Un equipo azul es un grupo de personas que realizan un análisis de los sistemas de información para garantizar la seguridad, identificar fallas de seguridad, verificar la efectividad de cada medida de seguridad y asegurarse de que todas las medidas de seguridad continuarán siendo efectivas después de la implementación. [1]
Historia
Como parte de la iniciativa de defensa de la seguridad informática de los Estados Unidos , se desarrollaron equipos rojos para explotar otras entidades maliciosas que les harían daño. Como resultado, se desarrollaron equipos azules para diseñar medidas defensivas contra tales actividades del equipo rojo. [2]
Respuesta al incidente
Si ocurre un incidente dentro de la organización, el equipo azul realizará los siguientes seis pasos para manejar la situación:
- Preparación
- Identificación
- Contención
- Erradicación
- Recuperación
- Lecciones aprendidas [3]
Endurecimiento del sistema operativo
En preparación para un incidente de seguridad informática, el equipo azul llevará a cabo técnicas de refuerzo en todos los sistemas operativos de la organización. [4]
Defensa perimetral
El equipo azul siempre debe tener en cuenta el perímetro de la red, incluido el flujo de tráfico, el filtrado de paquetes, los firewalls proxy y los sistemas de detección de intrusos. [4]
Herramientas
Los equipos azules emplean una amplia gama de herramientas que les permiten detectar un ataque, recopilar datos forenses, realizar análisis de datos y realizar cambios para amenazar futuros ataques y mitigar las amenazas. Las herramientas incluyen:
Gestión y análisis de registros
- AlienVault
- FortiSIEM (también conocido como AccelOps )
- Graylog
- Confiar
- LogRhythm
- NetWitness
- Qradar ( IBM )
- Rapid7
- SIEMonster
- Vientos solares
- Splunk
Tecnología de gestión de eventos e información de seguridad (SIEM)
El software SIEM admite la detección de amenazas y la respuesta a incidentes de seguridad mediante la recopilación de datos en tiempo real y el análisis de eventos de seguridad. Este tipo de software también utiliza fuentes de datos fuera de la red, incluidos los indicadores de inteligencia de amenazas de compromiso (IoC) .
Ver también
Referencias
- ^ Sypris Electronics. "DoDD 8570.1: Equipo azul" . Sypris Electronics . Archivado desde el original el 25 de abril de 2016 . Consultado el 3 de julio de 2016 .
- ^ Johnson, Rowland. "Cómo los probadores de penetración de su equipo rojo pueden ayudar a mejorar su equipo azul" . Revista SC . Archivado desde el original el 30 de mayo de 2016 . Consultado el 3 de julio de 2016 .
- ^ Murdoch, Don (2014). Manual del equipo azul: Edición de respuesta a incidentes (2ª ed.). Plataforma de publicación independiente reateSpace. ISBN 978-1500734756.
- ^ a b Instituto SANS. "Cyber Guardian: Blue Team" . SANS . Instituto SANS . Consultado el 3 de julio de 2016 .