A resposta a incidentes já foi recomendada desde os estágios iniciais, no entanto, a recomendação de definir uma equipe de resposta a incidentes (Blue team) envolve muito mais do que apenas responder a um incidente.
O Blue Team, é uma equipe especializada de resposta a incidentes, trabalhando desde a preparação para um incidente, identificando o que está acontecendo quando o incidente ocorre, na contenção para isolar atacantes e reduzir o impacto, erradicação de qualquer acesso adversário, recuperação para retornar ao status normal e documentação de lições aprendidas.
Na nuvem, a resposta a incidentes na nuvem é muitas vezes muito diferente do que é habitual no local, porque na nuvem você tem todas as informações técnicas para a tomada de decisões, graças a serviços como AWS Config , AWS CloudTrail , e a capacidade de consultar dados de infraestrutura programaticamente, pode alcançar um grau muito maior de automação. Na verdade Stephen Schmidt, AWS CISO mencionado em sua palestra Security Leadership no re:Invent 2019 que 96,4% dos incidentes de segurança da infraestrutura da AWS sejam resolvidos automaticamente, sem intervenção humana.
Portanto, para gerenciar a resposta a incidentes em escala, aproveitando os recursos de nuvem, o Blue team deve investir uma grande parte do seu tempo construindo respostas automáticas a incidentes, especialmente para os mais recorrentes, ou com maior impacto.
O nome Blue team vem dos jogos militares dos EUA onde a segurança foi testada com um grupo vermelho que fingia ser o inimigo e uma equipe azul realizando a defesa.