Equipo azul

Un equipo azul es un grupo de personas que realizan un análisis de sistemas de información para garantizar la seguridad, identificar fallas de seguridad, verificar la efectividad de cada medida de seguridad y asegurarse de que todas las medidas de seguridad continúen siendo efectivas después de la implementación.^[1]

Historia[editar]

Como parte de la iniciativa de defensa de la seguridad informática de los Estados Unidos, se desarrollaron equipos rojos para explotar otras entidades maliciosas que les harían daño. Como resultado, se desarrollaron equipos azules para diseñar medidas defensivas contra tales actividades de equipo rojo.^[2]

Respuesta a incidentes[editar]

Si ocurre un incidente dentro de la organización, el equipo azul realizará los siguientes seis pasos para manejar la situación:

Preparación
Identificación
Contención
Erradicación
Recuperación
Lecciones aprendidas^[3]

Endurecimiento del sistema operativo[editar]

En preparación para un incidente de seguridad informática, el equipo azul realizará técnicas de endurecimiento en todos los sistemas operativos de la organización.^[4]

Defensa perimetral[editar]

El equipo azul siempre debe tener en cuenta el perímetro de la red, incluido el flujo de tráfico, el filtrado de paquetes, los firewalls proxy y los sistemas de detección de intrusos.^[4]

Instrumentos[editar]

Los equipos azules emplean una amplia gama de herramientas que les permiten detectar un ataque, recopilar datos forenses, realizar análisis de datos y realizar cambios para amenazar ataques futuros y mitigar amenazas. Las herramientas incluyen:

Gestión y análisis de registros[editar]

AlienVault
FortiSIEM
Graylog
InTrust (Quest Software)
LogRhythm
NetWitness
Qradar
Metasploit
SIEMonster
SolarWinds
Splunk

Tecnología de gestión de eventos e información de seguridad (SIEM)[editar]

El software SIEM admite la detección de amenazas y la respuesta a incidentes de seguridad mediante la recopilación de datos en tiempo real y el análisis de eventos de seguridad. Este tipo de software también utiliza fuentes de datos fuera de la red, incluidos indicadores de compromiso (IoC) de inteligencia de ciberamenazas.

Véase también[editar]

Referencias[editar]

↑ Sypris Electronics. «DoDD 8570.1: Blue Team». Sypris Electronics. Archivado desde el original el 25 de abril de 2016. Consultado el 3 de julio de 2016.
↑ Johnson, Rowland. «How your red team penetration testers can help improve your blue team». SC Magazine. Archivado desde el original el 30 de mayo de 2016. Consultado el 3 de julio de 2016.
↑ Murdoch, Don (2014). Blue Team Handbook: Incident Response Edition (2nd edición). reateSpace Independent Publishing Platform. ISBN 978-1500734756.
↑ ^a ^b SANS Institute. «Cyber Guardian: Blue Team». SANS. SANS Institute. Consultado el 3 de julio de 2016.

Enlaces externos[editar]

Esta obra contiene una traducción derivada de «Blue team (computer security)» de Wikipedia en inglés, concretamente de esta versión, publicada por sus editores bajo la Licencia de documentación libre de GNU y la Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.

Datos: Q28457404

[ref1-1] Sypris Electronics. «DoDD 8570.1: Blue Team». Sypris Electronics. Archivado desde el original el 25 de abril de 2016. Consultado el 3 de julio de 2016.

[ref2-2] Johnson, Rowland. «How your red team penetration testers can help improve your blue team». SC Magazine. Archivado desde el original el 30 de mayo de 2016. Consultado el 3 de julio de 2016.

[ref3-3] Murdoch, Don (2014). Blue Team Handbook: Incident Response Edition (2nd edición). reateSpace Independent Publishing Platform. ISBN 978-1500734756.

[dup-0-5-4] SANS Institute. «Cyber Guardian: Blue Team». SANS. SANS Institute. Consultado el 3 de julio de 2016.

[1]

[2]

[3]

[4]