En juegos tan famosos como Halo o Gears of War, existe una modalidad llamada Capture the Flag (Captura la bandera) donde hay dos equipos, uno que se encarga de proteger una bandera, y otro que busca robársela al contrincante.

Este tipo de ejercicio es también usado por organizaciones para identificar si cuentan con la suficiente capacidad para detectar, responder y mitigar cualquier ataque externo.

En estos ejercicios aplicados a la ciberseguridad participan el Red Team y el Blue Team que juegan un papel crucial para la protección tanto de la información como de los activos que se ven involucrados, identificando aquellos espacios que están expuestos hacia Internet y que pueden ser aprovechados por los cibercriminales.

  • Funciones de un Red Team

Es aquel equipo que se encarga de probar la efectividad de aquellos controles, políticas, buenas prácticas de seguridad implementadas en una entidad, tanto para activos tecnológicos como personal, donde al emular el comportamiento, tácticas, técnicas y procedimientos de los ciberdelincuentes se puede saber la situación en la que se encuentra un gobierno o empresa.

  • Funciones de un Blue Team

Como contraparte del Red Team, este se encarga de defender a la entidad de todo aquel ciberataque, eliminando o reduciendo los riesgos de seguridad, además de la forma en cómo se debe de responder ante cualquier incidente de ciberseguridad.

Para ello, el Blue Team, se encarga de reunir datos para documentarse, ya sea a través de Frameworks o Threat Intelligence, además de realizar una evaluación de riesgos para cada activo tecnológico.

Otra función es la de realizar comprobaciones periódicas de cada uno de los sistemas, por ejemplo, auditorías a los sistemas de nombres de dominio o DNS, identificación de vulnerabilidades de la red interna o externa, captura de tráfico y análisis en los Sistemas Operativos en caso de haber sufrido algún incidente.

Para llevar a cabo cada una de las tareas, el Blue Team se auxilia de herramientas de código abierto y de las cuales se mencionarán algunas de las más relevantes.

Herramientas para análisis de red

Arkime

Es un sistema de búsqueda y captura de paquetes indexados de código abierto y de gran escala.

Lo que hace tan útil a esta herramienta es que proporciona una interfaz web intuitiva y sencilla para explorar, buscar y exportar PCAP. Además, cuenta con una API que le permite descargar y consumir directamente datos PCAP y datos de sesión con formato JSON.

Otra característica es que almacena y exporta todos los paquetes en formato PCAP estándar, lo que permite integrarla a herramientas especializadas en captura de tráfico como Wireshark, durante su flujo de trabajo de análisis.

Está diseñado para implementarse en muchos sistemas y pueda escalarse para manejar decenas de gigabits/segundo de tráfico. El manejo de grandes cantidades de datos del PCAP se basa en el espacio disponible en el disco del sensor y en la escala del clúster de Elasticsearch. Ambas características pueden incrementarse en cualquier momento y están bajo el completo control de quien lo administra.

Arkime

Fuente: Arkime

Snort

Esta herramienta es un sistema de prevención de intrusiones (IPS por sus siglas en inglés) pues al utilizar una serie de reglas que ayudan a definir la actividad maliciosa de la red y estas le permitan encontrar paquetes que coincidan con ellas y genera alertas para los administradores.

Dentro de su página principal se indica que Snort tiene 3 usos principales:

  • Rastreo de paquetes
  • Registro de paquetes (útil para la depuración de tráfico de red)
  • Sistema de prevención de intrusiones en la red (IPS)

Para la detección de intrusos y actividad maliciosa en la red, Snort cuenta con 3 conjuntos de reglas globales que lo hace muy útil para el Blue Team:

  • Reglas para usuarios de la comunidad: Aquellas que están disponibles para cualquier usuario sin ningún costo y registro.
  • Reglas para usuarios registrados: Al registrarse en Snort el usuario puede acceder a un conjunto de reglas optimizadas para identificar amenazas mucho más específicas.
  • Reglas para usuarios suscritos: Este conjunto de reglas no solo le permiten la optimización e identificación más precisa de amenazas sino también la posibilidad de recibir actualizaciones de estas.
Snort

Fuente: Snort

Herramientas para administración de incidentes

TheHive

Es una plataforma escalable de respuesta a incidentes de seguridad, estrechamente integrada con MISP (Plataforma de intercambio de información sobre malware), diseñada para facilitar las tareas de los SOC, CSIRT, CERT y cualquier profesional de seguridad de la información que se enfrente a incidentes de seguridad que deben investigarse y actuar con rapidez.

Hay 3 características dentro de la filosofía de esta herramienta que hacen tan relevante:

Colaboración: Al integrar a varias investigaciones de los analistas de SOC y CERT en tiempo real relacionada con casos, tareas y observables nuevos o existentes disponibles para todos los miembros además de las notificaciones especiales que se pueden integrar para nuevos eventos y alertas del MISP, informes de correo electrónico y SIEM.

Elaboración: Creación de casos y tareas asociadas utilizando un motor de plantillas simple pero efectivo, pues de pueden agregar métricas y campos personalizados a través de un dashboard, etiquetando de igual manera aquellos archivos importantes que contengan algún malware o dato sospechoso.

Actuación: Agregar uno, cientos o miles de observables a cada caso que se creen incluso con la opción de importarlos directamente desde un evento MISP o cualquier alerta enviada a la plataforma, además de contar una clasificación y filtros personalizables.

The-hive

Fuente: TheHive

GRR Rapid Response

Es un framework de respuesta a incidentes centrado en análisis forense remoto en vivo. Su objetivo es respaldar las investigaciones forenses de una manera rápida y escalable para permitir a los analistas clasificar rápidamente los ataques y realizar análisis de forma remota.

Se compone de 2 partes, un cliente y un servidor.

El cliente GRR se implementa en sistemas que uno podría querer investigar. En cada uno de estos sistemas, una vez implementado, el cliente GRR sondea periódicamente los servidores frontend de GRR para verificar si funcionan. “Work" significa ejecutar una acción específica: descargar un archivo, enumerar un directorio, etc.

La infraestructura del servidor GRR consta de varios componentes (frontends, trabajadores, servidores UI, Fleetspeak) y proporciona una interfaz gráfica de usuario basada en web y un punto final API que permite a los analistas programar acciones en los clientes y ver y procesar los datos recopilados.

GRR-Rapid-Response

Fuente: GRR Rapid Response

Herramientas para el análisis de Sistemas Operativos

HELK

Hunting ELK es una plataforma de búsqueda de código abierto con capacidades analíticas avanzadas, como lenguaje declarativo SQL, gráficos, transmisión estructurada e incluso aprendizaje automático a través de portátiles Jupyter y Apache Spark sobre una pila ELK. Su finalidad es de investigación, pero debido a su diseño flexible y componentes centrales, se puede implementar en entornos más grandes con las configuraciones adecuadas y la infraestructura escalable.

Finalidad

  • Proporcionar una plataforma de búsqueda de código abierto a la comunidad y compartir los conceptos básicos de Threat Hunting.
  • Acelerar el tiempo necesario para implementar una plataforma de caza.
  • Mejorar las pruebas y el desarrollo de casos de uso de caza de una manera más fácil y asequible.
  • Habilitar capacidades de ciencia de datos mientras analiza datos a través de Apache Spark, GraphFrames y Jupyter Notebooks.
Helk

Fuente: HELK

Volatility

Volatility Framework es una colección completamente abierta de herramientas, implementada en Python bajo la Licencia Pública General GNU, para la extracción de artefactos digitales de muestras de memoria volátil (RAM). Su uso frecuentemente es aplicado en la respuesta a incidentes y el análisis de malware que se ejecute sobre la memoria RAM.

Las técnicas de extracción se realizan de forma completamente independiente del sistema que se está investigando, ofreciendo la visibilidad del estado de ejecución del artefacto digital tal y como en el sistema original.

Volatility

Fuente: Volatility

Conclusión

La función del Blue Team en el área de ciberseguridad es de suma importancia para garantizar la integridad, confidencialidad y disponibilidad de los activos de información, puesto que su enfoque principal radica en la defensa y protección contra ciberamenazas, esto la monitorización activa de redes y sistemas, la detección temprana de intrusiones, la respuesta rápida a incidentes y la implementación de estrategias proactivas para prevenir ataques.

La colaboración conjunta entre el Blue Team y otros equipos, como el Red Team (encargado de simular ataques para evaluar la eficacia de las defensas) y el Purple Team (que facilita la comunicación entre ambos para mejorar la postura de seguridad), es esencial. Este enfoque colaborativo permite una evaluación más completa de la postura de seguridad de una entidad y facilita la mejora continua.

Además, el Blue Team desempeña un papel clave en el cumplimiento de normativas y regulaciones de ciberseguridad, lo que es especialmente crítico en sectores altamente regulados, como la salud y las finanzas.