Blue Team: Fortalecer la defensa de una compañía
Tabla de contenidos
El Blue Team se encarga del conjunto de las capas defensivas de una organización, de cara a prevenir, detectar o corregir incidentes de seguridad que pudieran afectar al negocio
6.000 millones de dólares al día. El CERT de Israel, uno de los países más castigados por los ciberataques, estima que los incidentes de seguridad cuestan a las empresas de todo el mundo esta cifra diariamente. Unas pérdidas económicas que lastran la obtención de beneficios de las compañías, impactando en su modelo de negocio y repercutiendo negativamente en su reputación.
Esta estimación evidencia que las empresas deben situar la seguridad en el centro de su estrategia. Y ello pasa por disponer de un Blue Team que se encargue de diseñar, implantar, mejorar y gestionar las capas defensivas de la organización.
En un escenario que se caracteriza por la creciente ciberexposición de las empresas, como consecuencia de la digitalización, la ciberseguridad debe enfocarse desde un punto de vista holístico. Lo que implica que el Blue Team ha de hacerse cargo de múltiples actividades, que van desde la creación de guías de bastionado hasta la gestión del ciclo de vida de las vulnerabilidades.
Aunque el concepto de Blue Team es de uso común ya no solo en el terreno de la ciberseguridad, sino también en el ámbito empresarial, muchos profesionales y cargos directivos siguen sin tener claro cuáles son sus objetivos y alcance.
A continuación, vamos a diseccionar las características esenciales del Blue Team, las actividades que lleva a cabo para proteger a las organizaciones frente a los actores maliciosos y a arrojar luz sobre la manida dicotomía entre Blue Team y Red Team.
1. ¿Qué es el Blue Team?
A menudo se ha descrito al Blue Team como un equipo de profesionales de ciberseguridad que actúa como última línea de defensa de una organización frente a los ciberataques. Sin embargo, este concepto es mucho más amplio y engloba todas las actividades y competencias relacionadas con las capas defensivas de una compañía.
De hecho, podríamos decir que el trabajo del Blue Team comienza en el mismo momento en el que los cargos directivos de una compañía (el CEO, el Consejo de Administración…), toman la decisión de situar a la seguridad en el corazón de la estrategia empresarial.
Esta decisión se transforma en una política de seguridad y se deposita en el Chief Information Security Officer (CISO) de la empresa la responsabilidad de poner en marcha todas las actividades necesarias para cumplirla de forma efectiva.
Bajo la responsabilidad del CISO, el Blue Team apoya activamente en aquellas actividades defensivas que permiten el correcto cumplimiento de la política, lo cual implica fortalecer a la compañía frente los riesgos identificados.
Por lo tanto, frente a la creencia popular de que el Blue Team se trata de un equipo de profesionales internos de una empresa, cuya misión radica en responder frente a los ciberataques, en realidad, las funciones del Blue Team son mucho más amplias y ambiciosas.
1.1. El protector del negocio
Todas las compañías tienen el mismo objetivo: realizar una serie de actividades para generar negocio y conseguir beneficios económicos. Da igual que hablemos de una entidad bancaria, centrada en la comercialización de productos financieros, o de una compañía de telecomunicaciones que presta servicios de telefonía e internet.
Si partimos de esta somera idea, podemos concluir que, a priori, el Blue Team no parece un activo empresarial de primer nivel. Puesto que, al fin y al cabo, no genera negocio.
Sin embargo, en un mundo plenamente digitalizado, el Blue Team se ha convertido en un equipo esencial para las empresas. Es verdad que no genera negocio, pero es el encargado de protegerlo. De ahí que haya adquirido una importancia mayúscula a la hora de fortalecer a las empresas frente a un panorama de amenazas cada vez más complejo y acuciante.
1.2. Un concepto poliédrico y amplio
Precisamente, si el contexto de los ciber riesgos es tan complejo, no resulta difícil predecir que el puzle que conforman todas las actividades que hay que poner en marcha para evitar los incidentes de seguridad y sus perniciosas consecuencias también lo es.
De ahí que podamos caracterizar al concepto de Blue Team empleando los adjetivos poliédrico y amplio.
Por sus propias funciones, el Blue Team destaca por su amplitud. No solo debe responder ante los ataques, como se ha extendido erróneamente en el seno de la opinión pública, sino que interviene en todo el proceso de diseño, puesta en marcha y optimización continua de las capacidades defensivas de una organización. Algunas de sus competencias, como la gestión de las vulnerabilidades, están íntimamente relacionadas. Otras, como la respuesta ante los incidentes, requieren aptitudes y conocimientos sensiblemente diferentes.
¿Por qué decimos que el Blue Team es poliédrico? No solo se trata de un concepto amplio que engloba muchas funciones, algunas conectadas y otras no tanto, sino que, por su papel de defensor, el Blue Team interactúa con otros servicios de ciberseguridad, desde ejercicios de Red Team o Purple Team, hasta la gestión de revisiones de seguridad realizadas en la organización.
El Blue Team no tiene una única cara, sino que está conformado por diversos vasos comunicantes que, a su vez, se interrelacionan con otros ámbitos de la ciberseguridad.
1.3. Equipo(s) multidisciplinar(es): La Liga de la Justicia de la ciberseguridad
Resulta sencillo dilucidar que si el Blue Team es amplio y poliédrico, la configuración del equipo que lleva a cabo sus funciones también ha de serlo.
Al fin y al cabo, la ciberseguridad es un área de conocimiento extremadamente amplia. Los profesionales que llevan a cabo un pentesting no tienen las mismas habilidades que los que realizan una auditoría de seguridad de dispositivos IoT.
Por su carácter transversal en la securización de una empresa, el Blue Team debe estar conformado por profesionales con perfiles diversos: Threat Hunters, auditores de seguridad, analistas forenses, expertos en bastionado de sistemas, especialistas en respuesta frente a incidentes…
La multidisciplinariedad es esencial para que el Blue Team pueda desarrollar todas sus actividades y cumplir con sus objetivos. Frente a algunos servicios de seguridad prestados por perfiles altamente especializados en una materia en concreto, el Blue Team debe nutrirse de perfiles variados y complementarios, aprovechando conocimientos diferentes componiendo una amplísima panorámica sobre la seguridad y las amenazas.
Es más, en muchas ocasiones, el Blue Team está conformado, en realidad, por diversos equipos, coordinados por los responsables de la coordinación de capacidades defensivas para trabajar de forma conjunta en pro del objetivo máximo: fortalecer las capacidades defensivas y mejorar la resiliencia frente a los ciberataques.
Si recurrimos a una analogía comiquera, podemos afirmar que a la hora de confeccionar un Blue Team se busca crear una Liga de la Justicia en la que los superpoderes de Superman se complementen con los de Wonder Woman y las habilidades de Batman para proteger a la empresa y a su modelo de negocio con las máximas garantías.
1.4. Seguridad defensiva y personalizada
El Blue Team, como ya hemos apuntado, es el responsable de gestionar y operar la seguridad defensiva de una organización. Lo que lo diferencia de los servicios de Red Team y pentesting, que llevan a cabo actividades de seguridad ofensiva.
De ahí que su misión radique en defender a la empresa a lo largo del tiempo y de forma continuada.
Para llevar a cabo sus labores de seguridad defensiva, los integrantes del Blue Team deben diseñar todas sus acciones de manera personalizada, partiendo, claro está, por la propia política de seguridad. Para ello han de alinearse con los recursos de la compañía, las características del modelo de negocio y los objetivos de la estrategia empresarial.
El Blue Team actúa como un actor más dentro de la organización, sus labores no pueden entenderse de manera aislada, sino que cumplen el mandato de proteger al negocio frente a los actores maliciosos que buscan cometer acciones fraudulentas y/o paralizar sus actividades.
No existe, por lo tanto, un único modelo de Blue Team, ni una fórmula mágica para conformarlo. Cada Blue Team ha de diseñarse de la forma más óptima para cumplir con la política de seguridad y cubrir todas las funciones que tiene encomendadas. Desde la gestión de vulnerabilidades hasta el bastionado de sistemas, entre muchas otras actividades.
1.5. Un enfoque holístico y de dentro afuera
Además de tratarse de un equipo de seguridad defensiva, el Blue Team se caracteriza por el enfoque desde el que aborda la protección de la organización frente a los ataques: de dentro a fuera. ¿Qué quiere decir esto?
Mientras los profesionales que ejecutan los servicios de Red Team se ponen en la piel de los actores maliciosos para actuar como ellos y entender cuáles son sus tácticas, técnicas y procedimientos, el Blue Team aborda la seguridad desde el corazón de la organización. Desde sus entrañas.
Este enfoque se traslada a todas sus actividades y permite al Blue Team alcanzar un extraordinario nivel de conocimiento sobre la organización, sus activos y las capas defensivas que ha de gestionar y optimizar.
A su vez, debemos señalar que el enfoque del Blue Team es holístico, es decir, no se limita a entender la defensa de una compañía desde un solo punto de vista, por ejemplo, atendiendo a las capacidades de respuesta, sino que combina diferentes puntos de vista para atender a todos los aspectos relacionados con las capas defensivas de una empresa. El gobierno de la práctica de seguridad, la detección de vulnerabilidades, la gestión de terceros para corrección de problemas, la respuesta ante incidentes, la formación y sensibilización de empleados en materia de seguridad… El Blue Team ha de dar cubrir todos estos aspectos para asegurarse de fortalecer a la compañía frente a los riesgos que pudieran materializarse.
1.6. Actividad continua
A la luz de lo que hemos ido relatando sobre el Blue Team, resulta evidente que otra de sus características fundamentales es que lleva a cabo sus actividades de forma continua. Desde el diseño de las políticas de seguridad hasta el análisis forense de un incidente para dilucidar las causas y evitar ataques futuros, pasando por la gestión de las vulnerabilidades y la búsqueda proactiva de amenazas.
Al contrario del concepto reduccionista de Blue Team que limita sus acciones a la mitigación y contención de los incidentes de seguridad, este equipo trabaja de forma continua no solo para actuar en caso de que se produzca un incidente, sino para evitar que esto suceda, fortaleciendo la seguridad de la organización y protegiendo sus activos.
Por ello, sus labores deben ser estables en el tiempo. A diferencia de otros servicios de ciberseguridad como el pentesting, el Blue Team no opera en un momento concreto, sino que sus actividades se desarrollan de forma continua. De lo contrario, no podría cumplir sus objetivos.
1.7. Conocimiento del negocio
Esta característica entra en directa relación con algunas de las anteriores. Puesto que un Blue Team debe gozar de un altísimo nivel de conocimiento del negocio que busca proteger para poder enfocar su estrategia de dentro hacia afuera y personalizar al máximo sus acciones.
Asimismo, el conocimiento del negocio es esencial para balancear las dos cuestiones centrales en la protección de una empresa: las necesidades de seguridad y los intereses de negocio.
No basta con que el Blue Team esté compuesto por profesionales con conocimientos amplios de múltiples áreas de la ciberseguridad y la optimización de las capacidades defensivas. El Blue Team debe de entender cómo opera el negocio, cuáles son los activos críticos y en qué consiste la estrategia empresarial. Solo así su trabajo irá en consonancia con los objetivos del negocio y será de gran valor añadido para la compañía y no un impedimento que dificulte el correcto desarrollo del negocio.
Si no se sabe con precisión qué se debe proteger, lo más probable es que los medios desplegados sean subóptimos.
2. De la coordinación a la respuesta: Cómo securizar una empresa
Una buena forma de mostrar gráficamente la complejidad de la misión del Blue Team es señalar que del conjunto de estrategias básicas que persigue el Blue Team. ¿De qué estrategias hablamos? Algunas de las principales son los siguientes:
- Correcta gobernanza de la práctica de seguridad
- Detectar y responder ante amenazas
- Detectar y corregir vulnerabilidades
- Diseñar, implantar y operar cualquier medida orientada la prevención de riesgos, tales como:
- Elaboración de guías de diseño seguro de software y promover medidas para detectar su correcto cumplimiento
- Elaboración de guías de bastionado y promover medias para su correcto cumplimiento
- Formación y concienciación en materia de seguridad
El Blue Team trabaja para apoyar estas estrategias en cada una de sus funciones. Por ejemplo, mediante la coordinación de capacidades defensivas se gestiona la gobernanza de la seguridad. El bastionado de sistemas forma parte de las tareas de prevención. El parcheo de vulnerabilidades es una acción correctiva…
De ahí que debamos seguir insistiendo en el carácter transversal del Blue Team en lo que respecta a la estrategia de seguridad de cualquier empresa.
2.1. Gobernanza
La gobernanza de la seguridad es fundamental para que la estrategia funcione de forma eficiente. Si nadie ejerce labores de gestión y coordinación, el cumplimiento de las políticas de seguridad resultaría imposible.
En este sentido, el Blue Team ejerce las labores de gobernanza de la seguridad, bajo la dirección del CISO y atendiendo al mandato empresarial.
Una de sus tareas más relevantes es la coordinación de las capacidades defensivas, para que todos los profesionales que trabajan en la protección de la organización realicen las tareas que tienen encomendadas y el intercambio de información y la colaboración sean fluidos.
Asimismo, el Blue Team también se encarga de la gestión de vulnerabilidades, lo que implica interpretar y priorizar las vulnerabilidades encontradas por los servicios de detección, desde el Threat Hunting, que forma parte del Blue Team, a otros servicios como el Red Team. ¿Para qué? Organizar, coordinar y validar su subsanación.
2.2. Capacidades de detección
Para que las capas defensivas de una compañía o administración sean sólidas resulta imprescindible disponer de capacidades de detección. Tamto de debilidades o vulnerabilidades como de amenazas.
2.2.1. Detección y respuesta
Como venimos de señalar, el Blue Team realiza tareas de detección a través del Threat Hunting, rastreando los sistemas en busca de amenazas persistentes avanzadas e innovadoras, para cortar la Cyber Kill Chain de los ataques más sofisticados antes de que los malos logren sus objetivos. Pero también del SOC, que monitorea la infraestructura permanentemente y puede detectar otras amenazas más conocidas.
Este trabajo de detección de amenazas se ve complementado por otros servicios de ciberseguridad, como el Red Team, el pentesting o las auditorías de seguridad, los cuales facilitan la detección de vulnerabilidades.
2.2.2. Detección y corrección
Por otro lado, el Blue Team es el encargado de gestionar la corrección de las debilidades y vulnerabilidades. Tal es así que el Security Path & Management es una de sus tareas más relevantes. Una actividad crucial para subsanar carencias antes de que sean explotadas por los agentes maliciosos y optimizar constantemente las capas defensivas para proteger a la organización frente a nuevas amenazas.
2.3. Capacidades de prevención
Al igual que sucede con las tareas de gobernanza, el Blue Team debe encargarse de diseñar, implementar y optimizar las capacidades de prevención ante los ataques y de respuesta a los mismos.
Para ello, el Blue Team se nutre de toda la información a su disposición. y las lecciones aprendidas para que situaciones de riesgo no vuelvan a producirse. Así, para que la organización sea capaz de adelantarse a dichas situaciones, necesitará potenciar sus capas de prevención de cara a evitar que los incidentes se produzcan.
Además de encargarse de forma específica de responder y analizar los incidentes, el Blue Team también ha de llevar a cabo tareas de prevención. El propio bastionado de sistemas para garantizar que todos los equipos corporativos gozan de una configuración segura es buen ejemplo de ello.
2.4. Formar y concienciar
De todos es sabido que los empleados de una organización son, a menudo, el eslabón más débil de la cadena de seguridad. Es por esta razón por la que mantener a los empleados formados y concienciados en materia de seguridad resulta crítico para impedir el éxito de un elevado número de ataques.
La formación y concienciación es una actividad trasversal de la seguridad puesto que permite no tan solo que los empleados sean resilientes a ataques, si no a operar de forma segura en el día a día y formar parte fundamental de las capacidades de detección de amenazas de la organización.
3. Actividades que realiza un Blue Team
¿Cómo apoya el Blue Team las estrategias de seguridad que venimos de esbozar? Desarrollando una serie de actividades para cumplir con las competencias que tiene asignadas y conseguir fortalecer a la compañía.
Podemos englobar todas las acciones que debe acometer un Blue Team en ocho grandes actividades.
3.1. Threat Detection y Threat Hunting
Como señalamos al hablar de la multidisciplinariedad del Blue Team, es importante que este equipo cuente con Threat Hunters, puesto que una de sus actividades esenciales gira en torno al Threat Hunting y la Threat Detection. O, lo que es lo mismo, la búsqueda activa de amenazas en soluciones SIEM o EDR.
Los equipos de Threat Detection crean y monitorizan indicadores de compromiso (IOCs), para conseguir que el Blue Team pueda detectar actividad sospechosa en las primeras fases de un ciberataque y pueda responder ante las agresiones, mientras que los equipos de Threat Hunting realizan búsquedas proactivas para detectar Técnicas Tácticas y Procedimientos (TTPs) sospechosas de formar parte de un ataque sofisticado y dirigido.
El tiempo es esencial en el terreno de la ciberseguridad. De ahí que sea crucial que los profesionales del Blue Team sean capaces de detectar amenazas de forma temprana.
El Blue Team lleva a cabo una serie de actuaciones que sirven para poner en marcha un sistema de detección eficaz:
- Estudio de las últimas técnicas de hacking
- Análisis de CVEs y vulnerabilidades zero-day
- Búsqueda sistemática de patrones de ataque
- Researching de nuevas técnicas de ataque y búsqueda proactiva de actividad maliciosa en la telemetría disponible del EDR o XDR
- Deception o despliegue de señuelos
3.2. DFIR. Análisis forense digital y respuesta a incidentes
¿Qué sucede si no se detectan las amenazas a tiempo y se produce un incidente de seguridad? El Blue Team debe desplegar todas las medidas necesarias para responder ante un incidente y lograr contenerlo en el menor tiempo posible.
La respuesta ante incidentes es una tarea esencial. Si una organización no cuenta con un sistema de respuesta eficaz, el incidente podría extenderse afectando a los activos críticos, paralizando a la empresa y desencadenando impacto económico, reputacional e, incluso, legal de devastadoras consecuencias para la compañía.
Asimismo, el Blue Team también debe estar capacitado para realizar un análisis forense en profundidad como parte de la respuesta al incidente de seguridad. Puesto que esta labor es esencial para obtener evidencias objetivas que ayuden a comprender la secuencia de acciones que apoyaron activamente a la materialización del incidente.
Los profesionales estudian cualquier tipo de información existente de cara a rastrear el origen del incidente sufrido y evaluar su impacto y alcance en el conjunto de la compañía.
Como se dice popularmente, «de todo se aprende y de las cosas malas que nos pasan, más aún».
3.3. Security Operations (SOC)
El SOC se encarga de monitorear permanentemente los sistemas corporativos de cara a detectar ataques conocidos.
De ahí que sea relevante dentro del esquema de seguridad de una organización. Sin embargo, su capacidad de detección y respuesta ante amenazas más sofisticadas es más limitada.
Para llevar a cabo su cometido, el SOC busca Indicadores de Compromiso sobre las redes, servidores, estaciones de trabajo o aplicaciones de la organización, rastreando indicios de incidentes de seguridad.
3.4. Gestión del ciclo de vida de las vulnerabilidades
La gestión de vulnerabilidades es una de las competencias fundamentales del Blue Team. Los profesionales que realicen esta actividad han de analizar las vulnerabilidades detectadas en las revisiones de seguridad para gestionar su corrección.
Además, la gestión de vulnerabilidades se encarga de coordinar a todos los equipos y profesionales involucrados en la detección y corrección de debilidades de cara a conseguir dinamizar el proceso de búsqueda de soluciones.
3.5. Security Patch & Management
¿Cómo se corrigen las vulnerabilidades? Esta función la llevan a cabo equipos técnicos que aplican parches y configuran los activos afectados para subsanar los riesgos detectados.
De nada sirve contar con controles y medidas de detección de vulnerabilidades si no se cuenta con un equipo capacitado para gestionar su resolución de forma eficaz y en el menor tiempo posible.
El parcheo se realiza en función del nivel de riesgo de las vulnerabilidades y el impacto que podría llegar a producir un ataque exitoso sobre los activos de la organización.
Esta tarea del Blue Team es esencial para proteger los activos necesarios para el correcto desarrollo del negocio.
3.6. Bastionado de sistemas
Otra de las actividades que debe llevar a cabo el Blue Team es la creación de guías de bastionado para implantar medidas, tanto a nivel técnico como organizativo, para reducir los riesgos que podrían afectar a los activos corporativos y minimizar el impacto en situación de materialización del riesgo.
Por ello, el Blue Team deberá definir guías de bastastionado para que los activos corporativos tengan un adecuado nivel de seguridad desde el mismo momento de su puesta en producción..
3.7. Coordinación de las capacidades defensivas
Los profesionales del Blue Team que se encargan de esta actividad no realizan tareas puramente técnicas, sino que el equipo de gobierno es el encargado de gestionar y supervisar que las acciones llevadas a cabo apoyan activamente al cumplimiento de la política de seguridad, coordinar a todos los profesionales y fomentar la cultura de la seguridad en el conjunto de la organización.
En todas las áreas que podamos imaginar la coordinación es básica. En lo que respecta a la ciberseguridad es aún más importante. Todas las actividades que hemos descrito, así como otras tareas que no dependen directamente del Blue Team, deben llevarse a cabo siguiendo los mismos objetivos y, en muchas ocasiones, de forma coordinada.
Para ello, es imprescindible que la organización establezca quién está a cargo de la gestión y la coordinación de las capacidades defensivas. Sin estas labores de gobierno, resultaría imposible que el Blue Team pudiese alcanzar todos sus objetivos y fortalecer la seguridad de la empresa.
3.8. Formación y concienciación
A todas las actividades que hemos descrito, podemos sumar una última tarea que, a priori, puede parecer menos relevante, pero que, sin embargo, puede marcar la diferencia. Estamos hablando de la formación de todos los profesionales de la compañía, no solo de aquellos relacionados con la ciberseguridad, así como la concienciación general sobre los peligros a los que se enfrenta la organización.
Muchos ciberataques tienen éxito por errores humanos. Al fin y al cabo, el correo empresarial es un vector de ataque empleado constantemente por los actores maliciosos. Por ello, es importante que todos los trabajadores implementen prácticas seguras en sus quehaceres diarios. El mero hecho de descargarse un archivo o clicar en un enlace aparentemente inocente, puede dar lugar a un incidente de seguridad de consecuencias impredecibles.
Como hemos repetido a lo largo del artículo, el Blue Team no debe mantenerse aislado de lo que ocurre en la compañía a la que está protegiendo. Todo lo contrario. La formación y la concienciación son dos tareas básicas para ayudar a todos los profesionales y, en especial, a los cargos directivos, a entender qué hacen, por qué lo hacen y qué puede hacer cada persona para contribuir a proteger a la empresa y a sus activos.
4. Diez objetivos básicos del Blue Team
El compromiso del Blue Team con la protección de una organización frente a los ciberataques se traduce en diez grandes objetivos, que van desde el cumplimiento de las políticas de seguridad hasta la extensión de buenas prácticas en materia de seguridad a todos los integrantes de una empresa.
4.1. Garantizar el cumplimiento de las políticas de seguridad
Las políticas de seguridad no son lo que comúnmente se denomina «papel mojado». Al contrario, definen la estrategia de seguridad y las actuaciones que se han de poner en marcha para cumplir el objetivo final: proteger a la empresa.
El CISO de la compañía se encarga de velar por su cumplimiento y de poner en marcha iniciativas para facilitarlo. Todas las acciones del Blue Team van encaminadas a cumplir con las políticas de seguridad.
4.2. Coordinar a todos los actores que intervienen en las capas defensivas
Como señalamos antes, la coordinación es esencial en el terreno de la ciberseguridad en general y en lo que respecta a las capacidades defensivas de una organización en particular.
Frente a la imagen estereotipada de un grupo de profesionales centrados en responder a los ataques, la realidad es que el Blue Team cumple numerosas funciones y está conformado por actores que realizan múltiples actividades. Es más, no solo es necesario coordinar a todos los equipos de las capas defensivas, sino que es imprescindible tener una relación de colaboración estrecha con otros servicios de ciberseguridad como el Red Team.
Solo mediante la coordinación cada equipo podrá realizar sus tareas y enriquecerse con el trabajo de los demás.
4.3. Detectar amenazas y ataques de forma proactiva
Un Blue Team no se limita a responder reactivamente ante los ataques, sino que lleva a cabo tareas como el Threat Hunting que le permiten detectar amenazas de manera proactiva.
Esto pude marcar la diferencia entre detectar un ataque en las primeras fases de la Cyber Kill Chain o identificarlo cuando ya se han cumplido los objetivos es mayúscula. Y puede traducirse en cuantiosas pérdidas económicas, la paralización de la actividad empresarial y el desgaste de la reputación de la compañía.
Para poder disponer de capas defensivas eficaces resulta imprescindible contar con controles y mecanismos que permitan detectar y responder ante amenazas antes de sus ataques tengan éxito.
4.4. Threat Detection y Threat Hunting
Como ya señalamos al inicio del artículo, el Blue Team opera de forma continua. Los controles de seguridad deben incluir la monitorización de eventos y logs de la infraestructura IT de la compañía en busca de Indicadores de Compromiseo.
Los ataques más sofisticados no serán fácilmente identificados, de ahí la importancia de los servicios de Threat Hunting. Pero las amenazas más conocidas sí se pueden detectar a través de estos controles.
Los malos no se cogen fines de semana. Las empresas tampoco pueden hacerlo.
4.5. Responder eficazmente a los incidentes
¿Qué sucede si un actor malicioso consigue evadir las capas preventivas? El Blue Team debe estar preparado para responder.
Los profesionales de este equipo de seguridad ofensiva han de realizar tareas de respuesta a incidentes, de cara a:
- Frenar los ataques.
- Contener y aislar los activos comprometidos
- Impedir su propagación.
- Expulsar a los actores maliciosos.
- Salvaguardar los activos críticos.
- Ayudar a la continuidad de negocio.
- Restablecer la normalidad a la mayor brevedad.
4.6. Analizar los incidentes de seguridad
A mayores, los profesionales del Blue Team también han de encargarse del análisis de los incidentes de seguridad:
- Análisis forense de las máquinas afectadas.
- Trazar de la línea temporal de un ataque.
- Propuesta de soluciones para subsanar los efectos del ataque.
- Establecimiento de medidas de detección y respuesta para acometer futuros casos con éxito.
4.7. Evaluar las vulnerabilidades para priorizar su subsanación
La evaluación de las debilidades que se ciernen sobre la empresa es, también, un objetivo prioritario del Blue Team.
Los profesionales a cargo de la gestión de vulnerabilidades deben:
- Coordinarse con los equipos ofensivos para que estos reporten vulnerabilidades identificadas.
- Establecer su nivel de riesgo, en función del posible impacto en la organización y de la probabilidad de que sean explotadas por los actores maliciosos.
- Gestionar su subsanación.
- Priorizarlas, de cara a gestionar los recursos de forma eficiente, teniendo en cuenta no solo la seguridad, sino también el modelo de negocio.
4.8. Poner en marcha planes para remediar las debilidades
La información recopilada en la evaluación de vulnerabilidades permite al Blue Team confeccionar planes de remediación para mitigar los riesgos identificados.
Los planes de remediación de vulnerabilidades son esenciales para que los activos corporativos no presenten brechas explotables por las amenazas. Así como para priorizar su resolución en función de los recursos disponibles y los objetivos de la empresa.
El diseño, evaluación y gestionar la implementación de las medidas de remediación resulta esencial para proteger los sistemas y activos corporativos.
4.9. Crear guías para apoyar en la configuración segura de los equipos
Aunque carezca de la pompa de otros objetivos que hemos descrito, el Blue Team tiene entre sus misiones el deber de crear guías para configurar de forma segura los equipos corporativos.
Esta tarea es esencial si se quiere evitar que la seguridad de un sistema o una red corporativa se vea lastrada por una configuración insegura que facilite la tarea de los actores maliciosos.
Muchos atacantes se aprovechan de los problemas de configuración para escalar privilegios, realizar movimientos laterales y persistir sin ser descubiertos en sistemas corporativos, hasta que consiguen alcanzar sus objetivos. Por ejemplo, secuestrar los datos de los clientes de la empresa, exfiltrar documentos estratégicos, someter a servicios críticos a ataques de DDOS o incluso amenazar con reportar la brecha ocurrida al regulador.
4.10. Fomentar buenas prácticas entre los profesionales
Si los problemas de configuración son peligrosos en lo que respecta a la fortificación de una empresa y sus activos, las personas que las conforman no lo son menos.
La imprudencia y los errores humanos abren las puertas a muchos atacantes.
Más allá de todas las tareas complejas que llevan a cabo los profesionales del Blue Team, es importante señalar un objetivo que a menudo se nos olvida pero que es crucial: los profesionales de las compañías han de emplear buenas prácticas en el manejo de la infraestructura IT.
Ser conscientes de la gravedad de las amenazas y actuar con precaución es, hoy en día, esencial. De lo contrario, todo el trabajo que realiza el Blue Team para optimizar las capas defensivas puede caer en saco roto. De ahí que los profesionales que forman parte del equipo de seguridad ofensiva no deban perder de vista el objetivo de formar a todos sus compañeros para reducir los riesgos.
5. Red Team: Los Vengadores de la seguridad ofensiva
¿Y si el «rival» del Blue Team no fuese un villano de película, sino otro equipo que busca conseguir lo mismo que él para ayudar a mejorar las capas defensivas? Precisamente eso es lo que hace el Red Team.
Por continuar con el símil del mundo de los cómics, si el Blue Team es la Liga de la Justicia de la seguridad defensiva, el Red Team vendría a ser Los Vengadores (Capitán América, Iron Man, Hulk…) de la seguridad ofensiva.
Con la particularidad de que ambos equipos trabajan en el mismo universo. El Blue Team lleva a cabo todas las acciones que hemos descrito a lo largo de este artículo. Y los servicios de Red Team ponen a prueba, en gran medida, la eficacia del Blue Team a la hora de cumplir sus objetivos y contribuyen a formar a los profesionales del Blue Team para que estén preparados para afrontar intrusiones y ataques reales.
Para ello, el Red Team simula actuar como un actor malicioso, con el objetivo de entrar dentro de los sistemas corporativos, persistir a lo largo del tiempo, llevar a cabo un escalado de privilegios y movimiento lateral, evitar ser detectados y demostrar impacto contra el negocio.
¿Para qué sirven todas estas acciones que se realizan durante los servicios de Red Team? Ayudan a la organización a prepararse contra los ataques reales, detectarlos en sus primeras fases de desarrollo y responder con eficacia ante cualquier incidente de seguridad.
De ahí que los servicios de Red Team sean de gran valor añadido y de suma utilidad para acelerar la evolución del Blue Team en su misión de fortalecer la seguridad defensiva de una organización. Por ende, RT y BT no son antagónicos, sino aliados.
5.1. Identificación de brechas de seguridad
Habida cuenta de lo que venimos de exponer, resulta evidente que el Red Team actúa desde un enfoque diametralmente opuesto al del Blue Team: desde afuera hacia adentro. O, dicho de otra forma, desde la óptica de los atacantes.
Por ello, los servicios de Red Team sirven para evaluar y mejorar las capas defensivas.
El Red Team explora vectores y rutas de ataque para introducirse en el sistema y lograr vulnerar los activos de la organización. De esta manera pueden detectar brechas y debilidades que han pasado desapercibidas para el Blue Team y otros servicios de ciberseguridad.
5.2. Optimización de la seguridad defensiva
La razón de ser de la seguridad ofensiva es fortalecer a la defensiva. Las actividades del Red Team sirven para optimizar las capas defensivas de la organización, mitigar las debilidades encontradas y mejorar la resiliencia frente a los ataques.
Al actuar como los actores maliciosos, los profesionales del Red Team son capaces de evaluar las capas defensivas desde otra óptica y encontrar los puntos débiles que pueden llegar a detectar los malos.
5.3. Explotación de vulnerabilidades para simular ataques reales
Los servicios de Red Team no se limitan a detectar vulnerabilidades, sino que las explotan. Lo que tiene como consecuencia que sus actuaciones se asemejen a ataques reales.
Gracias a la explotación de las debilidades, el Red Team puede completar las fases de un ataque real, estudiando las rutas que podrían seguir los actores maliciosos y extrayendo valiosa información de todo ello.
En esta acción entra en juego la capacidad del Blue Team de detectar las actuaciones del Red Team y de responder ante ellas.
Para que el Blue Team pueda mejorar, el Red Team tiene que ser capaz de llevarlo al máximo de sus capacidades y enseñarle las diversas opciones de ataque a las que se enfrenta.
5.4. Apoyo a la formación del Blue Team
Precisamente, el Red Team no busca menoscabar al Blue Team. Al contrario, uno de sus objetivos más importantes es ayudar a formar a los profesionales del Blue Team.
Los escenarios de Red Team ofrecen a los profesionales del Blue Team una ocasión perfecta para aprender, entrenarse y mejorar sus capacidades de detección y respuesta.
Todos somos conscientes de que por mucho que estudiemos, la mejor forma de aprender a hacer algo es haciéndolo. Llevar los conocimientos al terreno de la práctica. Los servicios de Red Team sirven para que los equipos y tecnologías defensivas comprueben su robustez frente a los ataques, sin el riesgo de estar sufriendo un incidente de seguridad real.
5.5. Mejora de las capacidades de detección y respuesta del Blue Team
Además de optimizar la forma en que se despliegan las capas defensivas y el monitoreo de las amenazas, los servicios de Red Team sirven para que el Blue Team mejora sus procedimientos de detección y respuesta ante los ataques reales.
Como dijimos antes, el tiempo es esencial en lo que respecta a los ciberataques. El Red Team permite evaluar la eficacacia de un Blue Team en detectar un ataque, así como la eficacia en contenerlo y expulsar a los actores maliciosos.
Si la ciberseguridad fuese un deporte como el boxeo, el Red Team sería un rival mayúsculo que se busca para formar a un campeón. Un rival que, seguramente, sea capaz de hacerle besar la lona. Y volverse más fuerte tras el golpe.
Los servicios de Red Team son de gran valor añadido para las compañías con un nivel de madurez en ciberseguridad avanzado. Puesto que les permite evaluar el nivel de eficiencia de las capas defensivas y, por lo tanto, las actividades que lleva a cabo el Blue Team. Podríamos decir que el Red Team aterriza al Blue Team en la realidad de un panorama de ciberamenazas cada día más complejo y peligroso.
Si las empresas de todo el mundo pudieran contar con la Liga de la Justicia y los Vengadores para protegerlas no sufrirían incidentes de seguridad que les costaran 6.000 millones de dólares al día. El Blue Team y el Red Team no son equipos excluyentes, sino que son fuertemente complementarios.
En definitiva, el Blue Team es una suerte de puzle en el que encajan todas las piezas relacionadas con las capas defensivas de una organización. Una vez que el puzzle se completa, el resultado que se obtiene es una compañía eficiente frente a los ataques y preparada para gestionar los incidentes de seguridad con éxito.