Simulación de adversario
Un Purple Team no es un ataque a ciegas: es tu equipo rojo y tu equipo azul trabajando codo con codo. Atacamos con técnicas reales mientras tu equipo de defensa mira en directo, y juntos comprobáis qué se detecta, qué se escapa y por qué, afinando las reglas sobre la marcha. Donde un Red Team te dice si te ven, el Purple Team se queda a mejorar que te vean.
Para organizaciones con capacidad de defensa, propia o gestionada, que quieren sacarle el máximo.
Qué es
El nombre lo dice todo: el equipo rojo que ataca y el equipo azul que defiende, en vez de competir, se mezclan y trabajan juntos. De esa mezcla sale el morado, y una defensa que mejora con cada ataque.
El que ataca. Ejecuta las técnicas de un adversario real contra tus sistemas.
El que defiende. Tu SOC, que tiene que detectar lo que pasa y responder a tiempo.
Los dos juntos. En lugar de medirse a ciegas, colaboran en directo para que la defensa aprenda de cada ataque.
El ejercicio
No es un ataque sorpresa: es una sesión de trabajo donde lanzamos técnicas reales y tu equipo de defensa las ve caer en el momento, para ajustar lo que haga falta sin esperar a un informe.
Acordamos qué ataques probar a partir del catálogo de MITRE ATT&CK, normalmente los que más te preocupan o los que un Red Team ya destapó.
Ejecutamos cada técnica con tu equipo de defensa delante, mirando su propia telemetría. Aquí no se trata de pillar a nadie, sino de aprender juntos.
Comparáis lo que ocurrió con lo que llegó al analista: qué saltó, qué no y por qué. Si faltó un registro, una regla o una respuesta, queda anotado.
Ajustáis reglas y respuesta en el momento, y volvemos a lanzar la técnica para confirmar que ahora sí se detecta.
Qué probamos
No improvisamos los ataques: partimos de MITRE ATT&CK, el catálogo que describe cómo se comporta un adversario de verdad, sus tácticas, técnicas y procedimientos. Elegimos contigo las que más te importan, las lanzamos y medimos, una a una, si tu defensa las ve.
Cómo entra un atacante y consigue ejecutar su primer código dentro de tus sistemas.
Cómo se queda dentro y gana privilegios sin que salte ninguna alarma.
Cómo salta de un equipo a otro hasta llegar a lo que de verdad importa.
Cómo se lleva tus datos fuera, el momento que toda defensa debería detectar.
Y preferimos hacerlo bien antes que hacerlo todo: probar a fondo un grupo de técnicas y comprobar qué pasa con cada una, en vez de pasar por encima de un catálogo entero sin aprender nada. Cada técnica que lanzamos queda mapeada a su identificador de ATT&CK, para que tu equipo pueda reconstruir después qué ocurrió, cuándo y dónde estaba el hueco.
Qué te llevas
Un Purple Team no termina en sensaciones: termina en cambios concretos sobre tu detección y en una foto medible de cómo estabas antes y cómo quedas después.
El mapa de cada técnica probada con su estado: detectada, detectada a medias o no detectada. De un vistazo se ve dónde estás ciego.
Los ajustes que hacemos en directo sobre tu SIEM y tu EDR para que lo que antes pasaba desapercibido ahora salte.
Playbooks revisados para que tu equipo no solo detecte, sino que sepa qué hacer en cuanto detecta.
Tu equipo azul ha visto el ataque de cerca y ha aprendido haciendo, no leyendo un informe.
La cobertura de detección, y cómo evoluciona, es una medida que entiende un comité y que ayuda a decidir dónde invertir lo siguiente.
La evidencia de que tus controles no solo existen sobre el papel, sino que frenan ataques reales.
Cuándo
Un Red Team te enseña qué se te escapa. El Purple Team es el paso que lo arregla, sentando a ataque y defensa sobre esos mismos puntos ciegos.
Acabas de desplegar o migrar tu SIEM o tu EDR. Antes de confiar en él, conviene comprobar que detecta lo que dice detectar.
Tu equipo azul aprende más en una sesión viendo ataques reales que en meses de teoría.
Llegas pudiendo demostrar, con técnicas reales, que tus controles funcionan y no solo figuran en un documento.
Encaja con
El Purple Team afina una defensa que ya existe, así que su pareja natural es Sondriva, nuestro SOC: el equipo azul que se entrena en el ejercicio. Y es la cara colaborativa del Red Team: donde este te ataca a ciegas para ver si lo detectas, el Purple Team se sienta contigo a arreglar justo esos puntos ciegos. Muchas organizaciones encadenan los dos, primero el examen y después el entrenamiento.
Dudas
En la actitud. Un Red Team te ataca a ciegas y mide si lo detectas, sin que tu equipo lo sepa. Un Purple Team se hace en abierto: el que ataca y el que defiende trabajan juntos, viendo lo mismo a la vez, para afinar la detección sobre la marcha. Uno te examina, el otro te entrena.
Es el catálogo que describe cómo se comporta un adversario real: sus tácticas, técnicas y procedimientos, las TTP. Lo usamos como guion del ejercicio porque nos da un lenguaje común con tu equipo: elegimos técnicas concretas del catálogo, las lanzamos y medimos la cobertura de detección, qué porcentaje de esas técnicas relevantes ve tu defensa.
Sí, necesitas capacidad de defensa, propia o gestionada, porque lo que se afina es justamente eso. Si todavía no tienes detección montada, el Purple Team llega pronto: primero conviene tener un SOC y unos controles, y luego venimos a sacarles el máximo.
Sí, y esa es la diferencia con el Red Team. Aquí no se trata de pillar a nadie, sino de aprender juntos: tu equipo de defensa está delante, ve cada técnica que lanzamos y ajusta sus reglas y su respuesta en el momento.
Con números, no con sensaciones. Cada técnica que lanzamos queda registrada con su estado: detectada, detectada a medias o no detectada. Esa matriz es tu cobertura de detección, y la comparamos antes y después del ajuste. También miramos cuánto tarda en saltar la alarma, porque detectar tarde a veces es casi como no detectar.
Las afinamos junto a tu equipo, en directo. Cuando una técnica se escapa, vemos por qué (faltó un registro, una regla, una respuesta), proponemos el ajuste sobre tu SIEM o tu EDR y volvemos a lanzar el ataque para confirmar que ahora sí salta. Ese segundo intento, el retest, es lo que distingue un Purple Team de afinar reglas a ciegas.
Una matriz de las técnicas probadas con su estado de detección, las reglas afinadas sobre tu SIEM y tu EDR, los playbooks de respuesta revisados, un equipo azul que ha aprendido haciendo y una métrica de cobertura que entiende un comité y que sirve para demostrar a un auditor que tus controles frenan ataques reales.
Sí, encaja perfecto. Cuando tu defensa es un SOC gestionado, el Purple Team es la forma de afinar juntos qué se vigila y cómo se responde. Con Sondriva, nuestro propio SOC, el ejercicio es aún más directo, porque el equipo que defiende y el que afina hablan el mismo idioma.
Suelen ir juntos en el tiempo. Un Red Team te dice qué se te escapa, y el Purple Team es el paso que lo arregla, sentando a ataque y defensa a afinar esos puntos ciegos. Muchas organizaciones empiezan por el Red Team y siguen con sesiones de Purple Team.
¿Hablamos?
Cuéntanos cómo defiendes hoy, con tu equipo o con un SOC gestionado, y montamos un Purple Team para afinar lo que ya tienes.
Ponte en contacto