Purple Team
¿Qué es Purple Team?
Purple TeamModelo de ejercicio colaborativo en el que red team y blue team trabajan abiertamente juntos para mejorar la detección y la respuesta casi en tiempo real.
El purple team es la mezcla de rojo y azul. A diferencia de una evaluación encubierta, un ejercicio purple es transparente: los operadores ofensivos ejecutan TTPs específicos mientras los defensores observan la telemetría, validan las detecciones y ajustan reglas en el momento. El objetivo no es "ganar", sino maximizar el aprendizaje por técnica de ataque y dejar a la organización mejoras medibles: nuevas detecciones, mejores logs, alertas afinadas, runbooks más rápidos. Se suele acotar a MITRE ATT&CK y es muy eficaz para cerrar las brechas de visibilidad que el red team tradicional revela pero no tiene tiempo de remediar.
● Ejemplos
- 01
Ejercicio de dos días en el que el red team ejecuta 20 técnicas ATT&CK seguidas mientras el blue afina detecciones en vivo.
- 02
Programa purple continuo que cada semana emula los últimos playbooks de ransomware.
● Preguntas frecuentes
¿Qué es Purple Team?
Modelo de ejercicio colaborativo en el que red team y blue team trabajan abiertamente juntos para mejorar la detección y la respuesta casi en tiempo real. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Purple Team?
Modelo de ejercicio colaborativo en el que red team y blue team trabajan abiertamente juntos para mejorar la detección y la respuesta casi en tiempo real.
¿Cómo defenderse de Purple Team?
Las defensas contra Purple Team combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.