tener un grafo de cómo es posible concretar el acceso, y no sólo cómo capitalizar la vulnerabilidad. Esto exige revisar y adaptar modelos formales como el “Take-Grant” (Lypton & Snyder, 1977), en el cual es posible modelar este tipo de flujos y así poder ilustrar a la organización dónde están los retos y cómo ajustarlos de tal forma que se hagan evidentes las acciones de remediación necesarias para aumentar la resistencia del sistema a un ataque.

Por otra parte, con los resultados que se tienen de las actividades realizadas por el “hacker ético” el reto que se tiene es comunicarlos y socializarlos. Este ejercicio debe ser un espacio de conversación y construcción colectiva que invite a los diferentes roles a analizar y revisar alcances de los hallazgos. En este sentido, el discurso metodológico SOCIA (Cano, 2020), puede apoyar este momento, dada la propuesta de vista simplificada desarrollada para modelar las acciones del adversario: Supuestos, Objetivos, Capacidades, Impactos y Aprendizajes, que permiten resumir y presentar de forma constructiva los hallazgos del proceso de “hacking ético”.

Para adelantar este ejercicio se proponen una serie preguntas básicas para motivar la reflexión y el diálogo acerca del contexto donde ha ocurrido el ataque, que se resumen a continuación: (Cano, 2020)

  • Supuestos:
    • Entorno: Interno/Externo  – ¿Dónde puede  estar ubicado el adversario: dentro o fuera?
    • Recursos: Accesos/Equipo  – ¿Tiene  accesos disponibles bien sea  físicos o  lógicos, y  cuenta con el  equipo necesario para lograr sus propósitos? •  Conocimiento: Alto/Medio/Bajo
    • ¿El  adversario cuenta con  los  conocimientos  técnicos  y  prácticos  requeridos  para concretar sus acciones no autorizadas?
  • Objetivos:
    • Motivación: ¿Por  qué?  –  ¿Cuál  es  la  motivación  del adversario para atacar a la organización?
    • Activo: ¿Qué tipo de datos? – ¿Qué tipo de datos pueden ser de su interés?
    • Monetización:  ¿Cuánto  puede  costar?  –  ¿Esta información se puede monetizar rápidamente en el mercado?
  • Capacidades:
    • Acción: Pasiva/Activa – ¿La actuación del adversario será pasiva o activa?
    • Plataforma:  Local/Ecosistema  –  ¿Sus  acciones  estarán apalancadas  localmente  o  con  apoyo  de  un  ecosistema público?
    • Afectación: Baja/Media/Alta  –  ¿El  nivel  de  afectación que puede generar es alto, medio o bajo?
  • Impactos
    • Negocio: Parcial/Total  –  ¿El  negocio  puede  sufrir afectaciones parciales o totales?
    • Procesos: Parcial/Total  –  ¿Los  procesos  pueden  ser afectados de forma parcial o total?
    • Infraestructura: Parcial/Total  –  ¿La  infraestructura  se puede comprometer parcial o totalmente?
  • Aprendizajes
    • Lecciones:  Aprendidas/por  aprender  –  Frente  a  un atacante con estas características, ¿qué lecciones por aprender tenemos?
    • Remediación:  Negocio/Proceso/Infraestructura  – ¿Tenemos claros cómo deben ser los procesos de contención y remediación del negocio, el proceso y la infraestructura?
    • Postura:  Defender/Anticipar  –  ¿Cómo  debe  cambiar  la postura de seguridad de la organización: defender o anticipar?

Cada ejercicio de “hacking ético” puede aprovechar el modelo SOCIA, no sólo para conectar rápidamente con los diferentes públicos interesados, sino transformarse en una estrategia para aumentar la conciencia situacional de la organización, que en últimas es uno de los retos más exigentes que se buscan con este tipo de ejercicios. Esto es:

  • Mejorar la percepción: que implica la identificación del tipo y el origen de un ataque, la conciencia de la calidad de la información y la comprensión de las capacidades, vulnerabilidades e intenciones de ambas partes.
  • Aumentar la comprensión: que se obtiene mediante la evaluación del impacto y el análisis de la causalidad de por qué y cómo suceden los acontecimientos.
  • Establecer una proyección: que es la capacidad de detectar cómo evoluciona la situación (Granasen & Andersson, 2016).

Romper con la inercia actual de los ejercicios tradicionales de “hacking ético”, requiere salir de la zona cómoda y conocida de las prácticas estandarizadas, y moverse a sitios inciertos guiados por las necesidades actuales de las organizaciones y las exigencias propias de los ejecutivos, que no buscan conocer los detalles técnicos, sino comprender en contexto y con claridad las implicaciones de estos ejercicios, y cómo incorporar las capacidades requeridas para navegar en el mar de inciertos e inestabilidades que propone el entorno digital.

Reflexiones finales

Según recientes reportes, el futuro de la seguridad/ciberseguridad se visualiza en la configuración y desarrollo de ecosistemas digitales (IDC, 2020) de defensa y ataque, como una manera de crear sinergias y alianzas estratégicas que permitan capitalizar habilidades y capacidades de los diferentes actores y participantes del entorno digital de los distintos sectores de negocio. Si bien, esta proyección, es un querer ser que aún se encuentra en desarrollo por los desafíos políticos, económicos y tecnológicos que implica una iniciativa como estas, no deja de ser un reto para los fines y evolución de las prácticas de “hacking ético”.

Si retomamos la visual de los “equipos tigre” y la conectamos con las dinámicas de los “equipos rojo, azul y morado”, se puede ver que buscan de forma equivalente retar el estado actual de las cosas; unos para sugerir alternativas no convencionales a retos exigentes y no comunes, y otros, para crear un espacio de oportunidad para capitalizar vulnerabilidades y constituir vectores de ataque para sorprender y retar los modelos de seguridad y control. En este sentido, se hace necesario profundizar en la mentalidad de los “equipos tigre” para complementar y potenciar los resultados de los ejercicios de “hacking ético”, para ir más allá de un resultado instrumental y sumar el reto mismo que tiene la organización para aumentar su nivel de seguridad y control.

En este sentido, incorporar y profundizar en el reto del flujo de los permisos en los sistemas evaluados y atacados, constituye una apuesta de valor para las organizaciones y los ejecutivos de seguridad, pues así pueden identificar mejor donde se encuentran o anidan posibles fuentes de vulnerabilidades y desde allí, hacer ajustes más estructurales sobre los sistemas, y no ver sólo los efectos que se producen luego de haber capitalizado el ataque y sus vulnerabilidades.

Si entendemos que los riesgos de ciberseguridad implican múltiples redes y lógicas integradas en una multiplicidad de dispositivos, incluidas las infraestructuras (Panda & Bower, 2020) lo que demanda reconocer sus propiedades sistémicas, emergentes y disruptivas (Cano, 2020b), es claro que el resultado de la materialización de este tipo de riesgos en las empresas, sugiere un alto nivel de comprensión y conocimiento que por lo general implica un lenguaje técnico y especializado que está disponible para un tipo de perfil formado en tecnologías de información y no necesariamente para aquellos que toman las decisiones.

En consecuencia, la presentación de los resultados de un ejercicio de “hacking ético”, debería contar con herramientas pedagógicas para la socialización de sus resultados, con el fin de aumentar la capacidad de comprensión de sus hallazgos. En este punto, apuestas metodológicas como SOCIA (Cano, 2020) pueden apoyar en este esfuerzo, comoquiera que buscan simplificar la abundante información que se obtiene luego de realizado el ejercicio de identificación de vulnerabilidades, desarrollo y despliegue del ataque. Si bien SOCIA no busca encasillar los resultados del ejercicio exigente que realiza el “hacker ético”, si aspira a ser la plataforma de diálogo que habilite un lenguaje de negocios, que entra en contacto con los logros del posible atacante, para desde allí, los perfiles no técnicos o de toma de decisiones, puedan concretar una postura seguridad consciente y tomar decisiones mejor informadas.

El “hacking ético” frente a las aceleradas evoluciones que presenta la tecnología, las nuevas demandas de las organizaciones para mantener una postura proactiva y documentada frente a los adversarios y la exigencia de transformación de los “estándares” declarados para su realización, deber salir de la orilla de sus productos tradicionales, y darse el espacio para “hackearse” así mismo en sus fundamentos, y desde allí construir la nueva frontera de esta práctica que sigue resultando de interés y valor para las organizaciones del siglo XXI.

Referencias

Cano, J. (2020). Modelo SOCIA. Una reflexión conceptual y práctica desde la perspectiva del adversario. Actas X Congreso Iberoamericano de Seguridad Informática 2020. Universidad Politécnica de Madrid – Universidad del Rosario. Enero. https://doi.org/10.12804/si9789587844337.09

Cano, J. (2020b). Repensando la práctica de la seguridad y la ciberseguridad en las organizaciones. Una revisión sistémico-cibernética. Global Strategy Report 58. https://global-strategy.org/repensando-la-practica-de-la-seguridad-y-la-ciberseguridad-en-las-organizaciones-una-revision-sistemico-cibernetica/

Cano, J. (2021). Ciberseguridad empresarial. Reflexiones y retos para los ejecutivos del siglo XXI. Bogotá, Colombia: Lemoine Editores.

Caron, F. (2019). Obtaining reasonable assurance on cyber resilience. Managerial Auditing Journal. https://doi.org/10.1108/MAJ-11-2017-1690

Dale, C. (2021). Red, Blue and Purple Teams: Combining Your Security Capabilities for the Best Outcome. Information Security Reading Room. Sans Institute. https://www.sans.org/reading-room/whitepapers/analyst/red-blue-purple-teams-combining-security-capabilities-outcome-39190

Dempsey, J. R., Davis, W. A., Crossfield, A. S. & Williams, W. (1964). Program Management in Design and Development. Third Annual Aerospace Reliability and Maintainability Conference, Society of Automotive Engineers. p. 7–8

Granasen, M. & Andersson, D. (2016). Measuring team effectiveness in cyber-defense exercises: a cross-disciplinary case study. Cognition, Technology and Work. 18(1). pp. 121-143.

IDC (2020). The Future of Industry Ecosystems: Built on the Platform and Sharing Economy. Blog IDC. https://blogs.idc.com/2020/09/23/the-future-of-industry-ecosystems-built-on-the-platform-and-sharing-economy/ 

Lockheed Martin (2015) Gaining the ad-vantage. Applying Cyber Kill Chain® Methodology to Network Defense. Recuperado de: https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/Gaining_the_Advantage_Cyber_Kill_Chain.pdf

Lucidchart (s.f.) Understanding the tiger team approach. https://www.lucidchart.com/blog/what-is-a-tiger-team

Lypton, R. & Snyder, L. (1977). A Linear Time Algorithm for Deciding Subject Security. Journal of the Association for Computing Machinery. 24(3). July. pp. 455-464. https://www.cs.nmt.edu/~doshin/t/s06/cs589/pub/2.JLS-TG.pdf

Oakley, J. G. (2019). Professional Red Teaming. Conducting Successful Cybersecurity Engagements. Berkeley, CA. USA: Apress.

Osterman Reseach (2020). Cyber Crisis Response: Fit for Today’s Threat Landscape? Sponsored by Immersive Labs. https://www.immersivelabs.com/osterman-report-cyber-crisis-response/

OWASP(s.f.). OWASP top ten. OWASP foundation. https://owasp.org/www-project-top-ten/

Panda, A. & Bower, A. (2020). Cyber security and the disaster resilience framework. International Journal of Disaster Resilience in the Built Environment. doi:10.1108/ijdrbe-07-2019-0046

Walker, M. (2019). CEH Certified Ethical Hacker All-in-One Exam Guide. Fourth Edition. New York, USA: MacGraw Hill.


Editado por: Global Strategy. Lugar de edición: Granada (España). ISSN 2695-8937

Jeimy Cano

Profesor Universitario y Consultor Internacional en Ciberseguridad y Ciberdefensa. Ph.D en Administración y Ph.D en Educación. Docente en varios posgrados en seguridad de la información, ciberseguridad y cibercrimen en Colombia.

Ver todos los artículos
Jeimy Cano