Como sugiere inmediatamente el nombre, el Purple Team es la derivación y unión entre el Blue Team y el Red Team, equipos permanentes dentro de la empresa para gestionar la Ciberseguridad.
La ciberseguridad representa un sector fundamental en el control y la salvaguardia de la red, las aplicaciones y los sitios web tanto en el ámbito civil como militar.
En este editorial profundizaremos en los aspectos del Purple Team en la ciberseguridad:
¿Qué es el Purple Team?
Los equipos más importantes y renombrados en el campo de la ciberseguridad siempre han sido el "Red Team" y el "Blue Team", probablemente los primeros colores y equipos en aparecer en la ciberseguridad.
La división clara y la competencia entre los dos equipos eran la norma, hasta que alguien pensó que crear un equipo de enlace aportaría ventajas evidentes a ambos equipos, pero sobre todo un mejor resultado final.
El papel principal del purple team es supervisar y optimizar el trabajo y las comunicaciones que se producen entre el Red Team y el Blue Team.
Esto permite una mejor comunicación, mejores pruebas de penetración y defensa relativa y, en general, una cultura más colaborativa, a través de la función "mediadora" generada por el purple team.
El Purple Team para la optimización de costos
Gracias al trabajo del Purple Team, es posible tener ya una primera y precisa visión general del sistema de ciberseguridad a probar. Luego, si es necesario profundizar en ciertos detalles, se puede contratar un Red Team y un Blue Team para una prueba exhaustiva.
De esta manera, se pueden optimizar los costos porque los dos equipos se enfrentarían solo en ciertos ámbitos, es decir, aquellos en los que no ha habido un verdadero éxito por parte del Purple Team.
De la misma manera, especialmente en relación con los sistemas informáticos más extensos y complejos, el Purple Team puede realizar una primera "criba", es decir, identificar los puntos débiles que necesitan un análisis exhaustivo.
Una vez identificados estos últimos, pueden intervenir el Red Team y el Blue Team con sus respectivas tareas.
Purple Team vs Blue Team vs Red Team
Hagamos un breve resumen para entender mejor para qué sirve el purple team y por qué fue creado.
Red Team
El red team es un equipo compuesto generalmente por "hackers éticos" cuyo objetivo es desmantelar el sistema.
Un equipo, a menudo independiente, contratado por las empresas para poner "bajo presión" el sistema, encontrar y resaltar vulnerabilidades, con el fin de resolver problemas críticos antes de que un atacante malintencionado pueda explotar posibles fallas en el sistema.
El red team trabaja con objetivos bien definidos, que consisten en la infiltración en el sistema, el engaño perpetrado a los sistemas de defensa y a las personas encargadas de ellos (los defensores, el blue team).
El red team busca fallas, errores y grietas para explotar e ingresar al sistema empresarial y realizar acciones maliciosas.
En el otro lado del "campo de batalla", hay alguien que trabaja incansablemente para evitar estas acciones, a través de un trabajo de prevención y protección (el blue team).
Blue Team
El antídoto del red team es el blue team, su contraparte y némesis.
El blue team es generalmente un equipo interno de la empresa, agrupado en un "SOC", Security Operations Center.
Este equipo está compuesto por analistas calificados, cuyo principal objetivo es la defensa de la infraestructura.
Defensa que logran normalmente de dos maneras:
-
De manera preventiva, mediante la creación de barreras, protecciones e incluso "cebos" para desviar de manera segura y en un "lugar" deseado el ataque realizado desde el exterior.
-
De manera reactiva, para intervenir cuando sea necesario, cuando el ataque perpetrado es demasiado sofisticado, innovador o variado para ser detectado y combatido por los sistemas automáticos de protección y se requiere intervención humana.
El blue team es el que en la empresa busca educar a los operadores, hace cambiar las contraseñas periódicamente, etc...
El blue team no realiza estas acciones (y muchas otras "invisibles" para el empleado promedio) sin un propósito, su objetivo es minimizar y reducir el riesgo de infracciones informáticas a cero, mediante procedimientos claros y bien definidos.
¿Atacantes vs defensores entonces?
Sí, pero dado que el mundo no es solo blanco y negro, se necesitaba un nexo de unión entre los dos grupos, una solución que aportara ventajas a todos, un puente entre los dos equipos, una unidad de mediación.
De ahí el nacimiento y creación del purple team, un nuevo enfoque, una combinación de estos dos equipos (y colores) que se sitúa en el medio entre los dos, aportando ventajas a ambos y al sistema en general.
El propósito de los miembros del purple team es supervisar el trabajo realizado por el Red Team y el Blue Team, tratando de hacerlos comunicarse mejor en función del objetivo final compartido.
Purple team
Ahora que hemos descubierto cómo nace este equipo, vamos a entender mejor cuáles son las actividades del purple team y quién lo compone.
El purple team está compuesto generalmente por analistas de seguridad (Senior Security Analysts) y de amenazas (Threat Intelligence Analysts).
Unión de los dos equipos de los que deriva (aunque típicamente compuesto en su mayoría por personal proveniente del red team), el propósito de este equipo es principalmente comunicativo y de supervisión.
Permite mantener la competencia en los carriles de la utilidad, verificando que la comunicación permanezca en el ámbito requerido, sea lineal y compartida.
Otra característica fundamental del purple team es la flexibilidad.
El purple team es un equipo no permanente, sino creado de vez en cuando según la necesidad a verificar y el comportamiento de los dos equipos de los que deriva.
Esto permite al purple team estar siempre "fresco" y con ideas y sugerencias nuevas.
Actividades del purple team
Las actividades del purple team aportan valor en las fases de prueba de la seguridad informática.
Cuando se debe realizar una "automatización de ataques" o una "Prueba de Penetración", siempre es bueno crear previamente un purple team o tratar de hacerlo emerger del trabajo conjunto de los Red Team y Blue Team.
El purple team facilita la comunicación entre los dos equipos, recopila datos e información útil para las pruebas posteriores y analiza los resultados en tiempo real.
El trabajo del purple team también es "guiar" al Red Team, dándole sugerencias para zonas de ataque, con el fin de probar una nueva protección, una posible falla o una trampa preparada por el blue team.
Por otro lado, el purple team puede ayudar al Blue Team a entender cómo se está llevando a cabo el ataque y a gestionarlo de la mejor manera.
Además, el purple team tiene la función fundamental, aunque no escrita, de árbitro y supervisor con un importante papel de verificación del respeto de las condiciones del desafío y el respeto de los equipos y sus respectivas competencias y encargos.
¿Por qué una empresa necesita un purple team?
Tener un Red Team y un Blue Team sin un amortiguador en el medio podría resultar perjudicial a corto plazo.
Sin un purple team, los dos equipos de los que deriva nunca se enfrentarán.
El Blue Team no ayudará en absoluto al Red Team; el objetivo del primero es la ausencia de amenazas o su rápido control; ¿por qué entonces ayudar al enemigo?
El Red Team, por otro lado, no interactuará en absoluto con el Blue Team.
En una condición competitiva, buscará crear el "mayor daño" posible.
La creación del purple team permite que la competencia pase de nivel, eliminando egoísmos y fracasos pueriles en función de una ciberseguridad implementada y funcional.
Además de comunicación y colaboración, el purple team puede aportar otros beneficios a la empresa y a su seguridad informática.
¿Por qué insistir en la importancia del purple team?
La adopción de un purple team puede llevar a la reducción, incluso notable, de los tiempos de retroalimentación e implementación de lo descubierto e identificado por el red team.
Este equipo permite la abolición de la lógica de compartimentos estancos, garantizando un flujo constante de información; condición que permite una corrección del trabajo en tiempo real.
La facilitación de los procedimientos de ataque permite la construcción "inmediata" del sistema de defensa más correcto.
La compartición del procedimiento defensivo permite, de manera opuesta, al Red Team conocer mejor el campo de juego y probar debilidades y posibles puntos de entrada que ellos podrían no haber considerado aún.
Algunos ejemplos de adopciones exitosas
La adopción de la lógica del purple team ha tenido un éxito inmediato por parte de las empresas más grandes del sector.
Intel creó su primer purple team en 2007 y aún hoy lo "utiliza" diariamente.
Google, Microsoft, Oracle y otros grandes de la informática y la ciberseguridad tienen purple teams fijos o los crean según sea necesario en las diversas fases de prueba y control.
Incluso empresas "menos" tecnológicas, como por ejemplo el gigante de la distribución norteamericana WalMart ha creado un purple team que utiliza diariamente para el control e implementación de su sistema informático.
Conclusiones
La seguridad informática de tu estructura adquiere cada día una importancia neurálgica mayor.
Así como en el sistema médico cada día los virus y las bacterias se vuelven más inteligentes y eficientes, lo mismo ocurre con las amenazas informáticas.
Por lo tanto, cada día debe evolucionar también tu sistema de defensa.
Como en cada batalla, a menudo la comunicación es lo que a largo plazo puede llevar a la victoria final; especialmente cuando el desafío es entre dos ejércitos que, aunque opuestos, tienen el mismo objetivo final.
La velocidad y la prontitud de respuesta en el campo de la ciberseguridad lo es todo, la implementación de un purple team permite reducir notablemente los tiempos comunicativos y de retroalimentación, evitando actualizaciones y conclusiones solo al final del ejercicio, pero introduciéndolos en tiempo real.
