Pasar al contenido principal

Blue Team

El término blue team hace referencia a la seguridad defensiva en el ámbito de la ciberseguridad. Por el contrario, la seguridad ofensiva se conoce como red team. Cada uno de estos equipos tiene sus funciones características. En el caso del blue team, se tiene como principal objetivo realizar evaluaciones de las distintas amenazas que pueden afectar a las organizaciones. Es decir, se tiene una visión de la organización desde dentro hacia afuera con el fin de proteger los activos contra cualquier tipo de amenaza. Para ello, se realizan diferentes actividades como la monitorización de la red o de los sistemas, o se recomiendan planes de actuación que ayuden a mitigar los riesgos en la organización. Las funciones principales que desempeña un blue team son:

  • Vigilancia constante, análisis de patrones y/o comportamientos no comunes en las redes o sistemas. Estos comportamientos pueden provenir tanto desde los dispositivos como desde las personas.
  • Rastreo de incidentes de ciberseguridad. Análisis de sistemas y aplicaciones en busca de vulnerabilidades y comprobación de la efectividad de las medidas de seguridad en la organización.
  • Respuesta a incidentes. Incluyendo la utilización de técnicas de análisis forense de los activos afectados, buscar la trazabilidad de los vectores de ataque, aportar soluciones y establecer medidas correctoras y de detección para el futuro.

Existe una cierta variedad de ejercicios que pueden ser realizados por el blue team. Algunos ejemplos de los métodos y herramientas que se utilizan para proteger una red contra ciberataques pueden ser los siguientes:

  • Realización de auditorías del DNS, o servidores de nombres de dominio (en inglés, Domain Name Server) para prevenir ataques de phishing, evitar problemas ocasionados por DNS caducados, evitar el tiempo de inactividad por la eliminación de registros del DNS y prevenir y reducir los ataques al DNS y a la web de la organización.
  • Realización de un análisis de la huella digital para poder rastrear la actividad de los usuarios e identificar violaciones de seguridad en el sistema.
  • Instalación de software de seguridad en dispositivos externos de la organización como pueden ser teléfonos móviles u ordenadores.
  • Aseguramiento de que los controles de acceso al cortafuegos (firewall) estén correctamente configurados y que además se mantengan actualizados.
  • Despliegue de herramientas o software IDS (detección) e IPS (protección) como control de seguridad en el ámbito de la detección y prevención.
  • Implementación de soluciones SIEM para registrar y monitorizar la actividad de la red.
  • Análisis de los registros con el objetivo de recoger la actividad inusual en el sistema y poder identificar y localizar ataques cibernéticos.
  • Comprobar que las redes están configuradas correctamente.
  • Distribución y comprobación de que el software antivirus o antimalware está correctamente actualizado.

El principal beneficio del blue team es la protección a largo plazo ya que aseguran las defensas mediante una supervisión constante del sistema. Adicionalmente, es recomendable tener definida una estrategia para la acción combinada entre el blue team y el red team en la organización ya que la complementación entre ambos equipos suponen una ventaja clave a la hora de encontrar vulnerabilidades y mejorar continuamente la seguridad de la organización.

Compartir

Compartir en Linkedin