Purple Team: ¿pero esto qué es? (I)

A menudo leemos o escuchamos términos como Red, Blue, Purple, Adversarial Emulation y muchas otras de forma casi intercambiable, lo que produce confusión en la gente que se aproxima a este mundo.

Todas estas disciplinas, a menudo solapadas parcialmente entre ellas en su ámbito de aplicación, tienen su lugar en el plan de seguridad de una organización, pero conviene tener claros sus puntos fuertes y débiles para aprovechar los primeros y minimizar los segundos.

A lo largo de este artículo, o serie de ellos (a ver hasta donde me lleva la madriguera del conejo), intentaré aportar mi granito de arena en este tema haciendo una introducción al tema y detallando después con algo más de profundidad la metodología Purple Team.

Es conveniente aclarar que este artículo no pretende sentar cátedra sobre el asunto y solo tiene como objetivo hacer una exposición didáctica y lo menos árida posible.

Algunos antecedentes

Según las organizaciones han ido madurando y la ciberseguridad va cobrando importancia, se han ido implementando diferentes metodologías y enfoques.

Hace bastantes años (y desgraciadamente también en algunas organizaciones actualmente) la ciberseguridad se reducía a medidas de hardening (bastionado), y gradualmente se empezaron a desarrollar tecnologías de detección y respuesta.

[Read more…]

Docker aplicado al Incident Handling

Docker ya lleva entre nosotros algún tiempo. En esta entrada se va a hablar de cómo es posible sacar partido de Docker y su uso en DFIR para un análisis rápido en los equipos de los analistas.

En primer lugar hay que conocer Docker. No hace falta sacarnos un máster, pero al menos conocer los conceptos básicos de la tecnología Docker. Voy a explicar muy brevemente los conceptos de imagen y contenedor, y cómo Docker trabaja con ellos.

  • Una imagen Docker es un sistema “congelado”, un sistema pausado o en estado de hibernación, el cual se encuentra en un modo de solo lectura.
  • Un contenedor no es más que una imagen en ejecución. Docker “le da al play” y añade una capa sobre la imagen en un modo de lectura-escritura.

Cuando el contenedor se detiene o se borra, Docker automáticamente elimina la capa de lectura-escritura dejando la imagen en su estado original. Esto permite reutilizar un sistema base en varios entornos, o partir siempre del mismo sistema base.
[Read more…]