¿Esto de los colores? ¿De qué va? Seguro que sabes que en el mundo de la ciberseguridad lo de los equipos y los colores va de la mano, ¿eres blue o eres red?
Si me conoces ya sabes que tiendo a ser más de red, de hecho entre tú y yo, hasta hace relativamente poco el trabajo de Blue me parecía aburrido y sólo me molaba “romper” (red), pero ya no opino igual, al final del correo te cuento por qué.
Por si no estás familiarizado, ¿de dónde viene esto de los colores? Blue team y red team, son términos heredados de los ejercicios militares en los que un equipo ataca y otro defiende, y dentro de ciberseguridad se usan de la misma manera.
Vamos a ver en qué consiste cada uno de ellos de forma sencilla:
¿Qué es el blue team? 🔵
Es el equipo encargado de defender la organización, y lo hace mejorando continuamente las maneras de protegerla a través de tareas como la respuesta ante incidentes, la revisión y actualización continua de los procedimientos.
¿Qué tipo de tareas llevan a cabo? Entre otras se encargan de:
Monitorización de alertas de seguridad
Respuesta ante incidentes
Análisis forense
Ingeniería inversa
...
Y ahora, ¿de qué va el red team? 🔴 (Importante: Hablando de red team como equipo ofensivo, no como ejercicio de red team):
Este equipo se encarga de detectar vulnerabilidades o fallos de seguridad en las organizaciones poniéndose en la piel de los ciberdelincuentes (
no hackers, no, CIBERDELINCUENTES), utilizando técnicas, y herramientas similares a las que usarían “los malos”.¿Qué tipo de tareas llevan a cabo?
Escaneos de vulnerabilidades.
Auditorías de seguridad (infraestructura, aplicaciones web, directorio activo, Wifi, entre otras).
Pentesting.
Ejercicios de red Team (el de verdad), estos ejercicios son más sofisticados. En ellos los profesionales tratan de evaluar las medidas de seguridad de una organización, simulando las mismas técnicas y tácticas de los ciberdelincuentes. Estos proyectos son mucho más duraderos y están muy preparados pudiendo llegar a durar más de un año, desde la preparación inicial, hasta la ejecución y finalización del mismo. El objetivo, entrar en la organización sin ser detectados.
Ya solo me queda hablar de que cuando red y blue trabajan juntos (pero juntos de verdad) aparece el conocido como purple team 🟣 (no te lo esperabas ¿verdad?). Básicamente esto sucede cuando los dos equipos trabajan codo con codo y con comunicación entre ellos. El equipo ofensivo explica al blue team cómo ha bypasseado un control, el blue modifica los controles para detectarlo a partir de ese momento, el blue team indica al red que ha detectado un intento de explotación en la red y explica cómo lo ha detectado para que el red piense como hacer más sofisticado su ataque para no ser descubierto. En resumen, aprende un equipo del otro con un objetivo común mejorar juntos.
Y... ¿Por qué cambié mi perspectiva con respecto al blue team?
Porque cuando experimenté que trabajando juntos (red y blue), vi que la calidad del trabajo y el nivel de seguridad de las organizaciones mejora una locura 🤯 .
Siempre digo que en este mundo hay que estar dispuesto a aprender, y este es un buen ejemplo. Entender el trabajo del resto de compañeros y mantener la mente abierta para aprender cuándo menos lo esperemos.
Ahora mismo, trabajo más cerca del equipo defensivo o blue, y compartiendo lo que hacemos cada uno vamos creciendo y aprendiendo juntos, haciendo que nuestro trabajo sea mejor.
Solo llegarás más rápido, pero acompañado llegarás más lejos.
¿Ya has elegido bando? Si es así, respóndeme y cuéntame cuál eliges y por qué.
Un abrazo,
Marta
Bonus track: No te lo pierdas
Si quieres profundizar en estos dos equipos, en el canal de twitch hemos entrevistado a gente de cada uno de ellos:
Si te interesa el mundo de blue team 🛡️, hemos entrevistado a Marta López (@Martixx), puedes verlo aquí.
Si por el contrario eres más de red ⚔️, tienes la entrevista a Carlos Rivero (@hipotermia), Bug bounter, que puedes ver aquí.
Si prefieres consumirlo en audio en el podcast de securiters también las tienes disponibles.