Red Team vs Blue Team vs Purple Team.
PUBLICADO EN 6 SEPTIEMBRE, 2021 POR EHACKING
Existe cierta confusión sobre las definiciones de los equipos ROJO, AZUL y PÚRPURA dentro de la seguridad de la información. Aquí están mis definiciones y conceptos asociados con ellos.
Los Red Team son entidades internas o externas dedicadas a probar la efectividad de un programa de seguridad emulando las herramientas y técnicas de posibles atacantes de la manera más realista posible. La práctica es similar, pero no idéntica, a las pruebas de penetración e implica la búsqueda de uno o más objetivos, generalmente ejecutados como una campaña.
Los Blue Team se refieren al equipo de seguridad interno que defiende tanto de los atacantes reales como de los red team. Los Blue Teams deben distinguirse de los equipos de seguridad estándar en la mayoría de las organizaciones, ya que la mayoría de los equipos de operaciones de seguridad no tienen una mentalidad de vigilancia constante contra los ataques, que es la misión y la perspectiva de un verdadero Blue Team.
Los Purple Team existen para asegurar y maximizar la efectividad de los equipos Rojo y Azul. Lo hacen integrando las tácticas defensivas y los controles del Equipo Azul con las amenazas y vulnerabilidades encontradas por el Equipo Rojo en una sola narrativa que maximiza ambos. Idealmente, Purple no debería ser un equipo en absoluto, sino una dinámica permanente entre Red y Blue.
Red Team
Los equipos rojos se confunden con mayor frecuencia con los pentesters, pero aunque tienen una superposición enorme en habilidades y funciones, no son lo mismo. Los equipos rojos tienen una serie de atributos que los separan de otros equipos de seguridad ofensivos. Los más importantes entre ellos son:
- Emulación de los TTP utilizados por los adversarios y que el objetivo probablemente deberá enfrentar, por ejemplo, utilizando herramientas, exploits, metodologías de pivots y objetivos similares como un actor de amenaza determinado.
- Pruebas basadas en campañas que se ejecutan durante un período de tiempo prolongado, por ejemplo, varias semanas o meses para emular al mismo atacante.
Si un equipo de seguridad utiliza herramientas de pentesting estándar, ejecuta sus pruebas durante solo una o dos semanas y está tratando de lograr un conjunto estándar de objetivos, como ingresar a la red interna, robar datos o obtener un administrador de dominio, entonces eso es un pentest y no un compromiso de un Red Team. Los compromisos del red team utilizan un conjunto personalizado de TTP y objetivos durante un período de tiempo prolongado.
Los equipos rojos no solo prueban las vulnerabilidades, sino que lo hacen utilizando los TTP de sus posibles actores de amenazas y en campañas que se ejecutan de forma continua durante un período de tiempo prolongado.
Existe un debate sobre este punto dentro de la comunidad. Por supuesto, es posible crear una campaña de Red Team que use los mejores TTP conocidos y una combinación de herramientas, técnicas y objetivos comunes de pentesting, y ejecutarlo como una campaña, modelando un adversario pentester. Pero, la forma más pura de una campaña del Equipo Rojo emula los TTP de un actor de amenazas específico, que no necesariamente será lo mismo que si el Equipo Rojo se estuviera atacando a sí mismo.
Blue Team
El objetivo aquí no es el control de la puerta, sino más bien el fomento de la curiosidad y una mentalidad proactiva. Los Blue Teams son los defensores proactivos de una empresa desde el punto de vista de la ciberseguridad.
Hay una serie de tareas de InfoSec orientadas a la defensa que no se consideran en general dignas de un equipo azul, por ejemplo, un analista de nivel 1 de SOC que no tiene entrenamiento o interés en técnicas ofensivas, sin curiosidad por lo que está buscando y falta de creatividad en el seguimiento de posibles alertas.
Todos los equipos azules son defensores, pero no todos los defensores forman parte de un equipo azul. Lo que diferencia a un Equipo Azul frente a hacer cosas defensivas es la mentalidad:
- Una mentalidad proactiva versus reactiva.
- Curiosidad sin fin por las cosas fuera de lo común.
- Mejora continua en detección y respuesta.
No se trata de si alguien es un analista de SOC de primer nivel autodidacta o un ex miembro de Red Teamer de Carnegie Mellon. Se trata de curiosidad y deseo de mejorar constantemente.
Purple Team
Purple es una mentalidad cooperativa entre atacantes y defensores que trabajan del mismo lado. Como tal, debe considerarse como una función más que como un equipo dedicado.
El verdadero propósito de un Equipo Rojo es encontrar formas de mejorar el Equipo Azul, por lo que los Equipos Púrpura no deberían ser necesarios en organizaciones donde la interacción Equipo Rojo / Equipo Azul es saludable y funciona correctamente.
Los mejores usos del término son aquellos en los que cualquier grupo que no esté familiarizado con las técnicas ofensivas quiera aprender cómo piensan los atacantes. Podría ser un grupo de respuesta a incidentes, un grupo de detección, un grupo de desarrolladores, lo que sea. Si los buenos están tratando de aprender de los atacantes, eso puede considerarse un ejercicio del Equipo Púrpura.