Canal de Telegram

6 sept 2021

Segu-Info » , , » Red Team vs Blue Team vs Purple Team

Red Team vs Blue Team vs Purple Team

6 sept 2021, 3:43:00 p.m.   Comenta primero!
  , ,  

Existe cierta confusión sobre las definiciones de los equipos ROJO, AZUL y PÚRPURA dentro de la seguridad de la información. Aquí están mis definiciones y conceptos asociados con ellos.

Los Red Team son entidades internas o externas dedicadas a probar la efectividad de un programa de seguridad emulando las herramientas y técnicas de posibles atacantes de la manera más realista posible. La práctica es similar, pero no idéntica, a las pruebas de penetración e implica la búsqueda de uno o más objetivos, generalmente ejecutados como una campaña.

Los Blue Team se refieren al equipo de seguridad interno que defiende tanto de los atacantes reales como de los red team. Los Blue Teams deben distinguirse de los equipos de seguridad estándar en la mayoría de las organizaciones, ya que la mayoría de los equipos de operaciones de seguridad no tienen una mentalidad de vigilancia constante contra los ataques, que es la misión y la perspectiva de un verdadero Blue Team.

Los Purple Team existen para asegurar y maximizar la efectividad de los equipos Rojo y Azul. Lo hacen integrando las tácticas defensivas y los controles del Equipo Azul con las amenazas y vulnerabilidades encontradas por el Equipo Rojo en una sola narrativa que maximiza ambos. Idealmente, Purple no debería ser un equipo en absoluto, sino una dinámica permanente entre Red y Blue.

Red Team

Los equipos rojos se confunden con mayor frecuencia con los pentesters, pero aunque tienen una superposición enorme en habilidades y funciones, no son lo mismo. Los equipos rojos tienen una serie de atributos que los separan de otros equipos de seguridad ofensivos. Los más importantes entre ellos son:

  • Emulación de los TTP utilizados por los adversarios y que el objetivo probablemente deberá enfrentar, por ejemplo, utilizando herramientas, exploits, metodologías de pivots y objetivos similares como un actor de amenaza determinado.
  • Pruebas basadas en campañas que se ejecutan durante un período de tiempo prolongado, por ejemplo, varias semanas o meses para emular al mismo atacante.

Si un equipo de seguridad utiliza herramientas de pentesting estándar, ejecuta sus pruebas durante solo una o dos semanas y está tratando de lograr un conjunto estándar de objetivos, como ingresar a la red interna, robar datos o obtener un administrador de dominio, entonces eso es un pentest y no un compromiso de un Red Team. Los compromisos del red team utilizan un conjunto personalizado de TTP y objetivos durante un período de tiempo prolongado.

Los equipos rojos no solo prueban las vulnerabilidades, sino que lo hacen utilizando los TTP de sus posibles actores de amenazas y en campañas que se ejecutan de forma continua durante un período de tiempo prolongado.

Existe un debate sobre este punto dentro de la comunidad. Por supuesto, es posible crear una campaña de Red Team que use los mejores TTP conocidos y una combinación de herramientas, técnicas y objetivos comunes de pentesting, y ejecutarlo como una campaña, modelando un adversario pentester. Pero, la forma más pura de una campaña del Equipo Rojo emula los TTP de un actor de amenazas específico, que no necesariamente será lo mismo que si el Equipo Rojo se estuviera atacando a sí mismo.

Un equipo Tiger es similar, pero no lo mismo que un equipo rojo. Un artículo de 1964 definió el término como "un equipo de especialistas técnicos no domesticados y desinhibidos, seleccionados por su experiencia, energía e imaginación, y asignados para rastrear implacablemente todas las posibles fuentes de fallas en el subsistema de una nave espacial". El término ahora se usa a menudo como sinónimo de Red Team, pero la definición general es un grupo de élite de personas diseñadas para resolver un desafío técnico en particular.

Es importante que los equipos Rojos mantengan una cierta separación de las organizaciones que están probando, ya que esto es lo que les da el alcance y la perspectiva adecuados para seguir emulando a los atacantes. Las organizaciones que incorporan a los equipos Rojos, como parte de su equipo de seguridad, tienden (con pocas excepciones) a erosionar lentamente la autoridad, el alcance y la libertad general del equipo para operar como un atacante real. Con el tiempo (a menudo solo unos meses), los equipos Rojos que antes eran de élite y efectivos se vuelven limitados, obsoletos y, en última instancia, impotentes.

Otro aspecto que conduce a la ineficacia de los equipos Rojos internos es que los miembros de élite del equipo rara vez hacen una buena transición a las culturas de las empresas con los medios para contratarlos. En otras palabras, las empresas (grandes) que pueden permitirse un verdadero equipo Rojo tienden a tener culturas que son difíciles o imposibles de manejar para los miembros de élite del equipo Rojo. Esto a menudo conduce a un alto desgaste dentro de los miembros internos del equipo que hacen la transición al interno.

Es técnicamente posible que un equipo Rojo interno sea efectivo; es muy poco probable que puedan permanecer protegidos y respaldados en los niveles más altos durante largos períodos de tiempo. Esto tiende a provocar erosión, frustración y desgaste.

Una trampa en la que caen regularmente los equipos Rojos internos es la reducción de poder y alcance hasta el punto de ser ineficaces, momento en el que la gerencia recurre a consultores que cuentan con el apoyo total y que regresan con un montón de "grandes hallazgos".

Blue Team

El objetivo aquí no es el control de la puerta, sino más bien el fomento de la curiosidad y una mentalidad proactiva. Los Blue Teams son los defensores proactivos de una empresa desde el punto de vista de la ciberseguridad.

Hay una serie de tareas de InfoSec orientadas a la defensa que no se consideran en general dignas de un equipo azul, por ejemplo, un analista de nivel 1 de SOC que no tiene entrenamiento o interés en técnicas ofensivas, sin curiosidad por lo que está buscando y falta de creatividad en el seguimiento de posibles alertas.

Todos los equipos azules son defensores, pero no todos los defensores forman parte de un equipo azul. Lo que diferencia a un Equipo Azul frente a hacer cosas defensivas es la mentalidad:

  • Una mentalidad proactiva versus reactiva.
  • Curiosidad sin fin por las cosas fuera de lo común.
  • Mejora continua en detección y respuesta.

No se trata de si alguien es un analista de SOC de primer nivel autodidacta o un ex miembro de Red Teamer de Carnegie Mellon. Se trata de curiosidad y deseo de mejorar constantemente.

Purple Team

Purple es una mentalidad cooperativa entre atacantes y defensores que trabajan del mismo lado. Como tal, debe considerarse como una función más que como un equipo dedicado.

El verdadero propósito de un Equipo Rojo es encontrar formas de mejorar el Equipo Azul, por lo que los Equipos Púrpura no deberían ser necesarios en organizaciones donde la interacción Equipo Rojo / Equipo Azul es saludable y funciona correctamente.

Los mejores usos del término son aquellos en los que cualquier grupo que no esté familiarizado con las técnicas ofensivas quiera aprender cómo piensan los atacantes. Podría ser un grupo de respuesta a incidentes, un grupo de detección, un grupo de desarrolladores, lo que sea. Si los buenos están tratando de aprender de los atacantes, eso puede considerarse un ejercicio del Equipo Púrpura.

Además de ser un grupo puente para programas menos maduros, los Purple Teams también puede ayudar a las organizaciones a aclimatar su gestión al concepto de emulación de atacantes, que puede ser un concepto aterrador para muchas organizaciones.

Notas

Todos estos términos pueden aplicarse a cualquier tipo de operación de seguridad, pero estas definiciones específicas están sintonizadas con la seguridad de la información.

Fuente: Daniel Miessler

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!