Independientemente del tamaño y la industria de una organización, una de las formas más efectivas de descubrir las vulnerabilidades de la infraestructura y frustrar las posibles ciberamenazas es confiar en la experiencia de los equipos rojos y azules.
Un equipo rojo realiza pruebas de penetración y evaluaciones de vulnerabilidad, y un equipo azul responde a los incidentes mientras construye y mantiene las defensas de la organización. Como el equipo rojo tiene la responsabilidad de desafiar las defensas del equipo azul, no es de extrañar que haya un puente entre los dos, algunos incluso podrían decir que no les gusta. Pero hay una manera de cerrar esa brecha, y ahí es donde entran los equipos púrpura.
Si bien los equipos morados no se emplean tanto y no han existido tanto tiempo como los equipos rojos y azules, cada vez más organizaciones se están alejando de la metodología anticuada de “equipo rojo contra equipo azul” y adoptan la cooperación mutua entre los dos. Y así como el rojo y el azul mezclados forman el morado, los equipos morados están ahí para ayudar a los dos a trabajar de manera simbiótica, con el objetivo final de mejorar la seguridad de una organización.
Vamos a analizar aquí los equipos púrpura (Purple Team): qué son, qué beneficios aportan a la infraestructura de seguridad, el sistema y las aplicaciones de tu organización, y algunas de las mejores prácticas a seguir por el equipo púrpura.
Indice
¿Qué es un equipo morado (Purple Team)?
Antes de pasar a definir el equipo morado, repasemos lo que hacen los equipos rojo y azul.
Los equipos rojo y azul comparten un objetivo común, que es mejorar la seguridad de la infraestructura y el sistema de una organización. El equipo rojo se considera el «ataque» y el equipo azul, la «defensa».
Los equipos rojos necesitan pensar como el atacante. Su posición es probar las defensas de la organización, usar metodologías y tácticas para intentar entrar en un sistema, descubrir debilidades y vulnerabilidades en la seguridad de la infraestructura, lanzar exploits, probar la probabilidad de error humano y compartir sus hallazgos. A menudo son un grupo externo de profesionales de seguridad ofensivos, de sombrero blanco , que son contratados por una organización por su enfoque de adversario para desafiar continuamente los procedimientos, políticas y sistemas de seguridad de la organización.
Los equipos azules, por otro lado, están diseñados para desarrollar medidas defensivas para contrarrestar las actividades del equipo rojo y, en última instancia, el trabajo de adversarios reales. También necesitan conocer las amenazas potenciales y los métodos de ataque para continuar desarrollando mecanismos de defensa más sólidos y mejorando la respuesta a incidentes.
A medida que los equipos rojos intentan romper las defensas instaladas por los equipos azules, y su éxito se mide por la cantidad de vulnerabilidades que descubren, rara vez tienen un motivo para ayudar al equipo azul. Esto sucede a pesar de su objetivo común de mejorar la seguridad organizacional y el potencial total de sus pruebas y evaluaciones combinadas.
Tal falta de colaboración es común en organizaciones con un equipo azul integral y un equipo rojo externo, pero no es raro encontrar este tipo de desconexión incluso en organizaciones con ambos equipos internos.
En un escenario común, el equipo rojo terminará sus pruebas y luego enviará un informe de vulnerabilidad que se enviará al equipo azul, quien a su vez trabajará en la remediación. Este ciclo de retroalimentación es indirecto y pasivo, y puede tardar un tiempo en completarse.
Ahí es donde entra un equipo morado. El equipo morado está diseñado como un puente de retroalimentación entre los equipos rojo y azul, modificando su enfoque para que sea más proactivo, directo y, al final, más efectivo en términos de la postura de seguridad general de una organización. No es necesario que sea un grupo de expertos nuevo, separado o «tercero»; es más una metodología. Piensa en ello como una práctica de seguridad que permite compartir datos de inteligencia entre los dos, respaldando la retroalimentación en tiempo real y comunicándose sus conocimientos entre sí.
¿Cómo funciona?
Aquí hay un ejemplo de cómo funcionan los equipos morados: en lugar de realizar una prueba de penetración anual, el equipo rojo envía el informe, el equipo azul responde con medidas correctivas y colaboran. El equipo rojo asesora sobre cómo priorizar la gestión de vulnerabilidades y parchear fallas críticas mientras que el equipo azul monitoriza al equipo rojo y comparte información sobre las actividades y pruebas del equipo rojo, en un esfuerzo por descubrir debilidades más profundas en el sistema.
Este enfoque fortalecerá a ambos lados. El equipo azul se informa más sobre cómo priorizar, medir y mejorar su capacidad para detectar amenazas y ataques, y el equipo rojo aprende más sobre las tecnologías y los mecanismos utilizados en defensa. Esto puede llevar a encontrar vectores de ataque más avanzados y comprender métodos de ataque más sofisticados.
¿Qué hace que Purple Teaming sea diferente?
Durante años, las organizaciones han realizado pruebas de penetración de manera similar: el Equipo Rojo lanza un ataque de forma aislada para explotar la red y proporcionar comentarios. Por lo general, el Equipo Azul solo sabe que se está realizando una evaluación y tiene la tarea de defender la red como si se estuviera produciendo un ataque real.
La distinción más importante entre Purple Teaming y Red Teaming estándar es que los métodos de ataque y defensa están predeterminados. En lugar de atacar la red y entregar un resumen posterior a la evaluación del hallazgo, el Equipo Rojo identifica un control, prueba formas de atacarlo o desviarlo y se coordina con el Equipo Azul de formas que sirvan para mejorar el control o derrotar el desvío. A menudo, los equipos se sientan uno al lado del otro para colaborar y comprender realmente los resultados.
El resultado es que los equipos ya no se limitan a identificar vulnerabilidades y trabajar en función de sus suposiciones iniciales. En cambio, están probando controles en tiempo real y simulando el tipo de enfoque que los intrusos probablemente utilizarán en un ataque real. Esto cambia la prueba de pasiva a activa. En lugar de trabajar para burlarse unos de otros, los equipos pueden aplicar los entornos de ataque más agresivos y llevar a cabo escenarios hipotéticos más complejos a través de los cuales los controles y procesos de seguridad pueden entenderse de manera más completa y corregida antes de un compromiso.
Cómo la tecnología de engaño agrega valor a las pruebas de penetración
Parte de lo que hace que Red Teaming y Purple Teaming sean tan valiosos es que brindan información sobre las tácticas y enfoques específicos que los atacantes podrían usar. Las organizaciones pueden mejorar esta visibilidad incorporando tecnología de engaño en el programa de pruebas.
El primer beneficio proviene de la detección temprana de los atacantes incitándolos a participar con señuelos de engaño. El segundo proviene de recopilar indicadores completos de compromiso (IOC) y tácticas, técnicas y procedimientos (TTP) en la actividad de movimiento lateral. Esto mejora significativamente la visibilidad de cómo y cuándo los atacantes eluden los controles de seguridad, enriqueciendo la información que normalmente resulta de estos ejercicios.
Los engaños cibernéticos despliegan trampas y señuelos en la red sin interferir con las operaciones diarias. Una implementación básica se puede completar fácilmente en menos de un día, lo que proporciona al Blue Team un mecanismo de detección adicional que se integra con el entorno operativo. Esto crea más oportunidades para detectar cuándo el Equipo Rojo pasa por alto un control defensivo, lo que obliga a los miembros del equipo a ser más deliberados con sus acciones y hace que los escenarios de ataque simulados sean más realistas. También ofrece una prueba más real de la capacidad de recuperación de la pila de seguridad de la organización y los procesos que tiene implementados para responder a un incidente.
¿Cómo puede mi empresa beneficiarse de un equipo morado?
Ahora que hemos visto qué es el equipo púrpura, veamos cómo tu organización puede beneficiarse de la adopción de esta metodología de seguridad en particular.
Detección de vulnerabilidades más eficaz
A veces, se puede producir una infracción con el atacante pasando por alto todas las defensas, y el equipo azul ni siquiera se da cuenta de que está sucediendo. Esto no indica necesariamente una falta de habilidad o tecnología por parte del equipo azul, sino más bien la complejidad de las técnicas del atacante o la sofisticación de sus vectores de ataque.
El equipo morado existe para eliminar esta posibilidad. Los equipos rojos y azules que trabajan juntos significa participar en una transferencia constante de conocimiento y simular escenarios de ataque de la vida real. De esta manera, el equipo rojo mejorará el proceso de gestión de vulnerabilidades de la organización, mientras que el equipo azul entrará en la mentalidad de los atacantes, para desarrollar mejores programas de respuesta a incidentes y procesos de detección de vulnerabilidades.
Cultura de ciberseguridad más saludable
Como dijimos antes, el objetivo de los equipos rojo y azul es mejorar las defensas de seguridad de una organización, al igual que el objetivo de la organización es fomentar una cultura de ciberseguridad empresarial saludable. Con el equipo púrpura, el primer incentivo es una comunicación fuerte y regular entre la ofensiva y la defensa, un flujo constante de información y trabajo simbiótico.
Nuevamente, un equipo morado no tiene que ser un equipo recién ensamblado, puede funcionar como un ejercicio entre los dos equipos existentes. Lo importante es fomentar la comunicación y la colaboración entre los miembros del equipo, para promover la mejora constante de la cultura de ciberseguridad de la organización.
Una mejor postura de seguridad
El beneficio final y más importante es una mejor postura de seguridad para tu organización. Sin la comunicación constante de los equipos morados, las auditorías de seguridad periódicas, las nuevas técnicas de defensa, la búsqueda de amenazas, la gestión de vulnerabilidades y el desarrollo de una infraestructura y políticas de seguridad mejoradas, las organizaciones no tendrían ninguna posibilidad contra los actores maliciosos. Después de todo, cada equipo, sea cual sea su color, está ahí para ayudarte a prepararte mejor para cualquier amenaza cibernética que se te presente.
Mejores prácticas del equipo púrpura
Si estás buscando mejorar sus prácticas actuales del equipo rojo y del equipo azul mediante la implementación de equipos morados, aquí hay algunas cosas que debes tener en cuenta.
Asegúrate de que todos estén en el rol correcto
La colaboración y la comunicación son clave y, si bien es importante que ambos equipos compartan sus hallazgos y se ayuden mutuamente, nunca debes esperar que los equipos rojos participen en el proceso completo de administración de vulnerabilidades ni responsabilicen al equipo azul como piratas informáticos expertos.
Establecer roles y expectativas claros para cada equipo, mientras se mantiene la comunicación abierta, ayuda mucho a garantizar una metodología de equipo púrpura exitosa.
Nunca omitas la planificación
Siempre planifica con anticipación antes de sumergirse en los equipos morados. Para obtener el máximo beneficio del ejercicio, comienza por definir objetivos. ¿Estás trabajando para mejorar las alertas de seguridad o en políticas y procesos de seguridad? ¿Estás verificando qué tan bien tus empleados pueden protegerse contra la ingeniería social?
Además, es importante saber por qué te preocupan los equipos morados: ¿ha sucedido algo durante una prueba de penetración, una auditoría de seguridad o una evaluación de vulnerabilidades que desees corregir o revisar?
El plan no tiene que arreglarse. Permite siempre la flexibilidad, ya que los equipos pueden detectar debilidades en un área que nunca consideraste, o idear un modelo de caza de amenazas que no estaba planeado en absoluto. Pero establece objetivos y metas para ambos equipos que se puedan medir al final del ejercicio, de modo que su efectividad pueda evaluarse fácilmente.
Seguimiento y revisión del proceso
Antes de implementar estas soluciones de seguridad, revisa y verifica. Mejor aún, realiza un seguimiento de todos y cada uno de los pasos del camino, evalúa cada tarea antes de pasar a la siguiente y siempre haz un seguimiento.
Repasar cada mitigación y corrección repetidamente permitirá que cada parte aprenda más unos de otros, ayudará a cerrar cualquier brecha y permitirá pautas de corrección priorizadas. Esto preocupará al equipo rojo con menos debilidades repetitivas y guiará al equipo azul hacia la búsqueda de amenazas más complicadas.