Según indica el nombre, el Purple Team es la derivación y unión entre el Blue Team y el Red Team de equipos permanentes dentro de la empresa para gestionar la Ciberseguridad .
La Ciberseguridad representa un sector fundamental para el control y salvaguarda de la red, aplicaciones y sitios web tanto en el ámbito civil como militar.
A continuación descubriremos las características del Purple Team en la Ciberseguridad:
¿Qué es el Purple Team?
Los equipos más importantes y famosos en el sector de la Ciberseguridad son el "Red Team" y el "Blue Team", probablemente los primeros colores con sus respectivos equipos en aparecer en ciberseguridad.
La división y la competencia entre los dos equipos estaban a la orden del día, hasta que alguien pensó que crear un equipo conector traería ventajas para ambos equipos pero, sobre todo, un mejor resultado final.
De hecho, el rol principal del purple team es revisar y optimizar el trabajo y las comunicaciones entre el Red Team y el Blue Team.
Esto permite una mejor comunicación, mejores pruebas de penetración y defensa, además de una mayor colaboración gracias a la función "mediadora" del purple team.
El Purple Team para la Optimización de Costes
Gracias al trabajo del Purple Team, es posible tener una primera y precisa visión general del sistema de Ciberseguridad a probar. Luego, en caso de que se necesite profundizar en detalles, se pueden contratar el Red Team y el Blue Team para una prueba más detallada.
De esta forma se pueden optimizar costes ya que los 2 equipos se enfrentarían solo en determinadas áreas, es decir, aquellas en las que no ha habido un éxito real por parte del Purple Team.
Asimismo, especialmente en relación con los sistemas de TI más extensos y complejos, el Purple Team puede llevar a cabo una primera "evaluación", es decir, establecer los puntos débiles que necesitan un análisis en profundidad.
Una vez identificados estos puntos, el Red Team y el Blue Team pueden intervenir con sus respectivas tareas.
Purple Team vs Blue Team vs Red Team
Os dejamos un breve resumen para entender mejor las funciones del Purple Team y el porqué de su creación
El Red Team
El red team es un equipo generalmente formado por "hackers éticos" cuyo objetivo es "hacer saltar" el sistema.
Un equipo, a menudo independiente, que viene contratado por empresas para poner el sistema bajo presión, encontrar y resaltar vulnerabilidades, con el fin de resolver problemas críticos antes de que un hacker pueda explotar cualquier fallo en el sistema.
El red team trabaja con objetivos muy definidos, que consisten en la infiltración en el sistema, en el engaño perpetrado sobre los sistemas de defensa y sobre los responsables de la misma (los defensores, el Blue Team).
El Red Team busca fallos y bug para explotar y entrar en el sistema corporativo y llevar a cabo acciones maliciosas.
Del otro lado del "campo de batalla", hay alguien que trabaja incansablemente para evitar estas acciones, a través de un trabajo de protección y prevención (el blue team).
El Blue Team
El antídoto del red team es el blue team, su oposición y némesis.
El blue team suele ser un equipo interno de la empresa, agrupados en un "SOC" (en inglés), Centro de Operaciones de Seguridad.
Este equipo está formado por analistas cualificados, cuya tarea principal es la defensa de la infraestructura.
La defensa se obtiene de dos formas:
-
De forma preventiva, creando barreras, protecciones e incluso "cebos" para desviar el ataque del exterior de forma segura y en el "lugar" deseado.
-
De forma reactiva, para intervenir cuando se necesita, cuando el ataque perpetrado es demasiado sofisticado, innovador o variado para ser detectado y combatido por sistemas automáticos de protección y es necesaria la intervención humana.
El Blue Team es el que en la empresa trata de "educar" a los empleados, cambia periódicamente las contraseñas, etc...
El blue team hace todo esto (y muchas otras "tareas invisibles" a cualquier empleado normal) con el objetivo de minimizar y reducir el riesgo de infracciones informáticas, a través de procedimientos claros y bien definidos.
¿Se trata entonces de ataque y defensa?
Sí, pero como no todo es blanco o negro, se necesita una "unión" entre estos dos equipos, una solución que traiga ventajas a todos, un "puente" entre los dos equipos o, mejor dicho, un mediador.
Para ello se creó el Purple Team, un nuevo enfoque, una combinación de estos dos equipos (y colores) que está en el medio entre los dos aportando ventajas a ambos y al sistema en general.
Los miembros del Purple Team tienen como objetivo el de revisar el trabajo realizado por el Red Team y el Blue Team, tratando de que se comuniquen mejor de acuerdo con el objetivo final compartido.
El Purple team
Ahora que sabemos cómo se creó este equipo, vamos a descubrir cuáles son las principales actividades del purple team y quién hace parte de este equipo.
El purple team suele estar formado por analistas de seguridad (Senior Security Analysts) y amenazas (Threat Intelligence Analysts).
El Purple Team es la unión de los dos equipos (Blue Team y Red Team) de los que deriva (aunque está compuesto en su mayoría por personal del Red Team) y su finalidad es principalmente comunicativa y de supervisión.
De hecho, permite mantener la competencia en los binarios de utilidad, verificando que la comunicación se mantenga dentro del rango requerido, tanto lineal como compartido.
Otra característica muy importante del Purple team es la flexibilidad.
De hecho, el Purple Team es un equipo no permanente, sino que se crea de vez en cuando según necesario y según el comportamiento de los dos equipos de los que deriva.
Esto permite al Purple Team de estar siempre al tanto con nuevas ideas y sugerencis.
Las actividades del Purple team
Las actividades del Purple Team agregan valor en las fases de prueba de ciberseguridad.
Cuando hay una "automatización de ataque" o una " Prueba de Penetración " siempre es bueno crear un Purple Team de antemano o intentar que surja del trabajo conjunto del Red Team y Blue Team.
El Purple Team facilita la comunicación entre los dos equipos, recopila datos e información útiles para pruebas posteriores y analiza los resultados en tiempo real.
Otro de los trabajos del Purple Team es el de "guiar" al Red Team, dándole sugerencias de zonas de ataque, para probar una nueva protección, un posible fallo o una trampa preparada por el Blue Team.
Por otro lado, el Purple Team puede ayudar el Blue Team aoara può aiutare il Blue Team a comprender cómo se está perpetrando el ataque y gestionarlo de la mejor manera posible.
Ademñas, el Purple team tiene la función fundamental, aunque no esté escrita, de árbitro y supervisor con un papel importante en la verificación del cumplimiento de las condiciones del desafío y el cumplimiento de los equipos y habilidades y asignaciones relacionadas.
¿Por qué una empresa necesita un Purple team?
Tener un Red Team y un Blue Team sin "mediador" de por medio podría resultar perjudicial a corto plazo.
Sin el Purple team, los dos equipos nunca se enfrentarían.
El Blue Team no "ayuda" al Red Team; el objetivo del Blue Team es la ausencia de amenazas o su rápido control; entonces, ¿por qué ir y ayudar al enemigo?
Por su lado, el Red Team nunca interactuaría con el Blue Team,
sino que trararía de crear el "mayor daño" posible.
Por ello, la creación del Purple Team permite estar en "otro nivel", colaborando sin egoísmos ni fracasos en función de una ciberseguridad implementada y funcional.
Además de la comunicación y colaboración, el Purple team brinda otras ventajas a la empresa y a su seguridad informática.
¿Por qué hacer hincapié en la importancia del Purple Team?
Porque el Purple Team puede llevar a una reducción, incluso considerable, de los tiempos de feedback y ejecución de lo que se descubre e identifica por el Red Team.
De hecho, este equipo permite la supresión de la lógica con compartimentos estancos, garantizando un flujo constante de información; condición que permite una corrección del trabajo en tiempo real.
Facilitar los procedimientos de ataque permite la construcción "inmediata" del sistema de defensa más correcto.
El compartir el procedimiento defensivo permite, de manera opuesta, al Red Team conocer mejor el terreno de juego y probar debilidades y posibles puertas de entrada en las que quizás aún no hayan pensado.
Algunos ejemplos de éxitos
La lógica del Purple Team tuvo un éxito inmediato por parte de las empresas más grandes de la industria.
Intel creó su propio purple team en 2007 y sigue beneficiándose de él a día de hoy..
Google, Microsoft, Oracle y otros gigantes de la informática y ciberseguridad tienen Purple Teams permanentes o los crean según sea necesario en las distintas fases de prueba y control.
Incluso empresas "menos" tecnológicas, como el gigante norteamericano de la distribución WalMart ha creado un Purple Team que utiliza a diario para controlar e implementar su sistema de TI.
Conclusiones
La seguridad informática de una empresa cobra cada día más importancia.p>
Así como los virus y las bacterias se vuelven más inteligentes y eficientes cada día más en el sistema médico, lo mismo ocurre con las ciberamenazas.
Es por ello que nuestro sistema de defensa necesita evolucionar cada vez más.
Como en cualquier batalla, la comunicación es lo que lleva, a largo plazo, a la victoria final, sobre todo cuando en esa batalla luchan dos ejercitos con un mismo objetivo final.
La velocidad y la capacidad de respuesta en el campo de la ciberseguridad lo es todo, la implementación del Purple Team permite reducir significativamente los tiempos de comunicación y feedback, evitando actualizaciones y conclusiones solo al final del ejercicio, pero introduciéndolas en tiempo real. / p >
