Pasar al contenido principal

Purple team

El Purple Team o equipo púrpura es un equipo de ciberseguridad encargado de la mejora de la seguridad en una organización que combina las tareas de ataque a la infraestructura (propias de un Red Team) con las tareas de bloqueo y prevención (habituales de un Blue Team). Surge  al mezclar los colores del Blue Team y Red Team, que provienen del ámbito militar en cuyas simulaciones de guerra el equipo rojo adopta el rol de atacante y el equipo azul, el de defensor. El Red Team de una organización comprueba si un sistema es seguro atacándolo como lo haría un atacante externo y facilita los datos encontrados con las posibles amenazas al Blue Team, que es el encargado de realizar el bloqueo y prevención de las fallas encontradas. Este flujo poco directo puede provocar en ocasiones que los procesos se ralenticen o surjan problemas comunicativos. El Purple Team nace como un equipo o proceso que realiza labores de ataque y defensa y coordina las acciones del ambos equipos, consiguiendo un flujo de trabajo más ágil y realimentando la información y efectividad de los mismos. Un Purple Team puede ser un equipo de personas independientes al Red y Blue Team, pero también ser considerado como una dinámica de trabajo entre estos ambos.

En un escenario clásico, el Red Team realizaría un simulacro de ataque contra una infraestructura y elaboraría un informe de comentarios al finalizarlo. Simultáneamente, el Blue Team llevaría a cabo tareas de defensa para intentar bloquear estos simulacros de ataques. Si a este ejemplo le sumamos el componente del Purple Team, el Red Team ahora no solo efectuaría el simulacro, sino que se coordinaría con el Blue Team para bloquear las posibles amenazas e incluso llevar a cabo escenarios más agresivos y complejos para determinar el nivel de seguridad de la infraestructura analizada. De este modo las pruebas se retroalimentan y el nivel de defensa al terminar las pruebas es mayor, ya que no se comprueba la posible vulnerabilidad a un tipo de ataque, sino que se despliegan defensas sobre una multitud de pruebas coordinadas. Es recomendable que un Purple Team esté separado de los otros equipos o se incorpore como un proceso de trabajo entre ellos.

Un Purple Team puede ser ideal para empresas pequeñas sin recursos para tener dos equipos diferenciados que se unificarían en ese. Las ventajas de su implementación:

  • Mayor coordinación entre los equipos de ataque y defensa.
  • Sistemas más fortificados gracias al apoyo aportado al equipo de defensa.
  • Implementación de planes de actuación para que el equipo atacante realice ataques complejos con el fin de defenderse ante futuros ataques.
  • Retroalimentación entre los diferentes equipos para la realización de pruebas más dinámicas, adaptando ataques y defensas a nuevos elementos encontrados durante las pruebas.
  • Una visión más clara de todos los elementos y posibles pasos posteriores a realizar tras las pruebas.

Compartir

Compartir en Linkedin