Aprendizaje y descubrimiento 5min de Leitura - 20 de octubre de 2022

La diferencia entre Red, Blue y Purple team

purple blue e red team

This post is also available in: Português Español

Para analizar el poder real que tiene una empresa a la hora de defenderse de las constantes ciberamenazas, cada vez es más habitual contratar un servicio conocido como Red Team & Blue Team. Al fin y al cabo, es como una simulación en condiciones reales de defensa y ataque, en la que existe el rojo para atacar y el azul para defender. La idea es fortalecer la seguridad de la empresa aprendiendo de cada “batalla” entre los equipos. También está el Purple Team, Equipo Púrpura, que se usa de forma opcional para apoyar el proceso.

Poner a estos equipos en acción puede resultar en muchos beneficios, ya que le brinda la oportunidad de desafiar de manera realista, las defensas de la empresa, de la misma manera que lo haría un ciberdelincuente. Es una excelente manera de saber si la empresa es segura.

En este contexto, un equipo rojo suele ser independiente y, en la mayoría de los casos, subcontratado para probar sus defensas. El equipo está compuesto por hackers éticos calificados, cuyo objetivo es identificar y explotar de forma segura vulnerabilidades en la estructura física y lógica de la empresa.

Al imitar amenazas sofisticadas del mundo real, el ejercicio es muy realista. Un equipo rojo implementa herramientas y técnicas de piratería diseñadas para eludir los marcos de seguridad implementados en la empresa. Esto puede extenderse al desarrollo de su propio malware y la creación de nuevas metodologías, tal como lo harían los crackers.

Los pentests convencionales implementan técnicas más fáciles de detectar, como los escáneres de vulnerabilidades, para identificar fallas de seguridad. Sin embargo, el equipo rojo es sigiloso y hará todo lo posible para evitar ser detectado.

Pentest
Algunos gerentes pueden estar seguros de que sus sistemas son difíciles de penetrar, ya que cuentan con una variedad de medidas de seguridad sólidas. Pero un equipo rojo solo necesita encontrar el eslabón más débil para abrirse camino. Esto podría incluir técnicas de spear phishingo replicar los servicios externos del objetivo en un laboratorio para encontrar exploits de día zero.

Así que para el equipo rojo todo vale. Hay casos en los que un miembro del equipo incluso intenta acceder físicamente a la empresa, utilizando técnicas de ingeniería social, para identificar fallas de procedimiento e intentar acceder a estructuras críticas de la empresa.

Como tal, los objetivos y deberes del equipo rojo incluyen:

  • Comprometer la seguridad del objetivo extrayendo información, infiltrándose en sus sistemas o violando sus perímetros físicos.
  • Evita ser detectado por el equipo azul. Muchos ataques ocurren en un corto período de tiempo, lo que hace que sea extremadamente difícil para el equipo azul neutralizar la amenaza antes de que se produzca el daño.
  • Explotar errores y debilidades en la infraestructura del objetivo. Esto destaca las brechas en la seguridad de la organización que deben abordarse, mejorando así su postura de protección.
  • Iniciar actividades hostiles, incluidas pruebas de penetración sofisticadas, que brindan una evaluación confiable de las capacidades defensivas del equipo azul.

Los métodos del equipo rojo incluyen:

  • Reconocimiento inicial, evaluación de inteligencia de código abierto (OSINT) para recopilar información sobre el objetivo.
  • Implementar servidores de mando y control (C&C ou C2) para establecer comunicación con la red de destino.
  • Usa señuelos para burlar al equipo azul.
  • Aplicar técnicas de ingeniería social y phishing para manipular a los empleados para que expongan o revelen información que podría comprometer los sistemas.
  • Tests de penetración física y digital.

Blue Team

Un equipo azul es el propio personal de ciberseguridad de una empresa, generalmente dentro de un Centro de operaciones de seguridad (SOC). El SOC está formado por analistas altamente capacitados que trabajan en la defensa y mejora de las defensas de su empresa las 24 horas del día.

Por lo tanto, se espera que el equipo azul detecte y debilite las acciones del equipo rojo. El escenario de ataque simulado está diseñado para perfeccionar sus habilidades, preparándolos para peligrosos ataques en el mundo real.

Muchas de las amenazas actuales, como el malware y los correos electrónicos de e-mails de phishing, serán detenidas por herramientas automatizadas en el perímetro de la red. Por ejemplo, productos de seguridad para endpoints y plataformas de detección de amenazas. El SOC o equipo azul agrega inteligencia humana vital a las herramientas y tecnologías, siendo proactivo y reactivo según se presente la ocasión.

El equipo azul detectará y neutralizará los ataques más sofisticados y monitoreará de cerca las amenazas actuales y emergentes para defender la empresa de manera preventiva.

Los objetivos y deberes del equipo azul incluyen:

  • Comprender todas las fases de un incidente y responda en consecuencia.
  • Percibir patrones de tráfico sospechosos e identifique indicadores de compromiso.
  • Desmantelar rápidamente cualquier forma de compromiso.
  • Identificar los servidores de comando y control (C&C o C2) de los actores del equipo rojo, bloqueando su conectividad con el objetivo.
  • Realizar análisis y pruebas forenses en los diferentes sistemas operativos de su empresa, incluido el uso de sistemas de terceros.

Los métodos del equipo azul incluyen:

  • Revisar y analizar los datos de registro.
  • Utilizar una plataforma de gestión de eventos e información de seguridad(SIEM) para la detección y visibilidad de intrusos «en vivo» y para la clasificación de alertas en tiempo real.
  • Recopilar nueva información de inteligencia sobre amenazas y priorizar las acciones apropiadas en el contexto de los riesgos.
  • Realización de análisis de tráfico y flujo de datos.

Purple team

Al mezclar pinturas azules y rojas, el resultado es un color púrpura – “púrpura”, en inglés. Es decir, el purple team tiene miembros del red team y do blue team..

En este contexto, es importante tener en cuenta que el equipo morado no es un equipo distinto, sino una mezcla de miembros del equipo rojo y miembros del equipo azul. El equipo morado se concibió como un circuito de retroalimentación entre los equipos rojo y azul, y se benefició de sutiles matices en su enfoque para ser más efectivo.

Por tanto, tiene un papel transitorio para supervisar y optimizar el ejercicio del conjunto rojiazul. Es entonces un enfoque de ciberseguridad que permite a ambos equipos compartir datos de seguridad, con retroalimentación en tiempo real, para inspirar una postura de seguridad más sólida.

El equipo morado puede verse más como un concepto que como una función. Luego lleva al equipo rojo a probar y apuntar a elementos específicos de las capacidades de detección y defensa del equipo azul.

Este enfoque ayuda a desarrollar y mejorar los equipos. Los azules tienen más conocimientos sobre cómo priorizar, medir y mejorar su capacidad para detectar y defenderse de amenazas y ataques, y los rojos obtienen información de la industria sobre las tecnologías y los mecanismos utilizados en la defensa.

Los objetivos y deberes del equipo morado incluyen:

  • Trabajar junto con los equipos rojo y azul, revisando cómo trabajan juntos y recomendando los ajustes necesarios para el ejercicio actual, o anótelos para el futuro.
  • Ver el panorama general y asuma la mentalidad y las responsabilidades de ambos equipos. Por ejemplo, un miembro del equipo morado trabajará con el equipo azul para revisar cómo se detectan los eventos. El miembro del equipo luego cambiará al equipo rojo para abordar cómo se pueden corromper las capacidades de detección del equipo azul.
  • Revisar los resultados y supervisar las acciones correctivas necesarias, que incluyen la remediación de vulnerabilidades y capacitación en concientización cibernética para los empleados

La presencia del Equipo Púrpura da como resultado la creación de una postura de seguridad más saludable para la empresa. Al hacer uso de la comunicación constante entre los equipos, con pruebas de penetración periódicas, gestión de vulnerabilidades y desarrollo de infraestructura y políticas de seguridad mejoradas, las empresas hacen todo lo posible contra una violación de datos real, que tarde o temprano vendrá.

This post is also available in: Português Español