"Purple teams": combinando ataque y defensa

Continuos escándalos de filtración de datos sensibles, denegaciones de servicio que incurren en pérdidas millonarias, ransomware que imposibilita el acceso a información capital, masivas campañas de phishing y sustracciones de dinero, etc, etc. Reconozcámoslo, todos estos ataques están haciendo que (por fin) las empresas vayan tomando en serio la necesidad de invertir en seguridad informática, cada vez más conscientes de la imparable expansión de las tecnologías y la importancia de la presencia en Internet.

Toda esta demanda ha impulsado un mercado en el que se han puesto de moda la contratación de los llamados, por un lado, "blue teams" para bloquear, detectar y prevenir ataques informáticos y, por otro lado, los "red teams" a cargo de escanear, detectar y explotar las vulnerabilidades. Es decir, un equipo para defensa y otro para ataque.

Pero desde hace tiempo también se habla de un tercer equipo, el denominado "purple team", que quizás no es tan conocido pero tiene un valor adicional muy importante. Por decirlo de una forma muy resumida, se trata de un "red team" que tiene como objetivo formar y entrenar un "blue team".

Pensarlo por un momento, la naturaleza de un "red team" en un pentest es realizar un ataque de la misma manera que lo haría cualquier atacante, sobretodo en caja negra. Es decir, analizar la red y penetrar en los sistemas usando sólo las herramientas necesarias y, si es posible, de la manera más inadvertida posible pues, como comentamos, así lo hará un atacante real. Evidentemente en el otro lado habrá un "blue team" que recibirá al final los resultados en el informe correspondiente y podrá implementar las contramedidas recomendadas, pero SÓLO para prevenir las técnicas y herramientas utilizadas específicamente por el auditor de turno.

Imaginaros, ¿no sería interesante también que el equipo de pentesting probara un abanico amplio de herramientas y técnicas para evaluar en mayor profundidad las defensas? ¿Y si además trabajara conjuntamente con el "blue team" para hacer un seguimiento coordinado de los logs y las capacidades de detección? Eso es lo que sería un "purple team", sin duda una opción más completa y constructiva para conseguir una mejor fortificación.

En definitiva, si no conocíais este término os recomiendo tenerlo en cuenta y echar un vistazo a los siguientes enlaces:

http://carnal0wnage.attackresearch.com/2016/03/more-on-purple-teaming.html

http://www.slideshare.net/beltface/hybrid-talk http://www.slideshare.net/HaydnJohnson/purple-view-56169114 http://www.slideshare.net/denimgroup/b-sides-san-antonio-albert-campa-denim-group http://www.slideshare.net/alienvault/security-by-collaboration-rethinking-red-teams-vs-blue-teams-cuispa-final-22015 https://files.sans.org/summit/hackfest2014/PDFs/Hacking%20to%20Get%20Caught%20-%20Raphael%20Mudge.pdf

Comentarios