cyber-security del Blue Team

de Francesco Ongaro, 13/04/2020
cyber-security del Blue Team

En la red, la seguridad es tan importante como en el mundo físico. En este artículo hablaremos del Blue Team: ¿Qué es? ¿De qué se ocupa? ¿Por qué su figura es tan importante para la protección de las empresas y su ciberseguridad?

En las últimas décadas, el mundo digital ha experimentado un verdadero auge. Internet permite tener una visibilidad sin igual, lo que expone a riesgos informáticos.

En este editorial profundizaremos en los aspectos del Blue Team en la ciberseguridad:

¿Qué es exactamente el Blue Team?

Blue Team

"Blue team" se traduce al español como "equipo azul". Se trata de una verdadera fuerza de tarea:

  • ubicada de manera permanente;

  • con roles y responsabilidades definidos;

  • que sigue procedimientos predeterminados, llamados "playbook";

  • compuesta por personal altamente especializado en seguridad informática.

La tarea del Blue Team es proteger la empresa:

  • identificando los ataques e incidentes informáticos;

  • respondiendo de manera adecuada para limitar su impacto;

  • poniendo fin a dichos ataques;

  • impidiendo que los atacantes mantengan el acceso a los sistemas y aplicaciones;

  • limpiando los sistemas comprometidos.

Además, el Blue Team analiza las violaciones y aplica medidas correctivas para evitar que ese ataque particular pueda repetirse.

Blue Team vs Red Team

El término Blue Team es de derivación militar y fue acuñado durante la Primera Guerra Mundial por el ejército estadounidense. Se oponía al "Red Team", es decir, el equipo rojo.

Siempre permaneciendo en el ámbito bélico, ¿cuál es la mejor manera de probar la adecuación de los sistemas de defensa? Sin duda, es simular ataques reales, destinados a detectar los puntos más débiles del sistema defensivo en sí.

Esta delicada tarea la lleva a cabo el Red Team que, en pocas palabras, debe ponerse en el lugar del enemigo y tratar de atacar el objetivo de todas las formas posibles e imaginables.

El Blue Team nació en oposición al Red Team: su tarea es, en cambio, contrarrestar los ataques simulados del Red Team, con el fin de proteger el objetivo sensible y, si es necesario, implementar y mejorar los sistemas de defensa que presentan debilidades.

Red Team: así puede atacar

Con el fin de probar al máximo los sistemas de seguridad informática y de la información sensible, el Red Team tiene carta blanca. En otras palabras, debe realizar todos aquellos ataques que podrían ser llevados a cabo por los hackers más expertos y malintencionados.

Profundiza en las actividades ofensivas del Red Team.

Las estrategias que adopta pueden ser múltiples:

  • Realizar ataques remotos a través de Internet;

  • Implementar las más diversas estrategias de ingeniería social;

  • Violar sistemas de seguridad físicos como videovigilancia, cierre automatizado de puertas, ventanas o cajas fuertes.

  • Cualquier otra acción destinada a obtener de manera ilícita datos o información sensible.

El Blue Team y las estrategias de defensa

Por el contrario, el Blue Team tiene la tarea de defender el objetivo de todos los ataques realizados por el Red Team y los atacantes reales. Resumiendo de manera esquemática, podríamos decir que sus tareas principales consisten en:

  • identificar los tipos de ataque e intrusión concretados por el Red Team;

  • bloquear estos ataques antes de que tengan efectos nefastos en el sistema informático a proteger;

  • gestionar la autenticación de dos factores;

  • activar y gestionar los runbooks de red o de sistema;

  • mejorar todos los estándares de seguridad;

  • monitorear el acceso a los datos sensibles;

  • formar al personal interno que se ocupa de la ciberseguridad.

Blue Team vs Purple Team

Además del Red Team y el Blue Team, también existe el "Purple Team". ¿De qué se trata? ¿Cuáles son sus tareas?

En lugar de tener 2 equipos distintos e independientes, que podrían no comunicarse adecuadamente para alcanzar el objetivo final que es mejorar la resiliencia frente a los ataques informáticos de la empresa, se interpone un tercer equipo, es decir, el violeta.

Este último, siempre compuesto por expertos del sector, por un lado apoya al Red Team en sus ataques, y por otro sugiere estrategias defensivas al Blue Team. Su papel es de facilitador y observador de las actividades de los dos equipos.

Otra interpretación del Purple Team es que puede sustituir al Red y Blue Team, optimizando los costos. Contratar un Red y un Blue Team completamente independientes implica un gasto considerable.

Blue Team, Red Team y Purple Team: el factor humano

Los miembros que componen estos equipos poseen en todos los aspectos las mismas competencias técnicas que los hackers más hábiles y malintencionados. Solo que estas se ponen a disposición "para el bien" y no para perseguir fines moralmente reprobables y, en muchos casos, también contrarios a la ley.

En el ámbito informático, estos técnicos se definen como "White Hat", es decir, una especie de "hackers buenos". Aunque son perfectamente capaces de realizar las operaciones más complejas, no se aprovechan de la vulnerabilidad de un sistema sino que, por el contrario, proporcionan al titular de este último todos los medios para protegerlo de los "Black Hat", es decir, los "hackers malos".

A diferencia de estos últimos, los White Hat que componen los diversos Red, Purple y Blue Team, no solo se ponen a disposición del cliente que quiere probar y/o implementar sus sistemas de ciberseguridad, sino que también se ocupan de la formación.

Las certificaciones para formar parte del Blue Team

Premisa que los White Hat son ante todo personas apasionadas por su actividad, ser un miembro del Blue Team, en lugar del Red Team, no es un juego. Por lo tanto, para trabajar en este sector, es necesario tener una formación que podrá ser reconocida mediante certificaciones oficiales.

Uno de los organismos encargados de emitir dichas certificaciones es el International Council of Electronic Commerce Consultants, abreviado "EC-Council". Este organismo fue fundado en 2003, tiene su sede en Albuquerque, Nuevo México (EE.UU.) y es reconocido a nivel mundial.

A lo largo de los años ha certificado a más de 220,000 expertos, entre ellos el famoso Edward Snowden, que saltó a la fama hace algunos años por sus impactantes revelaciones en materia de espionaje informático.

Certified Ethical Hacker (C | EH)

EC-Council Certified Security Analyst (ECSA)

Entre las principales certificaciones emitidas por este organismo, encontramos la "Certified Ethical Hacker" (C | EH) y la "EC-Council Certified Security Analyst" (ECSA). ¿En qué consisten exactamente?

Como ya se anticipó, son dos certificaciones necesarias para trabajar en los niveles más altos de ciberseguridad y son el "pase" para convertirse en miembros de los Red Team, en lugar de los Blue Team y, en consecuencia, también de los Purple Team.

La primera certificación, es decir, la "Certified Ethical Hacker" (C | EH), se emite al final de un curso enfocado en las principales técnicas de hacking ético, es decir, esa corriente a la que pertenecen los White Hat. Hay quienes, por inclinaciones personales, son más propensos a atacar (Red Team), mientras que otros prefieren dedicarse a la defensa (Blue Team).

El secreto de los White Hat: formación continua

La segunda, es decir, la "EC-Council Certified Security Analyst" (ECSA), se emite a aquellos que desean seguir una formación continua en el tiempo, para implementar las competencias adquiridas en el curso que prevé la emisión de la certificación analizada en el párrafo anterior.

De hecho, las técnicas de hacking, sean cuales sean, están siempre en constante evolución y la única manera de poseer todas las competencias del caso es seguir aprendiendo.

En otras palabras, la "EC-Council Certified Security Analyst" (ECSA) es esa certificación que, en combinación con la primera, te permite trabajar en todos los aspectos dentro del Blue Team y del Red Team.

Conclusiones

Como hemos podido ver, el trabajo del Blue Team, en sinergia con el del Red Team, es indispensable para probar el nivel de ciberseguridad de cualquier sistema informático. Los Black Hat, es decir, los "hackers malos" nunca dejan de mejorar sus técnicas y sus competencias.

La única manera de enfrentarlos y neutralizar sus ataques es someter el sistema informático a pruebas realizadas por personas que tienen las mismas competencias pero que deciden usarlas para fines nobles y legales.

Las certificaciones que hemos analizado anteriormente sirven como un verdadero punto de referencia para toda la ciberseguridad. Confiar en profesionales que poseen estas últimas es la única jugada realmente inteligente que permite proteger de manera efectiva sus sistemas informáticos.

Referencias:

El Blue Team en la seguridad informática

https://en.wikipedia.org/wiki/Blue_team_(computer_security)

¿Qué es el Purple Team?

https://purplesec.us/red-team-vs-blue-team-cyber-security/

Las certificaciones

https://en.wikipedia.org/wiki/EC-Council

Solicita más información

O llámanos al
(+39) 045 4853232

Autor
author
Francesco Ongaro
Founder @ ISGroup SRL, Hacker, CEH, ISO 27001 LA
Tags
Cyber-security, Mejores Prácticas
Social
Solicita más información

O llámanos al
(+39) 045 4853232

Artículos recientes

Visita nuestro blog

Etiquetas comunes

Publicaciones

Una breve colección de publicaciones, materiales y presentaciones que los miembros de nuestro personal han tenido la oportunidad de producir o presentar a lo largo de su carrera.

Para demostrar que para nosotros la Seguridad Informática no es solo un mercado sino una gran pasión.

Nuestras publicaciones

Investigaciones

La investigación es una actividad fascinante que enfrenta al experto en seguridad informática con escenarios y desafíos siempre nuevos. Durante años, también a través de nuestra encarnación no comercial, ush.it - a beautiful place, nos hemos dedicado a la publicación de avisos, desarrollo de exploits y caza de errores.

Nuestras investigaciones

Certificación y formación

Con la experiencia acumulada en las actividades realizadas hasta hoy, los resultados de nuestra investigación y el conocimiento de los problemas y soluciones de seguridad informática, ofrecemos varios cursos de formación para perfiles que realizan actividades ofensivas (auditores, testers de penetración) o defensivas (administradores de red, desarrolladores).

Formación

ISGroup SRL
Via Cantarane, 14
37129 Verona VR
CF e P.IVA 04164220230
REA VR-397513

Contactos

Empresa certificada ISO 9001 y ISO 27001

Cybersecurity made in Italy

© 2005-2025 ISGroup SRL. Todos los derechos reservados.

Mapa del sitio  Política de Privacidad  Política de Cookies

IQNET Certification ISO/IEC 27001:2022 Certification ISO/IEC 9001:2015 Certification

🎉 ¡Queremos hablar contigo! ¡Programa una cita!