Il modo migliore per descrivere come funziona un "blue team" è quello di paragonarlo a una squadra di calcio. Il blue team, composto dai professionisti della cybersecurity della tua organizzazione, è la linea di difesa contro tutte le potenziali minacce, come attacchi di phishing e attività sospette.
Uno dei primi passi nel lavoro del blue team, o linea di difesa, consiste nel comprendere la strategia di sicurezza dell'organizzazione. Questo passaggio è fondamentale per raccogliere i dati necessari a elaborare un piano di difesa contro gli attacchi del mondo reale.
Prima di predisporre il piano di difesa, il blue team raccoglie tutte le informazioni relative alle aree che necessitano di protezione ed effettua una valutazione dei rischi. Durante questo periodo di test, il blue team identifica gli asset critici e rileva l'importanza di ciascuno, insieme agli audit DNS e all'acquisizione di campioni del traffico di rete. Una volta identificati questi asset, il team può condurre una valutazione del rischio per identificare le minacce contro ciascuno di essi e scoprire eventuali problemi di configurazione o punti deboli visibili. Questa valutazione è simile a ciò che avviene in una squadra di calcio, quando gli allenatori e i giocatori discutono delle partite passate, di ciò che è andato bene e di ciò che è andato male.
Una volta completata la valutazione, il blue team mette in atto delle misure di sicurezza, come istruire ulteriormente i dipendenti sulle procedure di sicurezza e rafforzare le regole sulle password. Implementare misure di sicurezza è come creare nuove partite da testare per vedere come funzionano nel calcio. Dopo avere stabilito il piano di difesa, il ruolo del blue team è quello di introdurre strumenti di monitoraggio in grado di rilevare segni di intrusione, indagare sugli avvisi e rispondere ad attività insolite.