Por Sila Ozeren HaciogluIngeniero de Investigación de Seguridad en Picus Security.
En muchas organizaciones, los equipos rojo y azul todavía trabajan en silos, generalmente enfrentados entre sí, con la ofensiva enorgulleciéndose de irrumpir y la defensa haciendo lo que puede para mantener la línea.
Sin embargo, muy a menudo sus esfuerzos no se encuentran en el medio, creando ruido. El equipo rojo realiza un ejercicio, publica los hallazgos y sigue adelante, mientras que el equipo azul se ve inundado por un mar de alertas y reglas de vulnerabilidad no validadas. Puede parecer un progreso, pero no lo es. El delito identifica lagunas una vez; la defensa lucha, esencialmente a ciegas, día tras día.
El equipo morado reescribe esta ecuación. Reúne al rojo y al azul, no para competir, sino colaborarconvirtiendo las pruebas en un proceso compartido y la validación en evidencia mensurable.
La clave para hacer que esta colaboración sea mucho más valiosa es Simulación de ataques e infracciones (BAS)que permite una validación continua, continua y en tiempo real.
Porque la verdad es esta: los atacantes evolucionan más rápido de lo que las defensas pueden coordinarse, y sólo mediante una validación continua podemos cerrar la brecha.
El equipo morado no es una rueda de colores, es la clave para una verdadera ciberdefensa
El equipo morado no es un «equipo rojo más amigable». Es un flujo de trabajo fundamentalmente más efectivo, que convierte continuamente cada ejecución ofensiva en una mejora defensiva. El flujo de trabajo es el siguiente:
-
Ataques rojos. Emulan a los adversarios con precisión, revelando dónde se resisten o ceden las defensas.
-
Azul responde. Detectan quién controla el fuego, quién permanece en silencio y por qué.
-
Entonces ambos van de nuevoarreglando, volviendo a ejecutar y refinando hasta que se cierren las brechas.
Ese bucle, no el color, es lo que hace que un equipo sea verdaderamente morado.
Como lo expresó Chris Dale, instructor principal de SANS, durante nuestra reciente Cumbre BAS:
«Quiero ver menos de este rojo versus azul. Quiero convergencia. Quiero que nos hagamos bien unos a otros».
El equipo morado hace que esa convergencia sea real.
Reemplazar la rivalidad con colaboraciónel equipo morado convierte las pruebas en un ciclo continuo de validación y mejora. En un campo donde hay tanto en juego y la velocidad y la precisión pueden definir la supervivencia, esto no es sólo una mejor mentalidad; es el único camino lógico a seguir.
No más manuales: cómo BAS impulsa el equipo morado continuo
La formación de equipos morados manualmente es lenta.
Cada nueva campaña de adversario requiere horas de guión, puesta en escena y ajuste. Para cuando la cadena de eliminación esté lista, es posible que ya estén en marcha nuevas campañas y su organización podría ya aparecen en informes públicos.
Ahora puedes eliminar ese retraso, automatizando las tareas manuales que tradicionalmente ralentizan o detienen el progreso. BAJO:
-
Simula continuamente adversarios del mundo real utilizando TTP asignados al ATT&CK DE INGLETE estructura
-
Ejecuta de forma segura cargas útiles simuladas contra controles en vivo y
-
Califica instantáneamente tu Eficacia de prevención, detección y respuesta..
Aquí, la automatización no reemplaza la creatividad humana; lo amplifica, permitiendo una validación más rápida y precisa.
Como cofundador y director de tecnología de Picus Volkan Ertürk subrayó en la Cumbre BAS, “BAS es la prueba de voltaje de la seguridad moderna, la corriente que pasas por tu pila para ver qué se mantiene.«
Con BAS, el teaming morado deja de ser un evento puntual y se convierte en un ritmo productivo. Ataque. Observar. Arreglar. Validar. Repetir.
Vea cómo la plataforma de validación de seguridad Picus le ayuda a ejecutar equipos morados continuos.
Automatiza simulaciones de adversarios reales, valida cada control y convierte la colaboración entre los equipos rojo y azul en una fortaleza defensiva comprobada.
Elige una pelea que importe
No empiece con una lista de verificación de cumplimiento. Comienza con lo que realmente te quemará.
Concéntrate en rutas de ataque realistas y de alto impacto que un adversario usaría para acceder a tus joyas de la corona:
-
reconocimiento interno → escalada de privilegios → movimiento lateral (WMI, PsExec) → persistencia (registro, tareas programadas) → exfiltración de datos → cifrado y manipulación de copias de seguridad (por ejemplo, eliminación de instantáneas).
Lleve esa cadena de ataque a los controles destinados a detenerla o detectarla, firewalls, WAF, puertas de enlace de correo electrónico, IPS/IDS, EDR/XDR, y ejecute el escenario en BAS de forma segura para medir la prevención, detección y respuesta.
Mira la pila:
-
¿Qué disparó? —Esos controles funcionaron.
-
¿Qué permaneció en silencio? — Haga de esta su principal prioridad de remediación.
-
¿Qué alertó sobre firmas en lugar de comportamiento/técnica? — Esto es ruido; Vuelva a sintonizar para que las detecciones se correspondan con la técnica.
Cerrar el círculo basado en una priorización validada
Cada simulación de ataque ejecutada por BAS genera evidencia y le permite actuar de inmediato sobre las brechas descubiertas.
De esta manera, puedes priorizar lo que pasó desapercibido tanto en la prevención como en la detección; Estos son los riesgos reales que sus defensas no lograron bloquear o detectar.
Del mismo modo, puedes entonces despriorizar vulnerabilidades que sus controles existentes ya mitigan; no todos CVSS crítico Es necesario corregir la vulnerabilidad, especialmente si ya existen controles compensatorios que previenen activamente la explotación.
Examine cada brecha restante y evalúela utilizando tres factores:
-
Impacto: ¿Qué importancia tendría el daño si se explotara?
-
Detectabilidad: ¿Qué tan fácil es detectarlo con las herramientas existentes?
-
Contexto empresarial: ¿Dónde se encuentra esta exposición en su entorno y qué activos afectaría si se explotara?
En los complicados entornos actuales, arreglar todo de una vez es poco práctico, si no imposible. Concéntrese primero en las brechas más críticas: las de mayor impacto y las menos detectables que pueden conducir a una brecha real.
Este proceso acorta el ciclo entre la exposición y la respuesta.
Mida la realidad, no el volumen
Concéntrese en lo que realmente ha mejorado:
-
Tiempo de detección antes versus después de la implementación de BAS.
-
Tiempo medio para validar una solución y confirmar su eficacia.
-
Porcentaje de TTP (Tácticas, Técnicas y Procedimientos) que se detectan y previenen.
Estas métricas le mostrarán si la colaboración del equipo rojo y azul realmente está impulsando el progreso o si simplemente está siguiendo los movimientos.
Como lo expresó Jaime Rodríguez, líder de seguridad ofensiva e inteligencia de amenazas de Sutter Health: «Es un ciclo continuo de validación que podemos ejecutar en cualquier momento y en cualquier lugar.«
El objetivo no es simplemente realizar ataques por el simple hecho de hacerlo. Se trata de cerrar la brecha entre exposición y seguridad, garantizando que sus defensas reales estén continuamente validadas y alineadas con sus objetivos de seguridad.
Aproveche la IA con cuidado
La IA ahora puede leer rápidamente un informe de amenazas y generar un plan de emulación completo en minutos.
Si bien se trata de un gran avance, conlleva riesgos importantes. Volkan Ertürk advirtió: “Pídale a un modelo grande (LLM) que cree sus cargas útiles y es posible que se encuentre simulando algo incorrecto, de verdad.«
Un enfoque más inteligente es:
-
Utilice IA para analizar inteligencia sobre amenazas y asignarla a TTP.
-
Mantenga y actualice las cargas útiles en una biblioteca BAS seleccionada para mayor seguridad y calidad.
-
Haga siempre que su equipo revise los planes antes de ejecutarlos.
La IA debería ayudar, no reemplazar, el juicio humano. Puede redactar el plan, pero su equipo de seguridad debe decidir qué es seguro ejecutar.
Al hacerlo, la IA elimina la necesidad del tradicional ciclo de mapeo de 48 horas, donde los equipos de seguridad trazan manualmente las amenazas que incluirán.
Repensar el éxito
Si su equipo rojo todavía mide «administración de dominio lograda», felicidades, está atrapado en 2015.
Si tu equipo azul todavía celebra las «alertas activadas», también estás viviendo peligrosamente en el pasado.
Hoy en día, el éxito se mide mediante pruebas continuas derivadas de cada sprint:
-
¿Qué TTP se emularon?
-
¿Qué detecciones se sintonizaron?
-
¿Qué correcciones se revalidaron?
La madurez de la seguridad no es cuántas herramientas ha implementado; es la frecuencia con la que verificas que funcionan.
La recompensa: confianza continua
Después de meses de formar equipos morados impulsados por BAS, vemos algunos cambios fundamentales y dramáticos:
-
Los equipos no están debatiendo riesgos hipotéticos.
-
Los ejecutivos no solicitan informes de aseguramiento porque ya tienen los datos que necesitan.
-
Cada parche, cada mitigación, cada regla tiene un motivo concreto: probado, validado y demostrado.
En este punto, la validación continua se convierte en algo natural, lo que marca un cambio fundamental en la mentalidad de seguridad de sus equipos.
El discurso de apertura de Chris Dale dejó una poderosa declaración: “La seguridad no falla ante la brecha; falla en el punto de impacto.«
El equipo morado impulsado por BAS está diseñado para prevenir ese impacto, no a través de suposiciones o esperanzas, sino probando rigurosamente sus defensas, descubriendo la verdad y capacitando a su equipo para actuar.
Solicita tu demostración ahora adoptar equipo morado centrado en amenazas y valide su preparación frente a comportamientos realistas del adversario y cierre el círculo entre exposición y seguridad.
Patrocinado y escrito por Seguridad Picus.
