EQUIPO PÚRPURA

¿Qué es el equipo rojo?

En lugar de centrarse únicamente en presentar vulnerabilidades explotables a un equipo de seguridad, los equipos rojos tradicionalmente se han centrado en lograr objetivos definidos. Actúan activamente como atacantes, llevando a cabo técnicas ofensivas de seguridad para alcanzar la meta u objetivo establecido. Normalmente, los equipos rojos solo necesitan identificar una forma de lograr el objetivo. No se espera que iteren a través de todas las posibles combinaciones para determinar todas las rutas posibles para alcanzar el objetivo.

En compromisos sofisticados de pruebas de penetración, los profesionales de seguridad a menudo realizan ejercicios de equipo rojo para ofrecer evaluaciones basadas en objetivos de una organización. Por ejemplo, un objetivo podría ser determinar si un atacante externo sofisticado podría obtener acceso a un sistema de base de datos interno y extraer un conjunto específico de registros sensibles. En este caso, el equipo rojo simularía una amenaza externa y determinaría si pueden encontrar una serie de vulnerabilidades explotables que les permitan extraer datos sensibles de la base de datos objetivo.

¿Qué es el equipo azul?

El equipo azul es el equipo defensor. Deben defenderse contra cada ataque lanzado por el equipo rojo. Para que el equipo azul sea efectivo, deben poder defenderse contra todos los ataques, todo el tiempo. Los equipos azules necesitan acceso a datos de registro, datos de SIEM, datos de inteligencia de amenazas y datos de captura de tráfico de red. El equipo azul necesita poder analizar vastas cantidades de datos e inteligencia para detectar la aguja en el pajar.

La necesidad del equipo púrpura

Existe un reconocimiento creciente de que los equipos rojos y azules deben trabajar juntos, creando así un equipo púrpura. Este equipo púrpura no es necesariamente un «equipo especializado supremo» nuevo, sino más bien una combinación de miembros existentes del equipo rojo y azul que se unen. Podría considerarse más como un proceso (que involucra a los equipos rojo y azul juntos), en lugar de ser un equipo único en sí mismo.

El equipo rojo debería realizar evaluaciones basadas en objetivos que imiten a actores de amenazas conocidos y cuantificables. Como parte de este proceso, se deben conocer las tácticas, técnicas y procedimientos (TTP) del actor de amenazas.

El equipo azul debe familiarizarse con estos TTP y construir y configurar su capacidad de detección y respuesta de acuerdo con estos enfoques conocidos. Por ejemplo, si se sabe que un actor de amenazas utiliza spear-phishing como parte de una campaña, el equipo azul debe asegurarse de tener la capacidad de detectar y responder a la actividad de spear-phishing. No sirve de nada confiar en la tecnología SIEM con la esperanza de que le alerte sobre una campaña de spear-phishing si los servidores de correo y los retransmisores no están configurados para registrar o alertar sobre tipos específicos de contenido de correo.

Si se sabe que un grupo de amenazas está intentando extraer datos sensibles de una industria o segmento de mercado específico, el equipo rojo debería intentar simular este tipo de actividad. Como enfoque, esto podría resultar en que el equipo rojo comprometa un host de usuario final, con la intención de reutilizar sus credenciales para lanzar campañas adicionales de recopilación de información en la infraestructura de la red interna.

El objetivo final del equipo rojo podría ser escalar sus credenciales para acceder a una base de datos central antes de exfiltrar tráfico a través de un protocolo basado en web hacia un proveedor de servicios en la nube. El equipo azul necesita contar con herramientas y técnicas que le permitan detectar este tipo de tráfico en cada obstáculo. El equipo azul debe poder responder al ataque y evitar que el equipo rojo logre sus objetivos.

Al crear un escenario en el que el equipo rojo y el equipo azul trabajen juntos (equipo púrpura), las organizaciones podrán beneficiarse de un aseguramiento mucho más personalizado y realista. El equipo azul podrá medir sus capacidades de detección y respuesta de una manera mucho más cercana a las amenazas del mundo real.

Cómo ayuda el equipo púrpura

Está claro que el sector de pruebas de penetración y especialmente los equipos rojos pueden mejorar significativamente la capacidad de detección y respuesta de una organización. A través del intercambio de datos de inteligencia a lo largo del proceso de equipo púrpura, es posible comprender los TTP de los actores de amenazas. Al imitar estos TTP a través de una serie de escenarios del equipo rojo, el equipo azul tiene la capacidad de configurar, ajustar y mejorar su capacidad de detección y respuesta.

Con demasiada frecuencia, una organización se ve comprometida y el equipo azul no ve nada. Esto no se debe a falta de habilidades o a personas, procesos o tecnología ineficaces. Es simplemente el caso de que el actor de amenazas utilizó una técnica que pasa desapercibida. Al ofrecer compromisos de equipo púrpura, las organizaciones pueden abordar este desafío de frente. Para obtener más información sobre cómo LRQA Nettitude puede ayudarlo con sus requisitos de equipo púrpura, complete nuestro formulario de contacto y un consultor responderá a su consulta.