Red Team vs Blue Team

Constantemente escuchamos términos como “Blue Team” y “Red Team”. Sin embargo, la gente no termina de comprender a qué se refiere como tal esta división de equipos dentro de una organización, en cuanto a la seguridad informática se refiere.

Para comprender la labor que desempeñan ambos equipos, debemos ver la ciberseguridad como si fuera una guerra (que usualmente, suele ser así); un grupo de personas atacando un sistema (Red Team) y otro defendiéndolo y/o identificando y mitigando los ataques en tiempo real (Blue Team).

Esta división nace en Estados Unidos y sus departamentos de defensa, surgiendo de la necesidad de realizar ejercicios de simulación, evaluación y entrenamiento como medio de capacitación para los profesionales de las instituciones gubernamentales; en dichas prácticas, los miembros de una organización se dividen en equipos para competir en dos bandos. Con esto se pretende identificar vulnerabilidades y encontrar agujeros de seguridad en la infraestructura de los sistemas.

Por una parte, el equipo rojo, formado por hackers éticos, se encarga de probar la seguridad de un sistema. Esto lo logran a través de realizar pruebas de penetración en sistemas, software y redes informáticas, como lo haría un ciberdelincuente en la vida real, para encontrar vulnerabilidades y fallos de configuración o diseño en la seguridad de una organización.

El Red Team es utilizado por diversas empresas, tanto públicas como privadas, para comprobar el nivel de seguridad que hay en los sistemas.

Por otra parte, el equipo azul es el encargado de defender el sistema. Su labor es realizar análisis exhaustivos de los sistemas de información, así como los registros que generan los diversos elementos de seguridad perimetral, para poder garantizar la seguridad y verificar la efectividad de cada medida de seguridad implementada por la organización para la que trabajan.

Gracias a estos análisis, posteriormente pueden desarrollar planes de seguridad, usando diversas técnicas y herramientas para securizar y reforzar los sistemas.

El equipo azul se encarga también de dar respuesta ante los incidentes de seguridad que se presenten, identificando el problema, conteniéndolo, erradicándolo y recuperándose del incidente de la mejor manera posible, haciendo que conlleve la menor pérdida posible de información significativa para la empresa.

Actualmente, se ha desarrollado también el concepto de “Purple Team”, que está formado por profesionales del Red Team que se han preparado más profundamente en análisis forense y respuesta ante incidentes, para complementar sus conocimientos de hacking ético y estar más capacitados para poder realizar ambas funciones.

En algunas organizaciones, los purple teams desempeñan un rol de mediadores entre ambos equipos, para que éstos compartan información y logren así un mejor índice de efectividad.

Es muy recomendable para las empresas, contar con personal capacitado para poder defenderse. No es suficiente tener la mejor infraestructura, el mejor antivirus o las últimas herramientas del mercado; nuestro equipo de trabajo y el personal que colabora con nosotros, son nuestra primera línea de defensa contra los ataques y los fallos informáticos, y si no son eficientes ni están perfectamente capacitados para salvaguardar nuestra seguridad, estaremos poniendo en riesgo la información de nuestra organización y la de nuestros clientes.

 

Autor: Vanessa Dapena Lorenzo – Community Manager y Consultora de Marketing de Securízame