La ciberseguridad es un ambiente que crece de forma exponencial y permanente, especialmente en los últimos años. Es un área que busca preparar a las organizaciones ante cualquier tipo de ataque cibernético y ante cualquier tipo de vulneración virtual o riesgo en el área tecnológica. Hoy veremos que significa el Blue Team en el área de la ciberseguridad. Qué funciones cumple, que características tiene y qué ventajas trae.
¿Qué es Blue Team?
Los Blue Team son equipos multidisciplinarios de profesionales de la ciberseguridad. Los mismos están especializados en analizar y comprender los comportamientos de los sistemas de las empresas. Además, controla las redes y los comportamientos de los usuarios, brindando la capacidad de descubrir velozmente la razón de cualquier incidente de ciberseguridad que surja.
El blue team es un equipo especializado, de nivel 3 en ciberseguridad. Sus integrantes buscan realizar evaluaciones de seguridad cibernética para garantizar la efectividad de estos sistemas. Luego de estas evaluaciones se analizan las amenazas reales que pueden afectar a los clientes, y se plantean formas de acción para mitigar los riesgos.
Las personas que forman parte del Blue Team deben tener muy claros cuáles son los objetivos del negocio del cual forman parte. Entender cuáles son los activos principales y una vez que estos están claros, poder realizar distintas estrategias para protegerlos.
¿Qué hace el Blue Team?
Una vez que entendemos que este equipo se dedica a la protección de los sistemas y a la ciberseguridad de las organizaciones, toca describir que tareas cumple. A continuación, te contamos las principales:
- En primer lugar, el Blue Team tiene que reunir los datos para poder documentar todo lo que se debe proteger, posterior a realizar una evaluación de los riesgos.
- Una vez que se han evaluado los riesgos, se deben reforzar todos los accesos al sistema y a las distintas redes. Un ejemplo de esto, es cuando se introducen políticas estrictas en materias de seguridad, se restringen accesos y se fortalece el software dedicado.
- El Blue Team también está dedicado a establecer protocolos de vigilancia. Son un control permanente que busca registrar toda la información relacionada con comportamientos inusuales, sospechosos o peligrosos. Un ejemplo de control permanente son las auditorías DNS.
- Finalmente, este equipo debería realizar evaluaciones de riesgo mediante exploits de el Ethical hacking.
Actividades Específicas
- Threat detection y Threat hunting
- Búsqueda activa de amenazas. Tanto en SIEM como en EDR
- Análisis forense completo. Rastrear el origen de la intrusión y evaluar su impacto, su alcance.
- Detección temprana de amenazas
- Bastionado de sistemas
Blue Team y Red Team
Cuando hablamos de Blue Team y Red Team entendemos que son equipos de ciberseguridad que trabajan prácticamente siempre de forma cohesiva y conjunta. Son Teams de ciberseguridad que realizan ejercicios continuados de simulación de ciberataques.
La diferencia entre ellos es que el Blue Team es la última línea de defensa que tiene una organización. Al ser un equipo proactivo, tiene la posibilidad de trabajar de forma continuada para vigilar ante cualquier tipo de actividad sospechosa y adelantarse a futuros ataques. Es decir, un control permanente.
El trabajo del Blue Team se ve potenciado por los profesionales del equipo rojo, esto gracias a que el Blue Team es el encargado de identificar las brechas de seguridad, para que entre el equipo Rojo y las cubra. Es decir, el equipo azul analiza y detecta comportamientos y amenazas de forma permanente a la par que realiza un monitoreo. También es una tarea del Red Team, pero este se encargará puntualmente de optimizar las estrategias defensivas y proactivas.
¿Qué herramientas utiliza este equipo?
Cuando hablamos de las herramientas utilizadas, también podemos encontrar una diferenciación respeto a las utilizadas por el equipo rojo. Las herramientas del Blue Team son destinadas a una protección ofensiva. Es decir, las herramientas que utiliza el equipo del cual estamos hablando son monitorización permanente. Son de detección y de prevención.
Para poder aplicar dichas herramientas, el Blue Team utiliza técnicas innovadoras de recolección de datos, usan técnicas de análisis de avanzada. Las cuales suelen tener involucrada la Inteligencia Artificial.
Cibedelitos: Siguen en aumento
A raíz de distintas causas, una de ellas la pandemia y todo lo que la misma significó para el mundo digital, los ciberdelitos han ido en aumento. Esto pasa a nivel mundial, pero si hablamos de algún dato específico, podemos ver los números que arrojó el último estudio presentado por la autoridad de ciberdelito en Argentina, el CERT. Donde vemos que en 2021, después de la pandemia, los ciberdelitos aumentaron un 261% en comparación con el año anterior.
Blue Team: A modo de conclusión
El equipo azul de ciberseguridad es un eslabón realmente importante y dinámico en la protección de la información de una empresa. El Blue Team es un equipo defensivo, de control y detección permanente.
Esperamos que este artículo sea de utilidad para entender más sobre esta denominación en el ámbito de la seguridad de la información. Aportando un concepto relativamente nuevo, y esencial, a tu vocabulario de ciberseguridad.
