Los Blue Team son, al contrario que los Red Team, el equipo de seguridad especializado en las principales tácticas, técnicas y procedimientos para defender a la empresa tanto de los atacantes reales como de los Red Team.
Los Blue Team deben distinguirse de los equipos de seguridad estándar en la mayoría de las organizaciones, ya que la mayoría de los equipos de operaciones de seguridad no tienen una mentalidad de vigilancia constante contra los ataques, que es la misión y la perspectiva de un verdadero Blue Team.
Los Blue Team deben distinguirse de los equipos de seguridad estándar en la mayoría de las organizaciones, ya que la mayoría de los equipos de operaciones de seguridad no tienen una mentalidad de vigilancia constante contra los ataques, que es la misión y la perspectiva de un verdadero Blue Team.
Blue Team, defensores proactivos
El objetivo aquí no es el control de la puerta, sino más bien el fomento de la curiosidad y una mentalidad proactiva. Los Blue Team son los defensores proactivos de una empresa desde el punto de vista de la ciberseguridad.
Hay una serie de tareas de los analistas de seguridad orientadas a la defensa que no se consideran en general dignas de un equipo azul (Blue Team), por ejemplo, un analista de nivel 1 de SOC que no tiene entrenamiento o interés en técnicas ofensivas, sin curiosidad por lo que está buscando y falta de creatividad en el seguimiento de posibles alertas.
Lo que diferencia a un Equipo Azul (Blue Team) frente a hacer “cosas” defensivas es la mentalidad:
Hay una serie de tareas de los analistas de seguridad orientadas a la defensa que no se consideran en general dignas de un equipo azul (Blue Team), por ejemplo, un analista de nivel 1 de SOC que no tiene entrenamiento o interés en técnicas ofensivas, sin curiosidad por lo que está buscando y falta de creatividad en el seguimiento de posibles alertas.
Todos los Blue Team son defensores, pero no todos los defensores forman parte de un Blue Team
Lo que diferencia a un Equipo Azul (Blue Team) frente a hacer “cosas” defensivas es la mentalidad:
- Una mentalidad proactiva versus reactiva.
- Curiosidad sin fin por las cosas fuera de lo común.
- Mejora continua en detección y respuesta.
Pincipales funciones del Blue Team
Como indicábamos anteriormente, un Blue Team debe de tener una mentalidad proactiva y una curiosidad sin fin, además de sus funciones más básicas:
- Realizar una vigilancia constante, analizando patrones y comportamientos que se salen de lo común tanto a nivel de sistemas y aplicaciones como de las personas, en lo relativo a la seguridad de la información.
- Trabajar en la mejora continua de la seguridad, rastreando incidentes de ciberseguridad, analizando los sistemas y aplicaciones para identificar fallos y/o vulnerabilidades y verificando la efectividad de las medidas de seguridad de la organización.
- Respuesta ante incidentes, incluyendo análisis forense, trazabilidad de los vectores de ataque, propuesta de soluciones y establecimiento de medidas de detección para futuros casos.