Además de los ya conocidos conceptos de Red Team y Blue Team, April Wright (aka @aprilwrighta) ha presentado diferentes equipos de seguridad en una charla de Blackhat llamada, “El NARANJA es el nuevo Púrpura“.
Louis Cremen (aka @proxyblue) también hizo un gran artículo sobre el trabajo de April en una publicación titulada “Introducción a la rueda de colores de seguridad de la información“.
En esa charla, presentó el concepto del YELLOW Team, que son los Constructores, y luego los combinó con el Azul y Rojo para producir los otros colores. Las interpretaciones de estas interacciones se pueden combinar en la Pirámide BAD, que es una forma puramente derivada del trabajo de April.
Tampoco importa mucho que se asigne la palabra “equipo” a todos estos colores, ya que en la mayoría de los casos se trata de modos de pensar o funciones, en lugar de grupos de personas dedicadas. El Amarillo, por ejemplo, ya tiene un nombre: se llaman Desarrolladores.
Un resumen de los colores de las funciones de seguridad
Louis Cremen (aka @proxyblue) también hizo un gran artículo sobre el trabajo de April en una publicación titulada “Introducción a la rueda de colores de seguridad de la información“.
En esa charla, presentó el concepto del YELLOW Team, que son los Constructores, y luego los combinó con el Azul y Rojo para producir los otros colores. Las interpretaciones de estas interacciones se pueden combinar en la Pirámide BAD, que es una forma puramente derivada del trabajo de April.
Tampoco importa mucho que se asigne la palabra “equipo” a todos estos colores, ya que en la mayoría de los casos se trata de modos de pensar o funciones, en lugar de grupos de personas dedicadas. El Amarillo, por ejemplo, ya tiene un nombre: se llaman Desarrolladores.
Un resumen de los colores de las funciones de seguridad
- Yellow = Constructor
- Red = Atacante
- Blue = Defensor
- Green = el Constructor aprende del Defensor
- Purple = el Defensor aprende del Atacante
- Orange = el Constructor aprende del Atacante
Problemas comunes con las interacciones del equipo Rojo y Azul
Lo ideal es que los equipos rojo y azul trabajen en perfecta armonía entre sí, como dos manos que forman la capacidad de aplaudir. Al igual que el Yin y el Yang o el Ataque y la Defensa, los equipos Rojo y Azul no podrían ser más opuestos en sus tácticas y comportamientos, pero estas diferencias son precisamente las que los hacen parte de un todo sano y eficaz. Los Equipos Rojos atacan y los Equipos Azules defienden mediante unas Tácticas, Técnicas y Procedimientos previamente definidos, pero el objetivo principal es compartido entre ellos: mejorar la postura de seguridad de la organización.
Algunos de los problemas comunes con la cooperación del equipo Rojo y Azul incluyen:
El equipo Rojo se considera demasiado élite para compartir información con el Equipo Azul.
El equipo Rojo es empujado dentro de la organización y se neutraliza, restringe y desmoraliza, lo que finalmente resulta en una reducción catastrófica en su efectividad.
El equipo Rojo y el equipo Azul no están diseñados para interactuar entre sí de forma continua, como una cuestión de rutina, por lo que las lecciones aprendidas de cada lado se pierden efectivamente.
La administración de seguridad de la información no ve al equipo Rojo y Azul como parte del mismo esfuerzo, y no hay información, administración o métricas compartidas entre ellos.
Es más probable que las organizaciones que sufren de una o más de estas dolencias piensen que necesitan un Equipo Púrpura para resolverlas. Pero “Purple Team” debe considerarse como una función o un concepto, más que como un equipo adicional permanente. Y ese concepto es cooperación y beneficio mutuo hacia un objetivo común.
Entonces, tal vez haya un compromiso del Equipo Púrpura, donde un tercero analiza cómo sus equipos Rojo y Azul trabajan entre sí y recomienda soluciones. O tal vez haya un ejercicio del equipo Púrpura, donde alguien monitorea ambos equipos en tiempo real para ver cómo funcionan. O tal vez haya una reunión del equipo Púrpura, donde los dos equipos se unen, comparten historias y hablan sobre varios ataques y defensas.
El tema unificador es lograr que el equipo Rojo y Azul estén de acuerdo en su objetivo compartido de mejora organizacional y no introducir otra entidad más en la mezcla.
Algunos de los problemas comunes con la cooperación del equipo Rojo y Azul incluyen:
Es más probable que las organizaciones que sufren de una o más de estas dolencias piensen que necesitan un Equipo Púrpura para resolverlas. Pero “Purple Team” debe considerarse como una función o un concepto, más que como un equipo adicional permanente. Y ese concepto es cooperación y beneficio mutuo hacia un objetivo común.
Entonces, tal vez haya un compromiso del Equipo Púrpura, donde un tercero analiza cómo sus equipos Rojo y Azul trabajan entre sí y recomienda soluciones. O tal vez haya un ejercicio del equipo Púrpura, donde alguien monitorea ambos equipos en tiempo real para ver cómo funcionan. O tal vez haya una reunión del equipo Púrpura, donde los dos equipos se unen, comparten historias y hablan sobre varios ataques y defensas.
El tema unificador es lograr que el equipo Rojo y Azul estén de acuerdo en su objetivo compartido de mejora organizacional y no introducir otra entidad más en la mezcla.
Resumen de funciones de los diferentes equipos
- Los Red Teams emulan a los atacantes para encontrar fallas en las defensas de las organizaciones para las que trabajan.
- Los Blue Teams se defienden de los atacantes y trabajan para mejorar constantemente la postura de seguridad de su organización.
- Una implementación del Red/Blue Team que funcione correctamente incluye el intercambio regular de conocimientos entre los equipos para permitir la mejora continua de ambos.
- Los Purple Team se utilizan a menudo para facilitar esta integración continua entre los dos grupos, que no aborda el problema central de que los equipos rojo y azul no comparten información. El equipo Púrpura debe conceptualizarse como una función de cooperación o un punto de interacción, y no como una entidad superada e idealmente redundante.
- En una organización madura, todo el propósito del equipo Rojo es mejorar la efectividad del equipo Azul, por lo que el valor proporcionado por el equipo Púrpura debería ser parte natural de su interacción en lugar de ser forzado a través de una entidad adicional.
- Si combina Amarillo (Constructores) con Rojo y Azul, puede terminar con otras funciones, como Verde y Naranja, que ayudan a difundir la mentalidad de atacante y defensor a otras partes de la organización.
Externaliza los servicios para evitar conflictos internos
Red Team
Probamos la efectividad de la seguridad emulando las Tácticas, Técnicas y Procedimientos de los atacantes de la manera más realista posible
Blue Team
Implantamos contramedidas frente a las principales Tácticas, Técnicas y Procedimientos para defender a la empresa tanto de los atacantes reales como de los Red Team
