La creciente presencia de regulaciones de protección de datos como GDPR, HIPAA y PCI DSS, junto con las altas expectativas de privacidad de los consumidores y los legisladores, han obligado a las empresas a implementar una amplia gama de controles de seguridad técnicos, operacionales y de gestión para minimizar el riesgo de infracciones. Aunque las vulnerabilidades son imposibles de erradicar por completo, es responsabilidad de la organización minimizar el riesgo de la exposición de datos confidenciales de PII/PHI (Información personal y de salud) de clientes/ pacientes, empleados… identificando y priorizando el remedio de vulnerabilidades.
Actualmente, están ampliamente extendidas las evaluaciones de seguridad y/o test de penetración, orientados a identificar vulnerabilidades (el 80% de empresas en EEUU). Sin embargo, las encuestas muestran cómo el 90% de las organizaciones, públicas o privadas, han tenido un incidente de ciberseguridad en el último año. Es evidente que incluso después de la realización de test de penetración internos y externos, los activos y sistemas siguen siendo vulnerables a una amplia variedad de amenazas y ataques. Además, incluso después de ser ‘hackeados’, en el 46% de las ocasiones no se cambia la estrategia de seguridad.
Los test de penetración no brindan asesoramiento sobre cambios organizacionales y estratégicos y simplemente ofrecen información sobre el estado actual de la vulnerabilidad de una organización. Es por eso por lo que, en un entorno de amenazas persistentes avanzadas, se están adoptando cada vez más simulaciones de ataques para probar adecuadamente las defensas de una organización contra amenazas reales que ningún test de penetración puede simular eficazmente.
A través de estos ejercicios, se evalúan y mejoran el nivel de ciberseguridad y resiliencia operativa contra una variedad de diferentes situaciones. Durante los ejercicios, las organizaciones suelen utilizar equipos externos (Red Team) para atacar y evaluar sus sistemas y activos a través de escenarios de la vida real. Durante el ataque, el equipo interno de InfoSec de la organización (o Blue Team) responde a los asaltos, intentando mantener la confidencialidad, integridad y disponibilidad en todos los sistemas y procesos. Pero hay otro equipo, denominado Purple Team, que no siempre está presente en los ejercicios y que es esencial para limitar el coste del ejercicio y para hacer la definición de indicadores que no sean parciales y desvirtúen el resultado.
Existe una aceptación parcial, sobre todo en las atribuciones asignadas al Purple Team, ya que elimina la aproximación inicial de caja negra y desconocimiento completo (y por tanto los resultados pueden resultar menos impactantes), y se suelen mantener las tareas de PMO que realiza este equipo con la denominación de White Team. Sin embargo, se siga la aproximación de dos equipos (White & Purple) o tan solo de uno (Purple), lo cierto es que la experiencia enseña que la gestión del proyecto no puede residir en el equipo de Seguridad de la Información y que se necesita un canal de comunicación que limite los costes y oriente de modo adecuado el ejercicio.
Proliferan las simulaciones de ataques para probar los sistemas de defensa
El Purple Team estará integrado por personas que pueden ser internas o externas a la organización, pero que, en cualquier caso, tienen un amplio conocimiento de la misma y hacen de comunicación directa con los equipos rojo y azul. Esto les permite usar los vectores de ataque creados por el Red Team para amplificarlos mediante conocimiento relativo al Blue Team, y dedicar de esta forma menores recursos y tiempo para demostrar el impacto que provocaría el ataque dentro de la organización.