Rojo vs. Azul vs. Equipo morado

CyberStart
CyberStart

Follow

21 de mayo, 2019 – 4 min read

Cuando se trata de roles de ciberseguridad, tienden a caer en tres «equipos» de colores. Aquí diseccionamos las funciones de cada uno, las habilidades que se necesitan y la forma en que cada equipo interactúa con los demás.

¡Nos movemos! Ven y encuéntranos en www.cyberstart.com/blog donde encontrarás aún más consejos, trucos y apoyo del sector. Nos vemos allí!

Equipo Rojo

Atacar redes y encontrar las vulnerabilidades; los roles del equipo rojo son contratados para simular a un hacker que intenta entrar en una aplicación, ya sea basada en la web, instalada en un ordenador o en un teléfono móvil.

Rol principal: Un ‘hacker’ llamado Penetration Tester.

Estilo de trabajo: Los expertos de los equipos rojos suelen ser freelance y son contratados por la empresa objetivo para probar sus defensas (que son creadas por el equipo azul).
Sin embargo, algunas empresas tienen equipos rojos internos para probar sus redes y sugerir cómo mejorarlas.

Objetivos principales:
– Comprometer la seguridad del sistema objetivo
– Explotar bugs y vulnerabilidades
– Evaluar las capacidades defensivas del equipo azul (y evitar su detección)

Cómo: Los equipos rojos trabajan a partir del reconocimiento inicial y la inteligencia de fuente abierta (OSINT) para recopilar información en torno al objetivo e identificar posibles áreas de debilidad.
Luego utilizan esto para atacar o aplicar tácticas de ingeniería social (como phishing, pretexting, baiting o quid pro quo) para manipular a los empleados y obtener más información para acceder a la red.
También crean señuelos para despistar al equipo azul.
Los ataques del equipo rojo también pueden ser físicos. Los equipos rojos podrían obtener acceso a la ubicación física de la infraestructura de un cliente (por medio del tailgating u otros medios) y ver hasta dónde pueden llegar.

Equipo azul

Si tienes atacantes, también tienes defensores. El equipo azul se encarga de establecer una infraestructura de red segura y de supervisarla, respondiendo a cualquier ataque.

Función principal: Analistas de seguridad dentro de su propio Centro de Operaciones de Seguridad (SOC)

Estilo de trabajo: Los equipos azules suelen trabajar dentro de las organizaciones, como Analistas de Seguridad dentro de su propio SOC. Aunque las empresas pueden subcontratar a los equipos azules, esto presenta sus propios desafíos y limitaciones, incluso si en la superficie se ahorra dinero.

Objetivos principales:
– Defender con éxito un sistema
– Detectar, oponerse y limitar al equipo rojo / un hacker externo
– Entender los incidentes y cómo responder
– Notar el tráfico sospechoso
– Analizar y llevar a cabo pruebas forenses a través de diferentes medios
– Investigar los «actores de amenazas» u operaciones actuales y aplicar sus conocimientos

Cómo: Los equipos azules requieren muchas habilidades para defender con éxito un sistema. Tienen que ser capaces de asumir un papel de SOC (Centro de Operaciones de Seguridad), centrado en el análisis forense, cubrir unidades de respuesta a incidentes y trabajar con sistemas de gestión de información y eventos de seguridad (SIEM). También deben ser capaces de investigar la inteligencia de amenazas (normalmente indicadores de compromiso), aplicándola a sus redes a través de las reglas del sistema SIEM o de otros dispositivos basados en reglas como los sistemas de detección de intrusiones o de prevención de intrusiones (IDS/IPS).

Las principales actividades del día a día incluyen la realización de análisis de tráfico y análisis de datos, el análisis y la revisión de los datos de registro, el uso de SIEMS para la detección de intrusiones en vivo y la visibilidad de la red, y la creación de reglas personalizadas dentro de estos SIEMS para detectar mejor a los actuales actores de amenazas maliciosas.

El equipo púrpura es un nuevo enfoque conjunto; una combinación de los equipos azul y rojo que se sientan en el centro de cada equipo.

Función principal: Los miembros del equipo púrpura supervisan y optimizan los equipos rojo y azul para establecer mayores canales de comunicación y así poder fomentar una cultura más colaborativa.

Estilo de trabajo: El equipo púrpura suele estar formado por analistas de seguridad sénior, analistas de inteligencia de amenazas o altos directivos de una organización. El equipo púrpura trabaja junto a los equipos rojo y azul para identificar los puntos débiles y sugerir mejoras en el funcionamiento interior de ambos equipos.

Objetivos principales:
– Fomentar la colaboración entre el equipo rojo y el azul
– Trabajar junto a los equipos rojo y azul para identificar debilidades
– Sugerir mejoras en el funcionamiento interior de ambos equipos
– Asegurar la máxima entrega y resultados de ambos equipos de forma colectiva

Cómo: El equipo púrpura se basa en la eficacia de los equipos rojo y azul, así como en su potencial de colaboración, mejorando sus controles de seguridad y maximizando las capacidades cibernéticas de las organizaciones.

Los equipos púrpuras supervisan estas mejoras. Por ejemplo, si un probador de penetración quiere decirle a un analista de seguridad cómo actualizar una regla SIEM para detectar un nuevo adversario, el equipo púrpura se asegurará de que esta tarea se lleve a cabo con éxito.

En última instancia, el equipo púrpura asegura la máxima entrega y los resultados de los equipos rojo y azul colectivamente. Los equipos púrpura resuelven rompecabezas, asegurándose de que una empresa sea lo más cibersegura posible.

Ahora que sabes lo que hace cada equipo, ¿a cuál te gustaría pertenecer?