This post is also available in: Português Español
Para analisar o real poder que uma empresa tem na hora de se defender contra constantes ameaças cibernéticas, é cada vez mais comum contratar um serviço conhecido como Red Team & Blue Team. Afinal, é como uma simulação em condições reais de defesa e ataque, na qual a vermelha existe para atacar e a azul para defender. A ideia é fortalecer a segurança da empresa aprendendo com cada “combate” entre as equipes. E existe ainda o Purple Team, a equipe roxa, que é opcionalmente adotada para apoiar o processo.
Colocar essas equipes em ação pode ser extremamente benéfico, pois oferece a oportunidade de desafiar as defesas da empresa de forma realista – da mesma maneira que faria um cibercriminoso autêntico. É uma excelente maneira de saber se a empresa está de fato segura.
Nesse contexto, uma equipe vermelha é tipicamente independente, e na maior parte das vezes tercerizada, para testar suas defesas. O time é composto por hackers éticos qualificados, cujo objetivo é identificar e explorar com segurança vulnerabilidades na estrutura física e lógica da empresa.
Ao imitar ameaças sofisticadas do mundo real, o exercício é altamente realista. Uma equipe vermelha implanta ferramentas e técnicas de invasão projetadas para burlar as estruturas de segurança implementadas na empresa. Isso pode se estender ao desenvolvimento de seu próprio malware e à criação de novas metodologias, assim como os crackers fariam.
O teste de penetração convencional implementa técnicas mais facilmente detectáveis – como scanners de vulnerabilidade – para identificar falhas na segurança. Entretanto, uma equipe vermelha é furtiva e fará tudo o que puder para evitar a detecção.
Alguns gestores podem ficar confiantes de que seus sistemas são difíceis de penetrar, pois possuem uma variedade de medidas de segurança robustas. Mas uma equipe vermelha precisa apenas encontrar o elo mais fraco para fazer seu caminho. Isso pode incluir técnicas de spear phishing, ou então replicar os serviços externos do alvo em um laboratório para encontrar explorações de dia zero.
Assim, para o red team vale tudo. Tudo mesmo. Há casos em que um membro do time tenta, inclusive, acessar fisicamente a empresa, utilizando técnicas de engenharia social, para identificar falhas de procedimento e tentar obter acesso a estruturas críticas das empresas.
Dessa maneira, os objetivos e deveres da equipe vermelha incluem:
- Comprometer a segurança do alvo extraindo informações, infiltrando seus sistemas ou violando seus perímetros físicos.
- Evitar a detecção pela equipe azul. Muitos ataques ocorrem em um período de tempo curto, tornando extremamente complicado para o time azul neutralizar a ameaça antes que o dano seja feito.
- Explorar bugs e fraquezas na infraestrutura do alvo. Isso destaca as lacunas na segurança da organização que precisam ser corrigidas, melhorando assim sua postura de proteção.
- Iniciar atividades hostis, incluindo testes de penetração sofisticados – fornecendo uma avaliação confiável das capacidades defensivas da equipe azul.
Os métodos da equipe vermelha incluem:
- Reconhecimento inicial, avaliando a inteligência de código aberto (OSINT) para coletar informações sobre o alvo.
- Implantação de servidores de comando e controle (C&C ou C2) para estabelecer comunicação com a rede do destino.
- Usar iscas para despistar o time azul.
- Aplicar técnicas de engenharia social e phishing para manipular os funcionários a expor ou revelar informações que possam comprometer os sistemas.
- Testes de penetração físicos e digitais.
Blue Team
Uma equipe azul é o próprio pessoal de segurança cibernética de uma empresa, normalmente dentro de um Centro de Operações de Segurança (SOC). O SOC consiste em analistas altamente treinados que trabalham na defesa e no aprimoramento das defesas de sua empresa 24 horas por dia.
Assim, espera-se que a equipe azul detecte e enfraqueça as ações da equipe vermelha. O cenário de ataque simulado foi projetado para aprimorar suas habilidades, preparando-os para ataques perigosos do mundo real.
Muitas das ameaças atuais, como malware e e-mails de phishing, serão detidas por ferramentas automatizadas no perímetro da rede. Por exemplo, produtos de segurança de endpoint e plataformas de detecção de ameaças. O SOC ou equipe azul adiciona a inteligência humana vital às ferramentas e tecnologias, sendo proativo e reativo conforme a ocasião.
A equipe azul detectará e neutralizará os ataques mais sofisticados e monitorará de perto as ameaças atuais e emergentes para defender preventivamente a empresa.
Os objetivos e deveres da equipe azul incluem:
- Compreender todas as fases de um incidente e responder adequadamente.
- Perceber padrões de tráfego suspeitos e identificar indicadores de comprometimento.
- Desmantelar rapidamente qualquer forma de comprometimento.
- Identificar os servidores de comando e controle (C&C ou C2) dos atores da equipe vermelha, bloqueando sua conectividade com o alvo.
- Realizar análises e testes forenses nos diferentes sistemas operacionais executados por sua empresa, incluindo o uso de sistemas de terceiros.
Os métodos da equipe azul incluem:
- Revisar e analisar dados de log.
- Utilizar uma plataforma de gerenciamento de informações e eventos de segurança (SIEM) para visibilidade e detecção de intrusões “ao vivo” e para triagem de alertas em tempo real.
- Reunir novas informações de inteligência de ameaças e priorizar as ações apropriadas no contexto dos riscos.
- Realização de análise de tráfego e fluxo de dados.
Equipe Roxa
Ao misturar tintas azuis e vermelhas, o resultado é uma cor roxa – “purple”, em inglês. Ou seja, o purple team conta com membros do red team e do blue team.
Nesse contexto, é importante ressaltar que equipe roxa não é uma equipe distinta, mas sim uma mescla de membros da equipe vermelha e membros da equipe azul. O purple team foi concebido como um ciclo de feedback entre as equipes vermelha e azul, beneficiando-se de nuances sutis em sua abordagem para ser mais eficaz.
Portanto, tem uma função transitória para supervisionar e otimizar o exercício da equipe vermelha e azul. É então uma abordagem de segurança cibernética que permite a ambos os times compartilharem dados de segurança, com feedbacks em tempo real, para inspirar uma postura de segurança mais forte.
O purple team pode ser visto como sendo mais um conceito do que uma função. Leva então a equipe vermelha a testar e visar elementos específicos das capacidades de defesa e detecção da equipe azul.
Essa abordagem ajuda a desenvolver e melhorar as equipes. Os azuis ficam mais informados sobre como priorizar, medir e melhorar sua capacidade de detectar e se defender contra ameaças e ataques, e os vermelhos obtêm informações do setor sobre tecnologias e mecanismos usados na defesa.
Os objetivos e deveres da equipe roxa incluem:
- Trabalhar ao lado das equipes vermelha e azul, analisando como elas atuam juntas e recomendando quaisquer ajustes necessários para o exercício atual, ou anotando-os para o futuro.
- Ver o quadro geral e assumir a mentalidade e as responsabilidades de ambas as equipes. Por exemplo, um membro da equipe roxa trabalhará com a equipe azul para revisar como os eventos estão sendo detectados. O membro do time então mudará para a equipe vermelha com o intuito de abordar como os recursos de detecção da equipe azul podem ser corrompidos.
- Analisar os resultados e supervisionar as ações corretivas necessárias, o que inclui correção de vulnerabilidades e treinamento de conscientização cibernética para os funcionários
A presença do Purple Team então resulta na criação de uma postura de segurança mais saudável para a empresa. Ao fazer uso da comunicação constante entre as equipes, com testes de penetração periódicos, gerenciamento de vulnerabilidades e desenvolvimento de infraestrutura e políticas de segurança aprimoradas, as empresas dão o melhor de si contra uma real violação de dados – que mais cedo ou mais tarde realmente virá.
This post is also available in: Português Español