Dentro de la ciberseguridad hay dos componentes principales que son ataque y defensa. El equipo de personas que se encarga del ataque se denomina Red Team y el de defensa Blue Team. Existen más equipos/colores, pero los principales son Red y Blue.
 

Red Team

Dentro del Red Team hay varios roles, pero hoy hablaré sobre la figura del pentester o penetration tester. El objetivo de este es intentar adentrarse en un sistema informático de una organización (se entiende sistema informático como la tripleta hardware, software y personal trabajador) mediante una serie de técnicas (¡recurriendo hasta a la ingeniería social!), poniendo a prueba las defensas de dicha organización y posteriormente elaborando un informe para que la organización tenga en cuenta qué debe mejorar de su defensa.
 

Blue Team

Hay varios roles dentro del Blue Team: operadores del SOC (Security Operation Center), CERT (Computer Emergency Response Team), Inteligencia o ciberinteligencia y demás, pero hablaré sobre los operadores del SOC. Estas personas se dedican a monitorear la infraestructura de red de la organización. La infraestructura de la organización no solo se compone por los elementos funcionales de esta (servidores, routers, BBDD, ordenadores, etc.) sino también sus defensas (firewalls, Intrusion Detection Systems, Intrusion Prevention Systems, antivirus, Web Application Firewalls, etc.).
 

Entramos en materia

El monitoreo de la infraestructura se hace principalmente con una herramienta llamada SIEM (Security Information and Event Management) que se nutre de Machine Learning y Big Data. Esta herramienta recoge información de toda la infraestructura a tiempo real en forma de logs (que son datos en crudo o raw data) y la transforma en datos más legibles (datos parseados) llamados evento.

Los operadores son la punta de lanza del Blue Team ya que son los vigilantes 24/7 de la red. Ellos, mediante queries al SIEM y una labor de investigación del caso, pueden determinar si determinadas alertas se tratan de un falso positivo, incidente sin impacto o incidente con impacto. En el caso de incidente con impacto, los operadores de SOC de alto nivel junto con el resto de roles de Blue Team (sobre todo el CERT) que se crean convenientes montan un gabinete de crisis para solventar lo antes posible dicho incidente con impacto.
 

Dentro y fuera del mundo profesional

La ciberseguridad la podemos entender a grosso modo como el hacking profesionalmente hablando, pero independientemente del mundo profesional a un hacker lo podemos categorizar principalmente por su moral: bueno, neutral y malvado. Los buenos se les llama white hats o ethical hackers, los neutrales grey hats y los malvados black hats o crackers (criminal hackers).

Los hackers profesionales, es decir, los que trabajan en ciberseguridad, son un claro ejemplo de white hats.

Existen muchos más colores de sombreros o hats y ya se extiende a algo más allá de hablar de moral. El motivo de que se categorice con sombreros es debido a la jerga de internet (pero usado en el mundo profesional). Lo de los sombreros viene a raíz de las películas del viejo oeste en el que curiosamente los sheriff llevaban el sombrero blanco y los malvados llevaban el sombrero negro.

La motivación de los white hats es trabajar en el sector de la ciberseguridad y descubrir más cosas de la tecnología enfocada a la ciberseguridad, en cambio los motivos de los black hats van desde el crimen hasta incluso el terrorismo.
 

Foto de cabecera: B_A / 32 / Pixabay
ciberseguridad,machine learning,Medalla Blogger,Open,