A la hora de blindar una empresa o una institución de incursiones de actores de amenazas es importante saber por dónde pueden venir los ataques y resulta necesario poner a prueba los sistemas de seguridad, con el fin de mejorarlos y evitar potenciales incidentes.
Para ello, muchas organizaciones llevan a cabo ejercicios de simulación con profesionales de ciberseguridad que se ponen el rol bien de atacantes o bien de defensores.
Un ejercicio que se lleva a cabo con cierta frecuencia es el del Red Team/Blue Team. Mientras el primero está formado por expertos en seguridad ofensiva que tratan de tirar por tierra las defensa de ciberseguridad de una organización, el segundo se pone el gorro de 'protector' y responde al ataque del equipo rojo.
Generalmente el Red Team usa tácticas reales de combates de adversarios buscando comprometer el entorno, mientras el Blue Team consta de personal de respuesta a incidentes que trabaja dentro de la unidad de seguridad para identificar, evaluar y responder la intrusión, según explica un post de Crowdstrike.
Este simulacro va más allá de una mera 'partida de ajedrez' por la ciberseguridad de la compañía y ha sido diseñado partiendo de ejercicios de entrenamiento militar, con atacantes y defensores altamente capacitados.
Generalmente no hay más de 5 personas en puestos clave para comprobar las actividades de detección y respuesta de la organización.
¿Cuáles son las funciones del Red Team?
Los miembros del Red Team son especialistas en seguridad ofensiva y practican hacking ético para encontrar brechas de seguridad y avisar a las compañías y organismos de su existencia. Imitan a los adversarios, así como las técnicas que estos utilizan.
Suelen utilizar herramientas como los tests de penetración, el black box testing, la ingeniería social y el web app scanning, para llevar a cabo sus simulaciones de ataques.
Una vez finalizados sus ejercicios proporcionan un informe detallado, determinando el grado de vulnerabilidad de la compañía, y ofrecen sugerencias de mejoras.
¿Qué hace exactamente el BlueTeam?
Los defensores de este binomio protegen los sistemas, detectan los ataques, responden a incidentes y se encargan de la recuperación de brechas de seguridad. Analizan patrones y comportamientos de forma continua y proactiva.
Suelen servirse de medidas preventivas, pero también detectar actividades sospechosas y responder directamente a incidentes de seguridad. Para ello, se sirven de firewalls, IDS/IPS, SIEM, gestión de parches, etc.
Entre sus objetivos está la monitorización de la seguridad, la implementación de controles y la respuesta a incidentes.
¿Por qué hay un Purple Team?
De la intersección entre ambos equipos surge el conocido como 'Purple Team'. Es la máxima expresión entre la colaboración de la parte ofensiva y la defensiva. Este equipo morado se materializa cuando un Red Team y un Blue Team trabajan al unísono.
A veces las empresas cuando hacen un ejercicio de Red Team/Blue Team tiran de recursos externos que no cooperan plenamente con los equipos de seguridad internos.