La defensa de la red a las 2:00 a. m. se ve así: el analista copia el hash del PDF y lo pega en la consulta SIEM. El guión del equipo rojo ha sido reescrito manualmente para que lo utilice el equipo azul. El parche está a la espera de un período de aprobación de cambios que es más largo que el período de explotación en sí.
No hay ningún incompetente en esa cadena. Todos los humanos están haciendo su trabajo correctamente. El problema es el sistema, su flujo de trabajo y el engorroso traspaso.
Por el contrario, el reloj del atacante casi se ha agotado.
En 2024, el tiempo medio para que un exploit funcionara después de la publicación de un CVE era de 56 días. En 2025, se reducirá a 23 días. En lo que va de 2026, ha rondado las 10 horas en 3532 pares de exploits CVE de CISA KEV, VulnCheck KEV y ExploitDB.
Figura 1. Las vulnerabilidades de explotación de Windows ahora alcanzan las 10 horas
La buena noticia es que el reloj del defensor se ha acelerado hasta el punto de que se agota en cuestión de horas. La realmente mala noticia es que ahora salta el reloj del atacante y se ejecuta en segundos. Está lejos de ser una pelea justa.
Durante una década, la industria de la seguridad se ha referido a la práctica de cerrar esta brecha como «equipo púrpura». Esa es la respuesta correcta. Hasta ahora esto no ha sido práctico.
¿Qué es el equipo morado en la práctica?
El concepto de equipo morado es simple.
Red encuentra el camino que tomaría un atacante. El azul valida si se activa la detección y si la prevención está habilitada. lo repiten. La salida roja se convierte en la entrada azul. La salida del azul se convierte en la siguiente entrada del rojo. Este bucle refuerza la postura de la organización de forma continua en lugar de trimestralmente.
Esa es la idea y, nuevamente, es una idea sólida. Lamentablemente, es en la ejecución cuando todo se derrumba.
Tres razones por las que el equipo morado tradicional no está operativo
Razón 1: El equipo morado humano tiene demasiada fricción.
Muy pocas personas hacen equipos morados como un bucle real. Los equipos no hablan con suficiente frecuencia y, cuando lo hacen, la gente termina en largas reuniones, informes detallados, largas autopsias y emergencias familiares. En el sentido más general, el cuello de botella casi siempre es humano.
Mire dónde invierte realmente el tiempo un defensor.
Se lanzó, no dentro de EDR. Hubo una correlación, no dentro del SIEM. Tenía un CVE integrado, no dentro del escáner.
El tiempo de respuesta será lento durante la transferencia. Mensajes de Slack no leídos. Hash copiado y pegado. El PDF le fue enviado por correo electrónico para su revisión. Boletos en espera de atención o aprobación. Los guiones del equipo rojo se han reconstruido manualmente para el equipo azul. Esta es la entrega de espaguetis. Una vez que reconoce una ineficiencia o un punto de falla, no puede ignorarla.
Razón 2: la alineación del equipo y las herramientas es el verdadero cuello de botella
El equipo de red es propietario del firewall. SOC consume alertas. Red realiza el ejercicio. Detección de construcciones azules. VM rastrea CVE. El personal de operaciones de TI aplica el parche.
Cada grupo opera una o más herramientas. Cada herramienta produce artefactos (hallazgos, alertas, informes, tickets) que se capturan, reinterpretan y entregan. Lo que estos equipos crean colectivamente representa un servicio, una postura de seguridad que se verifica continuamente. En realidad, suele ser un desastre arreglado por un jurado, con humanos sobrecargados escribiendo en Jira con visión borrosa por la noche.
Así que formar un equipo morado sigue siendo una aspiración. Ideas geniales para presentaciones de proveedores. Probablemente un ejercicio trimestral. Casi nunca funciona. Ciertamente no es fácil de usar.
Razón 3: Los equipos morados tradicionales no pueden seguir el ritmo de los oponentes impulsados por IA.
Estos son los cambios: El atacante obtuvo un LLM. Defender todavía está completando el ticket de Jira.
En la mayoría de las organizaciones, el proceso de aprobación de cambios por sí solo fue más largo que el período de explotación.
Un atacante impulsado por IA puede comprometer su sistema en menos de 73 segundos. Los defensores suelen tardar al menos 24 horas en implementar correcciones, trabajando a través de una cadena de transferencia estándar entre el SOC, el equipo rojo, el equipo azul y TI.
Figura 2. Entrega de espaguetis entre equipos
Los ejercicios trimestrales del Equipo Púrpura, e incluso los ejercicios mensuales, ya no son bucles, sino casillas de verificación, instantáneas de batallas que ya han tenido lugar y, por lo general, ejercicios en vano.
Ingrese al equipo morado autónomo
La misma tecnología que comprime el reloj del atacante también puede comprimir el reloj del defensor.
Afortunadamente, los equipos morados autónomos son, por su propia naturaleza, exactamente el tipo de flujo de trabajo en el que la IA es buena. Es decir, un circuito estricto y bien definido entre dos funciones especializadas, donde el cuello de botella siempre fue la transferencia humana y de conocimiento, más que el trabajo en sí.
Cuando el agente autónomo realiza la transferencia, el bucle finalmente se cierra a la velocidad de la máquina.
Los resultados rojos se convierten automáticamente en pruebas azules. La brecha de Azul será la próxima práctica de Rojo. Sin pausas para el café, sin niños que regresan a casa de la escuela, sin vacaciones.
El sistema que la gente ha estado describiendo durante una década finalmente puede implementarse como una metodología continua en lugar de un evento del calendario.
Esto no es «IA para seguridad» en el sentido de generar reglas YARA, resumir alertas y crear tickets, como la mayoría de los proveedores han estado promocionando durante el último año. Estas son automatizaciones de tareas. Conveniente y gradualmente útil. Pero la verdadera autonomía es otra cosa. Esto significa que el agente ejecuta todo el bucle de un extremo a otro y cada paso es auditable, lo que permite anulaciones, reajustes y reversiones.
Y es un dial, no un acantilado. El rastreo es manual. Las caminatas se programan con asistencia de IA. La ejecución es de extremo a extremo, con revisión humana solo cuando es necesario.
Equipo Púrpura Autónomo en acción: BAS, pruebas de penetración automatizadas y movilización impulsada por IA
Un equipo púrpura autónomo eficaz requiere tres componentes que funcionen como un sistema en lugar de herramientas separadas.
Las pruebas de penetración automatizadas son una pregunta roja que sigue recibiendo respuesta. Dadas las exposiciones y los controles actuales, ¿pueden los atacantes alcanzar la mina de oro en su entorno?
La simulación de intrusión y ataque (BAS) es la respuesta de Blue. ¿Lo bloqueó el firewall, lo detectó el EDR, se activó la regla SIEM, se ejecutó la respuesta como se describe en el runbook?
Figura 3. BAS y las pruebas de penetración automatizadas le ofrecen una visión general.
La movilización impulsada por IA, que alguna vez fue una aportación humana a Jira, ahora la realizan una serie de agentes especializados. Se emite una alerta CISA. El agente CTI lo aplica contra el medio ambiente. Los agentes de base determinan que las amenazas son relevantes y obtienen la postura actual de BAS, pruebas de penetración y datos de exposición. Los agentes rojo y azul ejecutan simulación y validación en paralelo. El agente Mobilizer implementa automáticamente correcciones de bajo riesgo, abre tickets para correcciones medianas y marca las correcciones restantes para revisión humana. Los agentes reporteros crean una visión ejecutiva para el liderazgo y una visión técnica para el SOC.
No hay analistas en la cadena. Todos los pasos seguirán siendo visibles en la consola del operador. No hay cajas negras, simplemente no hay humanos en la mesa escribiendo en Jira.
El resultado no son 50.000 CVE clasificados por CVSS. Esta es una cola de acción continua que abarca el rojo y el azul. Es decir, qué es realmente explotable hoy para un control real y qué se debe hacer al respecto antes de que cierre el período de explotación.
No es sólo automatización, es equipo morado. Este es el bucle con el que la industria ha estado soñando y que finalmente funciona al ritmo que ahora exigen las amenazas impulsadas por la IA.
Véalo en acción dentro de una empresa real.
El bucle continuo es la respuesta correcta. Pero «continuo» todavía significa que los humanos están marcando el ritmo. Cuando los atacantes operan a la velocidad de una máquina, el problema no es la brecha entre ver y detectar. Está entre detectarlo y probarlo lo suficientemente temprano como para que un atacante impulsado por IA no pueda descubrirlo en primer lugar.
Aquí es donde la validación pasa de continua a autónoma. Los agentes de IA leen alertas, realizan pruebas de alcance, ejecutan simulaciones, implementan correcciones y generan informes. SOC, por otro lado, se centra en el panorama general e idealmente te permite dormir el tiempo que necesitas.
Revelaremos cómo se ve esto, la arquitectura, los flujos de trabajo de los agentes y las realidades operativas reales de ejecutar esto en una empresa real en la Cumbre de Validación Autónoma los días 12 y 14 de mayo. La cumbre será organizada por Frost & Sullivan e incluirá profesionales de Kraft Heinz, Hacker Valley y Grow Financial Services, así como el CTO de Picus, Volkan Erturk.
Véalo en acción en la Cumbre →
Nota: Este artículo fue escrito por Sıla Özeren Hacıoğlu, ingeniera de investigación de seguridad de Picus Security.
Source link
