Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Purple Team incrementa la efectividad del Red Team y Blue Team en SCI

Fecha de publicación 27/07/2023
Autor
INCIBE (INCIBE)
Portada Purple Team incrementa la efectividad del Red Team y Blue Team en SCI

Cada día aumenta el foco sobre los entornos industriales, acaparando la atención de diferentes actores maliciosos que buscan un beneficio realizando ataques sobre estas arquitecturas, y es que, en este 2023, se espera que el porcentaje de ataques sobre dichos entornos sea de al menos el 40% respecto al total de los ciberataques producidos.

Todos estos datos hacen que tanto los Blue Teams como los Red Teams sean de vital importancia para las empresas del entorno industrial, pero debido al crecimiento de la producción de ciberataques, es necesario mejorar la efectividad de los ejercicios que llevan a cabo. Por esta razón, los ejercicios de Purple Team están aumentando su relevancia para el fortalecimiento de la ciberseguridad industrial, ya que permiten la colaboración entre ambos equipos, maximizando el aprendizaje y las respuestas entre ambos.

El Purple Team se puede definir como la mezcla entre los equipos Blue Team y Red Team, pero siempre buscando garantizar y maximizar la efectividad de ambos, reduciendo así las deficiencias que presentan ambos equipos por separado. Este nuevo equipo puede proporcionar un nuevo ámbito en el desarrollo de ejercicios de ataque y defensa en las empresas de entornos industriales. Sus características difieren totalmente de las presentadas por alguno de los otros dos equipos, siendo su principal característica la integración y la comunicación directa tanto con el Blue Team como el Red Team.

Entre las características principales del Purple Team encontramos las siguientes:

  • El Purple Team busca lograr integrar las técnicas, tácticas y procedimientos ofensivos (TTP), como amenazas y vulnerabilidades de Red Team, junto con las técnicas defensivas de Blue Team para protegerse de los ataques.
  • La principal finalidad del Purple Team es mejorar la comunicación, garantizando la compartición de información entre el Blue Team y el Red Team.
  • Alinea el enfoque del Blue Team con las amenazas relevantes, permitiendo así basar las arquitecturas defensivas en base a las criticidades de la organización.
  • Organiza y proporciona información al Red Team para que este pueda obtener información sobre activos sensibles y planificar unos ataques más elaborados.
  • Es el encargado de realizar la operativa de gobierno de los ejercicios a realizar.
  • También se ocupa de documentar y tramitar toda la información de los equipos para que se transmita en un formato correcto siguiendo la metodología establecida antes del inicio de las pruebas.

Características diferenciales entre los tres equipos

El Red Team, tal y como se describe en el artículo de “Red Team en aguas misteriosas”, tiene la principal finalidad de atacar sobre los diferentes objetivos transmitidos por el Purple Team, que posteriormente el Blue Team defenderá. Aunque a priori parezcan tres equipos totalmente diferentes, en realidad los tres forman un único equipo con un mismo objetivo: mejorar la ciberseguridad de la organización, ya sea mediante la realización de ataques (Red Team), la defensa de las infraestructuras (Blue Team) o la coordinación de los otros dos equipos (Purple Team).

A continuación, se muestra una tabla con las diferentes características y las funciones más destacables de los tres equipos, haciendo así una diferenciación visual de las funciones de cada uno.

Red Team en aguas misteriosas, tiene la principal finalidad de atacar sobre los diferentes objetivos transmitidos por el Purple Team, que posteriormente el Blue Team defenderá. Aunque a priori parezcan tres equipos totalmente diferentes, en realidad los tres forman un único equipo con un mismo objetivo: mejorar la ciberseguridad de la organización, ya sea mediante la realización de ataques (Red Team), la defensa de las infraestructuras (Blue Team) o la coordinación de los otros dos equipos (Purple Team).

A continuación, se muestra una tabla con las diferentes características y las funciones más destacables de los tres equipos, haciendo así una diferenciación visual de las funciones de cada uno.

Blue, red y purple team

Blue, Red y Purple Team. Fuente: AttackIQ Academy 

Metodología

El ejercicio de Purple Team ha de basarse en una metodología clara, concreta y replicable. Esta metodología está comprendida por cinco fases muy destacables:

  • Definición de roles y responsabilidades: los niveles estratégicos, operativo, táctico y operadores han de estar siempre comprendidos entre los roles del Purple Team. Todos los roles y responsabilidades han de estar definidos claramente para que cada uno tenga un completo concepto sobre su función. A continuación, se muestran los mínimos roles para conformar un equipo de Purple Team de forma correcta:

Red Team en aguas misteriosas, tiene la principal finalidad de atacar sobre los diferentes objetivos transmitidos por el Purple Team, que posteriormente el Blue Team defenderá. Aunque a priori parezcan tres equipos totalmente diferentes, en realidad los tres forman un único equipo con un mismo objetivo: mejorar la ciberseguridad de la organización, ya sea mediante la realización de ataques (Red Team), la defensa de las infraestructuras (Blue Team) o la coordinación de los otros dos equipos (Purple Team).

A continuación, se muestra una tabla con las diferentes características y las funciones más destacables de los tres equipos, haciendo así una diferenciación visual de las funciones de cada uno.

 

Roles y responsabilidades

  • CTI (Cyber Threat Intelligence): mediante CTI, se recopila y analiza la información necesaria para determinar el objetivo a atacar, la identificación del adversario, la recopilación sobre amenazas, su caracterización y el uso y determinación de las TTP.
    • Entender la organización: conocimiento sobre la posible superficie de ataque de las personas, procesos, tecnologías y sistemas que pueden formar parte de la organización, creando así una visión global.
    • Identificación del adversario: se debe identificar quién tiene como objetivo a la organización o a un activo en concreto.
    • Caracterizar la amenaza y extraer las TTP: mediante la matriz de MITRE ATT&CK de ICS, se pueden determinar las posibles tácticas y técnicas a emplear durante el Purple Team por el equipo atacante y proporcionar el uso de estas al Blue Team.
    • TTP: como ya se mencionó anteriormente, este tipo de inteligencia es vital durante el ejercicio y, además, es la más difícil de obtener para el Blue Team. Durante un Purple Team, la definición de las TTP es muy compleja, ya que es una visión a grandes rasgos del ataque, y una modificación de alguna de las TTP puede provocar una gran variación sobre los ataques del Red Team.
  • Analizar y organizar: la organización y la creación de un perfil atacante es uno de los aspectos más importantes de un Purple Team, ya que permite establecer a alto nivel un plan de ejecución de las tareas a realizar por el Red Team y, a su vez, permitirá al Blue Team tener un control claro y conciso de las posibles tácticas y técnicas. Además, dentro del ámbito de la organización las tablas de puesta en común son críticas, ya que en ellas se exponen los objetivos, las tácticas, técnicas y el mapeo de ATT&CK, donde puede fallar el ataque y quien se cree que lo detectará.
  • Plan de desarrollo: el plan de desarrollo permite a ambos equipos tener claros los pasos a realizar, estableciendo las TTP, el método y el objetivo de forma clara. Este plan deberá seguirse y establecerse antes del inicio del ejercicio de Purple Team y, en caso de realizar modificaciones, el responsable del Purple Team encargado de comunicarse con ambos equipos deberá comunicárselo.

    Plan de desarrollo

    Plan de desarrollo. Fuente: AttackIQ Academy

  • Ejecución: tras tener un plan, un análisis y el resto de los apartados definidos, se procederá a ejecutar el ataque. Tras la finalización de cada punto definido en el plan de desarrollo, ambos equipos deberán comunicarse y realizar un ejercicio de recapacitación sobre el ataque realizado, para así mejorar la defensa con los conocimientos tanto del Red Team como del propio Blue Team. Tras esta recapacitación, se procedería al siguiente punto del plan de desarrollo.

Beneficios del purple team

Los ejercicios de Purple Team no son pruebas de penetración sobre la organización o un dispositivo, ya que no se utilizan para identificar vulnerabilidades específicas, sino que están destinados a proporcionar beneficios de seguridad de carácter más generalista, como los que se exponen a continuación:

  • Mejora del conocimiento de seguridad: permitir al Blue Team conocer, observar y participar en los ataques le otorga una mejor comprensión de cómo puede operar un atacante. Además, el Purple Team permite tener una mejor identificación, intercambio y utilización de la información tanto del Red Team como del Blue Team.
  • Un mejor rendimiento: la combinación de ambos equipos a través de los ejercicios de Purple Team permite a la organización que lo desarrolle elevar el rendimiento del monitoreo de seguridad de forma más rápida y con un menor coste.
  • Optimización de las defensas y mejoras en seguridad: el empleo de los ejercicios de Purple Team a nivel organizacional en entornos, ya sea IT o OT, permite a la organización crear un entorno de enseñanza a nivel global, fomentando la cultura de colaboración para una continua mejora de seguridad cibernética.
  • Información crítica al descubierto: la ejecución de un ejercicio de Purple Team, además de los beneficios anteriormente mencionados, permite a la organización, y sobre todo a los Blue Teams, tener una mayor compresión sobre activos críticos o brechas de seguridad, pudiendo así identificarlas y defenderlas ante un posible ataque real.

Conclusiones

Los Purple Teams fortalecen todo el sistema u organización de una forma muy evidente, ya que incluyen tanto a los equipos de Red Team como Blue Team, proporcionando una integración y una comunicación a otro nivel, si se tiene como referencia un Blue o Red Team por separado.

La capacidad de guiado y comunicación proporcionada por el equipo de Purple Team durante la realización del ejercicio, permitirá a la organización que lo realice revisar todos los procesos, proporcionar información avanzada a cada equipo sobre puntos de acceso o puntos vulnerables y llevar el ejercicio a un paradigma que sin el Purple Team como equipo intermedio no sería posible.

Aunque es cierto que este tipo de ejercicios ayudan a crear una buena defensa ante un ataque y mejorar los mecanismos de protección ya existentes, no hay que olvidar que los ciberatacantes están en continua formación y evolución.

Es por ello que la implementación de estos ejercicios de Purple Team, en los que Blue y Red Team participan juntos, permiten encontrar fallos de seguridad en los sistemas, siempre y cuando la realización de estos ejercicios sea de manera continuada, ya que, al igual que los atacantes continúan evolucionando y mejorando, las organizaciones deben continuar inspeccionando y mejorando sus sistemas y arquitecturas para estar protegidos.