Blue Team

Blue team terminoak erreferentzia egiten dio zibersegurtasunaren arloko defentsa-segurtasunari. Bestalde, segurtasun-erasoa red team gisa ezagutzen da. Ekipo horietako bakoitzak bere funtzio bereizgarria du. Blue teamen kasuan, helburu nagusia erakundeei eragin diezaieketen hainbat mehatxuren ebaluazioak egitea da. Hau da, erakundearen ikuspegi orokorra hartzen du, barrutik kanpora, aktiboak edozein mehatxurengandik babesteko. Horretarako, hainbat jarduera egiten ditu, hala nola sarea edo sistemak monitorizatzea, edo erakundearen arriskuak murrizten laguntzeko jarduketa-planak gomendatzen ditu. Blue team batek egiten dituen funtzio nagusiak dira:

  • Uneoro zaintzea, sareetan edo sistemetan ohikoak ez diren patroiak eta/edo portaerak aztertzea. Portaera horiek gailuetatik edo pertsonetatik etor daitezke.
  • Zibersegurtasun-gertakarien aztarna jarraitzea. Sistemak eta aplikazioak aztertzea kalteberatasunak bilatzeko eta erakundearen segurtasun-neurrien eraginkortasuna egiaztatzea.
  • Gertakariei erantzutea. Kaltetutako aktiboen azterketa forentserako teknikak erabiltzea, eraso-bektoreen trazabilitatea bilatzea, konponbideak ematea eta etorkizunerako zuzendu eta hautemateko neurriak ezartzea.

Blue teamak egin ditzakeen ariketen barietate jakin bat dago. Zibererasoen aurrean sarea babesteko erabiltzen diren metodo eta tresnetako batzuk izan daitezke:

  • DNSren auditoretzak egitea, edo domeinu izenen sistemak (Domain Name Server ingelesez), phishing erasoak saihesteko, iraungita dauden DNS-ek eragindako kalteak saihesteko, DNS-ren erregistroak ezabatu direlako jarduera ezaren denbora saihestea, eta DNS-ari eta erakundearen webguneari egiten dizkioten erasoak prebenitzea eta murriztea.
  • Hatz-markaren azterketa egitea, erabiltzaileen jarduera arakatu eta sistemak izan dituen segurtasun-urraketak hauteman ahal izateko.
  • Erakundearen kanpo-gailuetan segurtasun-softwareak instalatzea, hala nola telefono mugikorretan edo ordenagailuetan.
  • Suebakietarako (firewall) sarbide-kontrolak behar bezala doituta eta eguneratuta daudela egiaztatzea.
  • IDS (detekzioa) edo IPS (babesa) tresnak edo softwarea erabiltzea, detekzioaren eta prebentzioaren arloko segurtasun-kontrolerako.
  • SIEM konponbideak ezartzea, sareko jarduera erregistratu eta monitorizatzeko.
  • Erregistroak aztertzea, sistemaren ez-ohiko jarduera bildu eta eraso zibernetikoak hauteman eta lokalizatzeko.
  • Sareak behar bezala doituta daudela egiaztatzea.
  • Antibirus softwarea edo antimalwarea behar bezala eguneratuta daudela egiaztatzea eta banatzea.

Blue teamaren onurarik handiena epe luzerako babesa da; izan ere, sistema etengabe berrikusten du eta defentsak bermatzen ditu. Horrez gain, gomendagarria da ekintzarako estrategia zehaztuta izatea, erakundean blue team eta red team uztartuz. Izan ere, bi taldeak konbinatzea abantaila handia da kalteberatasunak bilatu eta erakundearen segurtasuna etengabe hobetzeko.

Partekatu