Herramienta que facilita el seguimiento de las actividades de Blue Team y Red Team para medir las capacidades de detección y prevención en diferentes escenarios de ataque
Cuando se habla del Red Team con los clientes o se habla con nuestros compañeros, queda muy claro que no existe una definición común de «Red Team». Se explica de muchas formas diferentes, todas con diferentes objetivos y enfoques. Escuchamos cosas como simulación de adversario, pentesting más phishing, pentesting de carta blanca, jugar al defensor del diablo ofensivo o cosas en la línea de la definición del Departamento de Defensa de EE. UU . Para equipos rojos que no son de TI. Esto da como resultado muchas formas de servicios profesionales ofrecidos en el mercado.
En muchos sentidos, esto me recuerda a ‘hacker vs. cracker’ a finales de los 90, o la discusión más reciente sobre el uso de la palabra cyber. No tengo ninguna intención de intentar cerrar este debate. En pocas palabras, el papel del Blue Team es defender, el papel del Red Team es atacar. La defensa no se hace solo en medidas preventivas. Igual de importante es la capacidad de detectar ataques y responder a ellos. Los Blue Team tienen herramientas para esto, pero en gran medida esto se reduce a las acciones y decisiones que toma el Blue Team cuando ocurre un ataque. Entonces, esto necesita ser entrenado.
Un Blue Team es un grupo de personas que realiza un análisis de los sistemas de información para garantizar la seguridad, identificar fallas de seguridad, verificar la efectividad de cada medida de seguridad y asegurarse de que todas las medidas de seguridad continuarán siendo efectivas después de la implementación.
Se denomina Red Team a un grupo independiente que ayuda a una organización a mejorarse a sí misma al oponerse al punto de vista de la organización a la que están ayudando. Por medio de la realización de ataques a un objetivo, se estudian sus debilidades.
VECTR es una herramienta que facilita el seguimiento de las actividades de prueba de Red Team y Blue Team para medir las capacidades de detección y prevención en diferentes escenarios de ataque. VECTR proporciona la capacidad de crear grupos de evaluación, que consisten en una colección de campañas y casos de prueba de apoyo para simular amenazas adversas. Las campañas pueden ser amplias y abarcar la actividad a lo largo de la cadena de eliminación, desde el compromiso inicial hasta la escalada de privilegios y el movimiento lateral, etc., o pueden tener un alcance limitado para centrarse en capas de detección, herramientas e infraestructura específicas. VECTR está diseñado para promover la transparencia total entre la ofensiva y la defensa, fomentar la capacitación entre los miembros del equipo y mejorar la tasa de éxito de detección y prevención en todo el entorno.
VECTR se centra en indicadores comunes de ataques y comportamientos que pueden llevar a cabo cualquier número de grupos de actores de amenazas, con diferentes objetivos y niveles de sofisticación. VECTR también se puede utilizar para replicar los TTP paso a paso asociados con grupos específicos y campañas de malware, sin embargo, su propósito principal es replicar los comportamientos de los atacantes que abarcan múltiples grupos de actores de amenazas y campañas de malware, pasadas, presentes y futuras. VECTR está diseñado para usarse a lo largo del tiempo con campañas específicas, iteración y mejoras cuantificables tanto en las habilidades del equipo rojo como en las capacidades de detección del equipo azul. En última instancia, el objetivo de VECTR es hacer que una red sea resistente a todos los adversarios y ataques internos más sofisticados.
Más información y descarga de VECTR:
1 pensamiento sobre “Herramienta que facilita el seguimiento de las actividades de Blue Team y Red Team para medir las capacidades de detección y prevención en diferentes escenarios de ataque”