Canal de Telegram

18 oct 2021

Segu-Info » , , » Yellow Team vs Orange Team vs Green Team

Yellow Team vs Orange Team vs Green Team

18 oct 2021, 9:44:00 a.m.   Comenta primero!
  , ,  

Además de los conocidos conceptos de equipos ROJO, AZUL y PÚRPURA, April Wright (aka @aprilwrighta) presentó algunos otros tipos de equipos en una charla de Blackhat llamada, "El NARANJA es el nuevo Púrpura".

Louis Cremen (aka @proxyblue)también hizo un gran artículo sobre el trabajo de April en una publicación titulada "Introducción a la rueda de colores de seguridad de la información".

En esa charla, presentó el concepto del YELLOW Team, que son los Constructores, y luego los combinó con el Azul y Rojo para producir los otros colores. Las interpretaciones de estas interacciones se pueden combinar en la Pirámide BAD, que es una forma puramente derivada del trabajo de April.

Tampoco importa mucho que se asigne la palabra "equipo" a todos estos colores, ya que en la mayoría de los casos se trata de modos de pensar o funciones, en lugar de grupos de personas dedicadas. El Amarillo, por ejemplo, ya tiene un nombre: se llaman Desarrolladores.

Un resumen de los colores de las funciones de seguridad

  • Yellow = Constructor
  • Red = Atacante
  • Blue = Defensor
  • Green = el Constructor aprende del Defensor
  • Purple = el Defensor aprende del Atacante
  • Orange = el Constructor aprende del Atacante

Problemas comunes con las interacciones del equipo rojo y azul

Lo ideal es que los equipos rojo y azul trabajen en perfecta armonía entre sí, como dos manos que forman la capacidad de aplaudir. Al igual que el Yin y el Yang o el Ataque y la Defensa, los equipos Rojo y Azul no podrían ser más opuestos en sus tácticas y comportamientos, pero estas diferencias son precisamente las que los hacen parte de un todo sano y eficaz. Los Equipos Rojos atacan y los Equipos Azules defienden, pero el objetivo principal es compartido entre ellos: mejorar la postura de seguridad de la organización.

Algunos de los problemas comunes con la cooperación del equipo Rojo y Azul incluyen:

  • El equipo Rojo se considera demasiado élite para compartir información con el Equipo Azul.
  • El equipo Rojo es empujado dentro de la organización y se neutraliza, restringe y desmoraliza, lo que finalmente resulta en una reducción catastrófica en su efectividad.
  • El equipo Rojo y el equipo Azul no están diseñados para interactuar entre sí de forma continua, como una cuestión de rutina, por lo que las lecciones aprendidas de cada lado se pierden efectivamente.
  • La administración de seguridad de la información no ve al equipo Rojo y Azul como parte del mismo esfuerzo, y no hay información, administración o métricas compartidas entre ellos.

Es más probable que las organizaciones que sufren de una o más de estas dolencias piensen que necesitan un Equipo Púrpura para resolverlas. Pero "Purple" debe considerarse como una función o un concepto, más que como un equipo adicional permanente. Y ese concepto es cooperación y beneficio mutuo hacia un objetivo común.

Entonces, tal vez haya un compromiso del Equipo Púrpura, donde un tercero analiza cómo sus equipos Rojo y Azul trabajan entre sí y recomienda soluciones. O tal vez haya un ejercicio del equipo Púrpura, donde alguien monitorea ambos equipos en tiempo real para ver cómo funcionan. O tal vez haya una reunión del equipo Púrpura, donde los dos equipos se unen, comparten historias y hablan sobre varios ataques y defensas.

El tema unificador es lograr que el equipo Rojo y Azul estén de acuerdo en su objetivo compartido de mejora organizacional y no introducir otra entidad más en la mezcla.

Piense en Purple Team como un consejero matrimonial. Está bien que alguien actúe en ese papel para arreglar la comunicación, pero bajo ninguna circunstancia debe decidir que la nueva forma permanente para que el esposo y la esposa se comuniquen es a través de un mediador.

Resumen

  • Los Red Teams emulan a los atacantes para encontrar fallas en las defensas de las organizaciones para las que trabajan.
  • Los Blue Teams se defienden de los atacantes y trabajan para mejorar constantemente la postura de seguridad de su organización.
  • Una implementación del Red/Blue Team que funcione correctamente incluye el intercambio regular de conocimientos entre los equipos para permitir la mejora continua de ambos.
  • Los Purple Team se utilizan a menudo para facilitar esta integración continua entre los dos grupos, que no aborda el problema central de que los equipos rojo y azul no comparten información. El equipo Púrpura debe conceptualizarse como una función de cooperación o un punto de interacción, y no como una entidad superada e idealmente redundante.
  • En una organización madura, todo el propósito del equipo Rojo es mejorar la efectividad del equipo Azul, por lo que el valor proporcionado por el equipo Púrpura debería ser parte natural de su interacción en lugar de ser forzado a través de una entidad adicional.
  • Si combina Amarillo (Constructores) con Rojo y Azul, puede terminar con otras funciones, como Verde y Naranja, que ayudan a difundir la mentalidad de atacante y defensor a otras partes de la organización.

Notas

Todos estos términos pueden aplicarse a cualquier tipo de operación de seguridad, pero estas definiciones específicas están sintonizadas con la seguridad de la información.

Fuente: Daniel Miessler

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!