Despliegue automatizado de infraestructuras virtuales de soporte para entornos de ciberseguridad

Abstract

[ES] Actualmente, en los equipos de ciberseguridad de las empresas podemos encontrar tres grupos bien diferenciados: Blue Team, Red Team y Purple Team. El equipo Blue Team se dedica a tareas meramente de defensa, gestión de incidentes y forense. El equipo Red Team se dedica a tareas con un componente ofensivo mayor: realizar pruebas de penetración, auditorías a webs, auditorías a aplicaciones y a cualquier otro tipo de activo digital en general. Por último, el equipo Purple Team nació de la necesidad actual de equipos que reúnan características tanto de defensa como de ataque, siendo así mucho más polivalentes y versátiles. Cabe destacar que la presencia de este último grupo no es muy extendida en la actualidad, pero crece día tras día. Independientemente del equipo de ciberseguridad del que estemos hablando, en su dinámica de trabajo se encuentran a menudo con varios problemas generalizados. En primer lugar, los equipos tienen que realizar ellos mismos las instalaciones de los programas, servicios y sistemas que necesitan, aunque lo más indicado sería que las correspondientes configuraciones e implantaciones las realizara de forma segura e independiente un arquitecto de ciberseguridad. Y, en segundo lugar, dada la imperiosa necesidad actual de disponer de dispositivos con grandes capacidades de cómputo para descifrar hashes u otro tipo de tareas, y teniendo en cuenta la crisis actual de semiconductores que estamos sufriendo, cuesta encontrar equipos adecuados con los que los equipos de ciberseguridad puedan trabajar. Por un lado, los dispositivos hardware necesarios presentan un elevado coste que, dependiendo de su envergadura, la empresa puede no estar dispuesta a asumir. Y, por otro, incluso si la empresa se decide a adquirirlos, estos equipos suelen tener periodos de entrega de más de medio año, e incluso de un año en ciertos casos, un tiempo inasumible en un momento donde los ataques cibernéticos no paran de crecer. En este contexto, el objetivo de este trabajo de fin de grado se centra en crear una infraestructura en la nube bajo demanda, segura y aprovisionada para equipos de ciberseguridad, concretamente para equipos de tipo Red Team. Esta infraestructura ofrecerá al equipo las herramientas y servicios que un ingeniero de ciberseguridad necesita en su día a día. La infraestructura utilizará tecnologías como Google Cloud, Kubernetes, Docker, o Terraform, entre otras, para ofrecer una infraestructura ajustada a las necesidades de cada equipo y que pueda desplegarse de manera automatizada y desatendida, siguiendo la estrategia conocida como Infrastructure as Code (IaC, infraestructura como código). Este trabajo incluirá también el desarrollo de una interfaz web securizada para que de manera sencilla el equipo pueda seleccionar qué herramientas necesita desplegar en cada uno de sus proyectos.

[EN] Nowadays, there are three groups within corporate cybersecurity teams: Blue Team, Red Team and Purple Team. The Blue Team is dedicated to purely defensive tasks, incident management and forensics. The Red Team is dedicated to tasks with a greater offensive component: performing penetration tests, web audits, application audits and others. Finally, the Purple Team was born out of the current need for teams that combine both defence and attack characteristics, making them much more versatile and multi-purpose. It should be noted that the presence of the latter group is not very widespread at present, but it is growing day by day. Regardless of which cybersecurity team we are talking about, they often encounter several generalised problems in their work dynamics. Firstly, the teams have to install the software, services and systems they need themselves, although it would be best if the corresponding configurations and implementations were carried out securely and independently by a cyber security architect. And secondly, given the current imperative need for devices with large computational capabilities for decrypting hashes or other tasks, and given the current semiconductor crisis we are experiencing, it is difficult to find suitable equipment for cybersecurity teams to work with. On the one hand, the necessary hardware devices are expensive and, depending on their size, the company may not be willing to pay for them. On the other hand, even if the company decides to purchase them, these devices often have delivery times of more than half a year, and even a year in some cases, which is unacceptable at a time when cyberattacks are on the increase. In this context, the objective of this final degree project focuses on creating an on-demand, secure and provisioned cloud infrastructure for cybersecurity teams, specifically for Red Team type teams. This infrastructure will provide the team with the tools and services that a cybersecurity engineer needs daily. The infrastructure will use technologies such as Google Cloud, Kubernetes, Docker, or Terraform, among others, to offer an infrastructure tailored to the needs of each team and that can be deployed in an automated and unattended way, following the strategy known as Infrastructure as Code (IaC). This work will also include the development of a secure web interface so that the team can easily select which tools they need to deploy in each of their projects.