Un Blue Team (seguridad defensiva) es el equipo de seguridad que defiende a las organizaciones de ataques de una manera proactiva
Un equipo azul está formado por profesionales de la seguridad que tienen una visión de la organización desde dentro hacia fuera. Su tarea es proteger los activos críticos de la misma contra cualquier tipo de amenaza.Son muy conscientes de los objetivos de negocio y de la estrategia de seguridad de la organización. Por lo tanto, su tarea es fortalecer los muros del castillo para que ningún intruso pueda comprometer las defensas.
Cómo funciona un Blue Team
El equipo azul primero reúne datos, documenta exactamente lo que hay que proteger y realiza una evaluación de riesgos. A continuación, refuerzan el acceso al sistema de muchas maneras, entre ellas, introduciendo políticas más estrictas en materia de contraseñas y educando al personal para que comprenda y se ajuste a los procedimientos de seguridad.
A menudo se establecen instrumentos de vigilancia que permiten registrar la información relativa al acceso a los sistemas y comprobar si hay actividades inusuales. Los equipos azules realizarán comprobaciones periódicas del sistema, por ejemplo, auditorías del sistema de nombres de dominio (DNS), exploraciones de la vulnerabilidad de la red interna o externa y la captura de muestras de tráfico de la red para su análisis.
Los equipos azules tienen que establecer medidas de seguridad en torno a los activos clave de una organización. Comienzan su plan defensivo identificando los activos críticos, documentando la importancia de estos activos para el negocio y el impacto que tendrá la ausencia de los mismos.
Ejemplos de ejercicios de Blue Team
Los Blue Team utilizan una variedad de métodos y herramientas como contramedidas para proteger una red contra ataques cibernéticos. Dependiendo de la situación, un Blue Tam puede determinar que es necesario instalar cortafuegos adicionales para bloquear el acceso a una red interna.
El riesgo de ataques de ingeniería social podría ser tan crítico que justifica el costo de la implementación de la capacitación de concienciación sobre seguridad en toda la empresa estaría justificado.
Algunos ejemplos de ejercicios de los Blue Team son:
Realizar auditorías del DNS (servidor de nombres de dominio) para prevenir ataques de phishing, evitar problemas de DNS caducados, evitar el tiempo de inactividad por la eliminación de registros del DNS y prevenir/reducir los ataques al DNS y a la web.
Realizar análisis de la huella digital para rastrear la actividad de los usuarios e identificar cualquier firma conocida que pueda indicar una violación de la seguridad.
Instalar software de seguridad de puntos finales en dispositivos externos como computadoras portátiles y smartphones.
Garantizar que los controles de acceso al cortafuegos estén correctamente configurados y que el software antivirus se mantenga actualizado.
Desplegar software IDS e IPS como control de seguridad de detección y prevención.
Implementar soluciones SIEM para registrar y absorber la actividad de la red.
Analizar los registros y la memoria para recoger la actividad inusual en el sistema e identificar y localizar un ataque.
Segregar las redes y asegurarse de que están configuradas correctamente.
Usar regularmente software de exploración de vulnerabilidades.
Asegurar los sistemas mediante el uso de software antivirus o antimalware.
Integrar la seguridad en los procesos.
¿Quieres saber más?
Comments