El Blue Team

El Blue Team, o equip defensiu de ciberseguretat, és el departament que s’encarrega d’identificar, contenir, mitigar i analitzar les alertes o incidents de ciberseguretat que succeeixen en les infraestructures. Aquest departament es divideix en dos equips principals: el SOC, anomenat així per les sigles en anglès de Security Operation Center, o el CSIRT, sigles que provenen del terme Cyber Security Incident Response Team, també anomenat Equip de Respostes a Incidents (ERI).

Funcionament i estructura d'un SOC

Les organitzacions d’un volum considerable, com podria ser tenir més de 200 equips (PCs), solen disposar d’un equip de SOC, sigui intern o externalitzat, per realitzar la resposta a les alertes de baix nivell o per fer una primera resposta als incidents de ciberseguretat.

Responsabilitats i tasques del SOC

El SOC té diverses responsabilitats crucials per a garantir la seguretat cibernètica d’una organització:

  • Monitoratge continu: el SOC monitorar de forma constant els sistemes i xarxes a la recerca de comportaments anòmals o activitats sospitoses mitjançant les eines de detecció com l’EDR, el tallafocs (firewall) de nova generació o el SIEM.
  • Resposta a incidents de baix nivell: en cas de detecció d’incidents, el SOC respon ràpidament per contenir i mitigar l’amenaça en primera instància. Això pot implicar la identificació de l’origen, la implementació de mesures correctives i la documentació de l’incident. En cas de tractar-se d’un incident d’alt nivell, com ara un atac de ransomware o una filtració d’informació, el SOC duu a terme la primera resposta i facilitarà la informació al CSIRT per tal que en continu la gestió.
  • Anàlisi de registres i dades: analitza els registres de seguretat, les alertes dels sistemes i altres fonts de dades per identificar possibles amenaces i avaluar la postura de seguretat de l’organització.
  • Desenvolupament de polítiques de seguretat: col·labora amb altres equips per desenvolupar i implementar polítiques de seguretat efectives.
  • Gestió de vulnerabilitats: en alguns casos el SOC s’encarrega de la gestió de les vulnerabilitats dels actius de l’organització.

Funcionament d'un SOC

El funcionament d’un SOC es basa en un flux de treball que inclou diverses etapes:

  1. Detecció. Utilitza eines com el SIEM per monitorar i detectar activitats anòmales o potencialment malicioses.
  2. Investigació. Un cop es detecta una anomalia, l’equip d’analistes del SOC la investiga per comprendre la naturalesa i l’abast de la possible amenaça.
  3. Priorització. Les amenaces són prioritzades segons el seu impacte i la seva urgència per a una resposta immediata.
  4. Contenció i Mitigació. Es prenen mesures per contenir l’incident i es duu a terme la mitigació per minimitzar els danys potencials.
  5. Documentació. Es documenta tot l’incident, incloent-hi les accions preses, les lliçons apreses i les millores proposades.

Eines que fa servir un SOC

Un SOC fa servir un conjunt d’eines per a complir amb les seves responsabilitats, incloent-hi:

  • SIEM (Security Information and Event Management): utilitzat per a la recopilació, l’anàlisi i la correlació de dades de registre per identificar i respondre a amenaces.
  • Tallafocs (firewalls) i IDS/IPS: contribueixen a la detecció i prevenció d’activitats malicioses a les xarxes.
  • Endpoint Protection (EDR): protegeix els equips finals mitjançant la detecció i resposta a incidents pel que fa a l’estació de treball.
  • Eines d’anàlisi de vulnerabilitats: fetes servir per identificar i gestionar les vulnerabilitats de la infraestructura.

L'equip del CSIRT i la coordinació mundial

Malgrat disposar d’un SOC, alguns incidents amb alt impacte o criticitat, han de ser tractats per equips amb un nivell d’experiència més elevat. Aquests equips són els CSIRT, que poden ser interns o externs a l’organització i que es coordinen amb el SOC per prendre el relleu de les investigacions complicades i així realitzar ells la gestió d’aquests.

Responsabilitats i tasques del CSIRT

El CSIRT té un conjunt específic de responsabilitats i tasques:

  • Resposta a incidents: intervé ràpidament en casos d’incidents greus per contenir l’amenaça i minimitzar els danys, així com analitzar el detall de l’activitat maliciosa.
  • Anàlisi forense: du a terme anàlisis forenses per comprendre l’origen i l’abast dels incidents.
  • Coordinació amb altres CSIRT: col·labora amb altres equips CSIRT, nacionals i internacionals, per compartir informació i millorar la resposta a amenaces globalment.

Funcionament d'un CSIRT

El funcionament d’un CSIRT implica una resposta ràpida i coordinada als incidents:

  1. Recepció d’alertes. Rep notificacions d’incidents de diverses fonts, com ara equips interns com el SOC, altres CSIRT, o fonts de seguretat externes.
  2. Validació i anàlisi inicial. Valida la gravetat de l’alerta i du a terme una anàlisi inicial per determinar l’abast i la naturalesa de l’incident.
  3. Resposta coordinada. Es coordina amb altres equips com el SOC o el departament d’IT per portar a cap una resposta coordinada.

Eines que fa servir el CSIRT

Les eines utilitzades pel CSIRT inclouen:

  • Eines d’anàlisi forense: per a una investigació detallada dels incidents.
  • Comunicació segura: canals segurs per coordinar amb altres equips interns o CSIRT externs i compartir informació confidencial.
  • Plataformes de col·laboració: per a una millor coordinació i intercanvi d’informació amb altres equips en l’àmbit nacional i internacional.
Anar a la pàgina anterior:
Contingut
Anar a la pàgina següent:
Exemple de cas: Ubuntu & SIEM