Tipos de simulaciones
Hay tres tipos principales de simulaciones:
-
Ejercicios prácticos: el enfoque de los ejercicios prácticos consiste estrictamente en llevar a cabo una sesión de debate en la que participen las diversas partes interesadas en la respuesta a los incidentes para practicar los roles y responsabilidades y utilizar las herramientas de comunicación y los manuales de estrategia establecidos. Por lo general, este ejercicio se puede hacer durante un día completo en un lugar virtual o físico, o bien en una combinación de ambos. Debido a su naturaleza de debate, el ejercicio de simulación se centra en los procesos, las personas y la colaboración. La tecnología forma parte integral del debate; sin embargo, en este tipo de ejercicio no se hace un uso real de las herramientas o los guiones de respuesta ante incidentes.
-
Ejercicios del equipo morado: los ejercicios del equipo morado aumentan el nivel de colaboración entre las personas que se encargan de la respuesta a los incidentes (equipo azul) y los actores de las amenazas simuladas (equipo rojo). Por lo general, el equipo azul está compuesto por miembros del centro de operaciones de seguridad (SOC), pero también puede incluir a otras partes interesadas que participarían durante un ataque cibernético real. El equipo rojo suele estar compuesto por un equipo de pruebas de penetración o partes interesadas clave que cuentan con formación en seguridad ofensiva. El equipo rojo trabaja en colaboración con los facilitadores del ejercicio para diseñar un escenario que sea preciso y factible. Durante los ejercicios del equipo morado, la atención se centra en los mecanismos de detección, las herramientas y los procedimientos operativos estándar (SOP) que facilitan las iniciativas de respuesta a los incidentes.
-
Ejercicios del equipo rojo: durante un ejercicio del equipo rojo, el atacante (equipo rojo) hace una simulación para lograr un determinado objetivo o conjunto de objetivos desde un ámbito predeterminado. Los defensores (equipo azul) no conocen necesariamente el ámbito y la duración del ejercicio; de esta manera, se consigue una evaluación más realista de cómo responderían ante un incidente real. Dado que los ejercicios del equipo rojo pueden ser pruebas invasivas, debe tener cuidado e implementar controles para verificar que el ejercicio no produzca un daño real en su entorno.
nota
AWS exige que los clientes revisen la política sobre pruebas de penetración, que está disponible en el sitio web de pruebas de penetración
En la tabla 1 se resumen algunas de las principales diferencias entre estos tipos de simulaciones. Es importante tener en cuenta que, por lo general, las definiciones se consideran definiciones vagas y se pueden personalizar para adaptarlas a las necesidades de la organización.
Tabla 1: tipos de simulaciones
| Ejercicio práctico | Ejercicio del equipo morado | Ejercicio del equipo rojo | |
|---|---|---|---|
| Resumen | Ejercicios en papel que se centran en un escenario de incidente de seguridad específico. Estos pueden ser de alto nivel o técnicos, y están impulsados por una serie de inyecciones en papel. | Una oferta más realista en comparación con los ejercicios prácticos. Durante los ejercicios del equipo morado, los facilitadores trabajan en colaboración con los participantes para aumentar su participación en el ejercicio y ofrecen formación cuando es necesario. | Por lo general, se trata de una oferta de simulación más avanzada. Suele haber un alto nivel de encubrimiento, por lo que es posible que los participantes no conozcan todos los detalles del ejercicio. |
| Recursos necesarios | Recursos técnicos limitados requeridos | Se requieren diversas partes interesadas y un alto nivel de recursos técnicos | Se requieren diversas partes interesadas y un alto nivel de recursos técnicos |
| Complejidad | Bajo | Medio | Alto |
Considere la posibilidad de llevar a cabo simulaciones de ataques cibernéticos con regularidad. Cada tipo de ejercicio puede aportar ventajas únicas para los participantes y la organización en su conjunto, por lo que puede optar por empezar con tipos de simulaciones menos complejos (como los ejercicios prácticos) y pasar luego a los más complejos (ejercicios del equipo rojo). El tipo de simulación se debe elegir en función de su nivel de madurez en seguridad, sus recursos y los resultados deseados. Es posible que algunos clientes opten por no llevar a cabo los ejercicios del equipo rojo por su complejidad y su costo.
