Desde las primeras etapas ya se recomendó responder ante incidentes, sin embargo la recomendación de la conformación de un equipo de respuesta ante incidentes (Blue team) implica mucho más que sólo responder ante un incidente.
El Blue Team, es un equipo especializado en respuesta ante incidentes, que trabaja desde la preparación para un incidente, la identificación de qué es lo que está pasando al ocurrir el incidente, en la contención para aislar a los atacantes y reducir el impacto, la erradicación del cualquier acceso de los adversarios, la recuperación para volver al estado normal, y las documentación de las lecciones aprendidas.
En la nube, la respuesta ante incidentes en la nube suele ser muy distinta a lo acostumbrado on-premise, ya que en la nube se cuenta con toda la información técnica para la toma de decisiones, gracias a servicios como AWS Config , AWS CloudTrail , y la posibilidad de consultar datos sobre la infraestructura de manera programática, pueden lograr un grado de automatización muy superior. De hecho Stephen Schmidt, CISO de AWS mencionó en su charla de Security Leadership en el re:Invent 2019 que el 96.4% de los incidentes de seguridad propios de la infraestructura de AWS se resuelven automáticamente, sin intervención humana.
Por consiguiente, para manejar a escala la respuesta ante incidentes, aprovechando las capacidades de la nube, el Blue team debería invertir una gran parte de su tiempo en construir respuestas automáticas ante incidentes, especialmente para los mas recurrentes, o de mayor impacto
El nombre Blue team proviene de los juegos militares estadounidenses donde se ponía a prueba la seguridad con un grupo rojo que simulaba ser el enemigo y un equipo Azul que realizaba la defensa.