Las nuevas amenazas obligan a rediseñar las labores del equipo BlueTeam
Hace dos días vi en un grupo de Telegram una viñeta en plan meme, donde un hombre con una camiseta azul caminaba por la calle distraído, y en una esquina le esperaba un “equipo” vestido de rojo con todo tipo de armas, dispuesto a atacarle. ¿En serio, Jorge? ¿Esta es la visión que tienen algunos del BlueTeam?
BlueTeam ciberseguridad
Hace tiempo que cambiaron las reglas de juego. Y mucho. La ciberseguridad defensiva, llamada Blueteam, se ha vuelto mucho más ofensiva ante las nuevas amenazas. Todavía hay quien define erróneamente a los equipos BlueTeam como los que monitorizan los registros y actúan ante las incidencias. Y define a los equipos RedTeam como los que atacan y se “cuelan para adentro”. Es como si la actuación de los equipos BlueTeam fuese reactiva, siempre apagando fuegos que otros provocan. Quizá sea así en las series de Netflix, pero la realidad es bien diferente.
En verdad, las armas del arsenal de un buen equipo BlueTeam son mucho más proactivas y ofensivas de lo que cabe esperar. Para empezar, los registros ya no se miran cuando pasa algo, a ver qué es. Se almacenan en grandes bases de datos que correlacionan los eventos de seguridad, y generan patrones de comportamiento. Estos patrones son capaces de alertar ante situaciones comprometidas o sospechosas, y permiten actuar antes de que se produzca el caos. Son los sistemas llamados SIEM.
Por otra parte, existe multitud de sensores que analizan el tráfico de red y reconocen y detectan tráfico malicioso, malware, exfiltraciones de datos, o los llamados movimientos laterales que realiza un RedTeam cuando intenta averiguar los servicios de red de una empresa. Estos sensores se denominan Detectores de Intrusiones, y pueden alertar de intrusiones en los sistemas que, correlacionados con los SIEM, permiten detectarlos antes de vulnerar los sistemas.
Sin embargo, estas acciones no dejan de ser reactivas. Es automatizar el análisis de los registros. Aunque a veces sea con segundos de retraso, pero es una acción reactiva.
Las herramientas de un equipo de BlueTeam
Ahora el equipo BlueTeam dispone de herramientas para simular servicios reales en la empresa y crear trampas y señuelos. Estas trampas, los honeypots, permiten detectar muy rápidamente cualquier tipo de intento de acceso, y analizar el comportamiento de un posible atacante: ver qué herramientas utiliza, cuál es su metodología, cómo se conecta… De este modo podemos descubrir nuevas técnicas y amenazas e ir completando nuestras defensas en ciberseguridad, anticipándonos a los ataques reales.
Todo esto requiere, obviamente, entrenamiento. No sólo para detectar alertas y amenazas, sino para atacar nuestros propios sistemas, poner a prueba nuestras herramientas de detección y diseñar los sistemas perimetrales de manera adecuada. Cada vez más el equipo BlueTeam requiere de especialistas con conocimientos de RedTeam, que conozca las técnicas de ataques y diseñe sistemas de alertas que detecten patrones de comportamiento, antes de que los ataques se produzcan.
Pero una vez más, es el eslabón humano el eslabón más débil de la cadena. Y todo esto no nos sirve de mucho si el personal dedicado al equipo BlueTeam no tiene la capacitación adecuada, no realiza sus entrenamientos y simulacros, o carece de los medios adecuados para desempeñar su trabajo.
En Code Space Academy somos conscientes de ello y por eso nuestros alumnos realizan nuestro curso de seguridad informática BlueTeam con prácticas continuas desde el primer día. Para formar a verdaderos profesionales.
