Martes, 07 enero 2020

Red Team, Blue Team y Purple Team, ¿cuáles son sus funciones y diferencias?

Red team, Blue team y Purple team, ¿sabes qué son y cómo ayudan a mejorar la seguridad informática? En UNIR abordamos sus funciones y objetivos.

Cuando hablamos de seguridad informática y protección de datos entran en juego dos equipos fundamentales: los Read Team y los Blue Team. Ambos realizan un trabajo complementario para detectar vulnerabilidades, prevenir ataques informáticos y emular escenarios de amenaza. A estos dos equipos hay que añadirles un tercero: el Purple Team. Descubre con UNIR las funciones y diferencias del Red Team, el Blue Team y el Purple Team.

Red Team

Los miembros del Red Team (seguridad ofensiva) se confunden habitualmente con los pentesters, pero no son lo mismo, aunque hay una cierta superposición entre las funciones y habilidades de unos y otros. 

Funciones del red team

Los Red Teams emulan a los atacantes, utilizando sus mismas herramientas o similares, explotando las vulnerabilidades de seguridad de los sistemas y/o aplicaciones (exploits), técnicas de pivoting (saltar de una máquina a otra) y objetivos (sistemas y/o aplicaciones) de la organización.

El Red Team realiza un proceso de emulación de escenarios de amenazas a los que se puede enfrentar una organización, analizando la seguridad desde el punto de vista de los atacantes, para dar al equipo de seguridad (Blue Team) la posibilidad de defenderse de forma controlada y constructiva de ataques, mientras que los pentesters realizan un proceso de intrusión con técnicas de pivoting, ingeniería social y otras pruebas de hacking y que finaliza con un informe en el que se identifican vulnerabilidades.

Por lo tanto, el Red Team es un entrenamiento para el Blue Team donde se evalúa la capacidad real que tiene una organización para proteger sus activos críticos y sus capacidades de detección y respuesta considerando tanto el plano tecnológico, como el de procesos y el humano. ¿Qué aporta más valor, un informe de vulnerabilidades o que el Blue Team sepa cómo reaccionar ante un ataque?

Blue Team

Blue Team (seguridad defensiva): es el equipo de seguridad que defiende a las organizaciones de ataques de una manera proactiva.

Funciones del blue team

  • – Realizan una vigilancia constante, analizando patrones y comportamientos que se salen de lo común tanto a nivel de sistemas y aplicaciones como de las personas, en lo relativo a la seguridad de la información.
  • – Trabajan en la mejora continua de la seguridad, rastreando incidentes de ciberseguridad, analizando los sistemas y aplicaciones para identificar fallos y/o vulnerabilidades y verificando la efectividad de las medidas de seguridad de la organización. 

Por lo tanto, el principal objetivo del Blue Team es realizar evaluaciones de las distintas amenazas que puedan afectar a las organizaciones, monitorizar (red, sistemas, etc.) y recomendar planes de actuación para mitigar los riesgos. Además, en casos de incidentes, realizan las tareas de respuesta, incluyendo análisis de forense de las máquinas afectadas, trazabilidad de los vectores de ataque, propuesta de soluciones y establecimiento de medidas de detección para futuros casos.

Purple Team

Los equipos morados (Purple Team) existen para asegurar y maximizar la efectividad de los equipos rojo y azul. Lo hacen integrando las tácticas y controles defensivos del Blue Team con las amenazas y vulnerabilidades encontradas por el Red Team. Idealmente, no debería ser un equipo, sino una dinámica de cooperación entre los equipos rojo y azul.

Funciones del purple team

El principal objetivo de un equipo violeta es gestionar la seguridad de los activos de la organización, realizar pruebas para comprobar la eficacia de los mecanismos y procedimientos de seguridad y definir/desarrollar controles de seguridad adicionales para disminuir el riesgo de la organización. El equipo violeta como tal tiene sentido en organizaciones pequeñas donde debido a restricciones -como por ejemplo presupuesto insuficiente- no pueden soportar la existencia de un Red Team y un Blue Team independientes.

Tanto para empresas como instituciones es fundamental implementar controles de seguridad para minimizar los riesgos de un ataque cibernético y proteger los datos que manejan.