Técnicas del Blue Team

| Última modificación: 29 de julio de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Cuáles son las principales técnicas del Blue Team y cómo se implementan en ciberseguridad? ¿Por qué se encuentran divididas, a pesar de que deben estar todo el tiempo articuladas?

El término Blue Team fue tomado por la ciberseguridad de la jerga militar y se utiliza para diferenciar al equipo que defiende un sistema informático del Red Team, cuya tarea es atacarlo. Antes de explicar técnicas del Blue Team y adentrarnos a ver cuáles son sus desafíos, es necesario esclarecer por qué se necesita también de un equipo atacante.

Red Team y Blue Team

El Red Team, al igual que el Blue Team, es necesario para la ciberseguridad de una empresa. Las principales tareas de este equipo son realizar ataques autorizados y controlados a determinados sistemas, para luego reportar todos los fallos de seguridad encontrados. El Blue Team se alimenta de la información hallada por el Red Team y, por eso, para aprender acerca de sus técnicas, también es necesario conocer cómo piensan los atacantes.

El Blue Team, encargado de proteger al sistema de atacantes y pentesters, se enfrenta a un enorme desafío que es, quizás, mucho más grande que el de los hackers. Mientras que los atacantes necesitan encontrar un solo fallo para causar daños posiblemente irreparables, los miembros del Blue Team tienen que cubrir amplias superficies de ataque y asegurarse de que no tienen ningún tipo de vulnerabilidad.

Ahora bien, el Blue Team también tiene una ventaja sobre los atacantes y algún que otro as debajo de la manga. Una vez las amenazas son detectadas, el equipo azul puede bloquearlas e implementar medidas de seguridad. El problema es que, según Cisco Security, el tiempo promedio que transcurre desde el momento en el que un atacante se infiltra hasta que es descubierto es de casi dos meses. Por eso, en este post, veremos técnicas del Blue Team orientadas hacia disminuir el tiempo de permanencia de los atacantes en los sistemas y evitar que se infiltren.

Técnicas del Blue Team

Las técnicas del Blue Team se pueden dividir y clasificar según las capas del sistema en las que se apliquen. Por ejemplo, los firewalls o cortafuegos son medidas de seguridad para las redes, mientras que los antivirus protegen los dispositivos. A continuación, te explicaremos las principales técnicas del Blue Team para cada uno de los segmentos de un sistema, comenzando por los servicios de la nube.

Seguridad de servicios cloud

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

¿Alguna vez te has preguntado qué técnicas del Blue Team están relacionadas con los servicios cloud? La primera de ellas, por supuesto, se trata del hardening. Este anglicismo, que en español puede reemplazarse por el término bastionado, se refiere a configurar los sistemas informáticos (softwares y hardwares) de manera segura. Por esta razón, en este post hablaremos regularmente sobre procesos de bastionado. El bastionado de servicios en la nube incluye, por ejemplo, controlar estrictamente el acceso de los usuarios autorizados a los datos.

Además del hardening cloud, existen plataformas basadas en la nube que son de gran utilidad para el Blue Team. Un ejemplo de ello son los softwares XDR (Extensive Detection and Response), que sirven para desplegar productos de seguridad a lo largo de todas las capas del sistema para generar reportes y controlarlos desde la nube.

Seguridad de redes

¿Qué técnicas del Blue Team se relacionan con la seguridad de redes? Seguro que has escuchado hablar sobre firewalls alguna vez. Los cortafuegos son dispositivos de red (físicos o de software) que sirven para monitorizar y filtrar el tráfico de datos de los equipos conectados a internet. Los firewalls se pueden instalar en varios niveles del sistema y, asimismo, no son la única medida de seguridad para redes.

Los IDS/IPS o Intrusion Detection/Prevention Systems son softwares o dispositivos que detectan amenazas en el tráfico de una red. Los IDS se pueden instalar directamente en los ordenadores conectados a internet, como pueden estar basados directamente en la red. Los IPS, adicionalmente, tienen la capacidad de bloquear amenazas e impedir que interactúen con los equipos protegidos.

Seguridad de dispositivos

Para los dispositivos, existen antivirus de última generación y, asimismo, programas llamados EDR o Endpoint Detenction and Response. Los EDR son softwares que van más allá de los antivirus, pues monitorizan el comportamiento de los ordenadores y detectan anomalías. Es decir, protegen los ordenadores incluso después de haberse infectado por un malware.

Seguridad de aplicaciones y datos

Por último, tenemos las técnicas del Blue Team relacionadas con las aplicaciones y los datos del sistema. Para las aplicaciones de escritorio, web y móviles se utilizan medidas como las actualizaciones y los parches de seguridad. ¿Cómo se descubren? Gracias al pentesting realizado por el Red Team.

Finalmente, para proteger los datos, se utilizan técnicas basadas en la criptografía.

Para dominar cada uno de los aspectos mencionados en este artículo y mucho más, no te pierdas nuestro Bootcamp Ciberseguridad Full Stack. ¡Inscríbete e impulsa tu vida profesional ahora!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado