Aprendizado e descoberta 8min de Leitura - 24 de janeiro de 2022

Blue Team e Red Team, entenda o que é e quais as diferenças

red team blue team

This post is also available in: Português Español

Pentest

As equipes vermelhas (red team) e azuis (blue team) desempenham um papel importante na defesa contra ataques cibernéticos, que ameaçam dados confidenciais de clientes e informações empresariais privadas. Elas atuam em um ambiente que pode lembrar um jogo eletrônico, onde um time ataca um território e outro defende. Porém, tudo dentro da vida real, onde as técnicas de invasão e proteção são aplicadas de modo que tenham ação efetiva e autêntica. Ou seja, acontecem de verdade.

Nesse contexto, as equipes vermelhas são formadas por profissionais de segurança ofensivos, especialistas em sistemas de ataque e invasão. Já as equipes azuis são profissionais de segurança defensiva, responsáveis por manter intactas e funcionais as proteções da rede interna contra todas as ameaças virtuais. Então, equipes vermelhas simulam ataques contra equipes azuis para testar a eficácia da segurança da rede. Esses exércitos de vermelho e azul fornecem uma solução de segurança ampla, oferecendo defesas sólidas, ao mesmo tempo em que trazem conscientização sobre como o cibercrime evolui.

Portanto, pode-se dizer que o Red Team age como um adversário que busca superar os controles de segurança cibernética. Seus membros geralmente são hackers éticos independentes, que avaliam a segurança do sistema de maneira objetiva.

Eles utilizam todas as técnicas disponíveis para encontrar pontos fracos em pessoas, processos e tecnologia para conseguir acesso não autorizado – porém sem causar danos reais. Ao final desses ataques simulados, as equipes vermelhas fazem recomendações e planejam como fortalecer a postura de segurança de uma empresa, através de relatórios e conteúdos relevantes.

Read Team em ação

É comum um red team passar mais tempo planejando um ataque do que colocando-o em prática. Assim, eles analisam vários métodos para descobrir como obter acesso a uma rede, explorando suas vulnerabilidades.

Ataques de engenharia social, por exemplo, dependem de reconhecimento e pesquisa para entregar campanhas de spear phishing direcionadas. Da mesma forma, antes de realizar um teste de penetração, analisadores de protocolo são usados para vasculhar a rede e reunir o máximo possível de informações sobre o sistema.

Entre as informações mais comuns coletadas durante essa fase estão a descoberta de quais sistemas operacionais estão ativos, bem como a identificação da marca e modelos dos equipamentos de rede – como servidores, firewalls, switches, roteadores, pontos de acesso e computadores.
Um red team também recolhe detalhes sobre controles físicos (portas, fechaduras, câmeras, pessoal de segurança), descobrindo também quais portas estão expostas em um firewall, para permitir ou bloquear um tráfego específico. Dessa maneira, eles criam um mapa da rede para determinar quais hosts estão executando determinados serviços, e para onde o tráfego está sendo enviado.

Depois que a equipe vermelha tem uma ideia mais completa do sistema, desenvolve um plano de ação projetado para identificar vulnerabilidades específicas de acordo com as informações coletadas.

Um membro da equipe vermelha pode identificar, por exemplo, que um servidor está executando o Microsoft Windows Server 2016 R2, e que as políticas de domínio padrão seguem vigentes.

O problema de ainda estar no modo padrão é que fica por conta dos administradores de rede a tarefa de atualizar as políticas, algo que a Microsoft recomenda que se faça o mais rápido possível para fortalecer a segurança da rede. Portanto, se tudo ainda estiver definido em seu estado padrão, um invasor pode explorar essa vulnerabilidade.

Depois que as vulnerabilidades são identificadas, é hora de explorar essas fraquezas para entrar na rede. É típico dos cibercriminosos que, após acessar o sistema, eles usem técnicas de escalonamento de privilégios, por meio das quais tentam roubar as credenciais de um administrador que tem acesso maior aos níveis mais altos de informações críticas.

Ataques diversos

As equipes vermelhas usam uma variedade de métodos e ferramentas para explorar fraquezas e vulnerabilidades em uma rede. Deve-se ter em mente que usarão todos os meios necessários, de acordo com os termos do contrato, para invadir seu sistema – e não desistirão enquanto não conseguirem. Dependendo da vulnerabilidade encontrada, podem implantar malwares para infectar hosts ou até mesmo driblar os controles de segurança física através da clonagem de cartões de acesso.

Nesse contexto, um red team pode realizar um teste de penetração, também conhecido como hacking ético. Nessa modalidade, eles tentam obter acesso a um sistema usando softwares específicos. Por exemplo, ‘John the Ripper’ é um programa de quebra de senhas. Ele pode detectar que tipo de criptografia é usado e tentar contorná-lo.

As ações, porém, podem ser mais abrangentes. Afinal, existem os truques de engenharia social, nos quais a ideia é persuadir ou enganar os funcionários de uma empresa a revelar suas credenciais, ou permitir o acesso a uma área restrita. Já o phishing envolve o envio de e-mails aparentemente autênticos, que induzem os colaboradores a realizar determinadas ações, como entrar em algum site fake e inserir login e senha.

Não raro, um red team utiliza softwares de interceptação de comunicação, como sniffers de pacotes e analisadores de protocolo – que podem ser usados para mapear uma rede ou ler mensagens enviadas em texto não criptografado. O objetivo dessas ferramentas é conseguir informações específicas sobre o sistema de uma empresa. Por exemplo, se um invasor souber que um servidor está sendo executado em um sistema operacional da Microsoft, ele concentrará seus ataques na exploração de vulnerabilidades da Microsoft – levando muito menos tempo para descobrir como fazer uma invasão bem sucedida.

E quem é o blue team?

Um Blue Team é formado por profissionais de segurança que têm uma visão interna da empresa. Sua tarefa é proteger todo o ambiente de tecnologia da informação da empresa contra qualquer tipo de ameaça cibernética.

Assim, seus membros estão completamente cientes dos objetivos de negócios e da estratégia de segurança da empresa. Portanto, sua tarefa é fortalecer as proteções, para que nenhum intruso possa comprometer o sistema.

Quando entra em ação, o primeiro ato de um blue team é coletar dados, documentando exatamente o que precisa ser protegido – realizando uma avaliação de risco. Seus membros então restringem o acesso ao sistema de várias maneiras, incluindo correção de vulnerabilidades encontradas, introdução de políticas de senha mais rígidas e a conscientização dos funcionários, para garantir que eles entendam e estejam em conformidade com os procedimentos de segurança.

Assim, várias ferramentas de monitoramento são frequentemente colocadas em prática, permitindo que as informações relacionadas ao acesso dos sistemas sejam registradas e verificadas quanto a atividades incomuns. As equipes azuis então realizarão verificações regulares no sistema, com auditorias de DNS, varreduras de vulnerabilidade de rede interna ou externa e captura de amostra de tráfego de rede para análise.

Além disso, as equipes azuis precisam estabelecer medidas de segurança em torno dos principais ativos da empresa. Eles iniciam seu plano defensivo identificando os ativos críticos, documentando a importância deles para o negócio e quais impactos a ausência desses ativos ocasionaria.

Portanto, seus membros realizam avaliações de risco, identificando ameaças contra cada elemento e os pontos fracos que essas ameaças podem explorar. Ao avaliar os riscos e priorizá-los, a equipe azul desenvolve um plano de ação para implementar controles que podem diminuir o dano ou a probabilidade de vulnerabilidades se materializarem contra os ativos.

Nesse estágio, o envolvimento dos gestores é crucial, pois somente eles podem decidir aceitar um risco ou implementar controles de mitigação contra ele. A seleção de controles geralmente é baseada em uma análise de custo-benefício, para garantir que os controles de segurança forneçam o máximo de seu potencial para os negócios – e com preços viáveis.

Por exemplo, uma equipe azul pode identificar que a rede da empresa é vulnerável a um ataque DDoS. Essa violação reduz a disponibilidade da rede para usuários legítimos, enviando solicitações de tráfego incompletas para um servidor. Cada uma dessas solicitações requer recursos para executar uma ação, razão pela qual ataques do tipo paralisam uma rede.

A equipe então calcula a perda caso a ameaça ocorra. Com base na análise de custo-benefício e alinhando-se aos objetivos de negócios, uma equipe azul consideraria a instalação de um sistema de detecção e prevenção de intrusão para minimizar o risco de ataques DDoS.

Exercícios Azuis

Blue Teams usam uma grande variedade de métodos e ferramentas como contramedidas para proteger uma rede de ataques cibernéticos. Dependendo da situação, podem determinar que firewalls adicionais precisam ser instalados para bloquear o acesso a uma rede interna. Ou então identificam que o risco de ataques de engenharia social é tão alto que justifica o custo de implementação de treinamento de conscientização de segurança em toda a empresa.

Dentro dessa realidade, podem realizar auditorias de DNS para prevenir ataques de phishing, resolver problemas de DNS obsoletos, evitar tempo de inatividade devido a exclusões de registros de DNS e prevenir ataques de DNS e da web. Blue teams podem também focar na instalação de softwares de segurança de endpoint em dispositivos externos, como laptops e smartphones – e garantir que os controles de acesso do firewall sejam configurados corretamente, e que o software antivírus seja sempre atualizado.

Os exercícios dos times azuis também podem incluir a implementação de soluções SIEM para registro dos eventos, bem como detectar atividades incomuns no sistema e identificar um ataque. Além disso, podem segregar redes e garantir que estejam configuradas corretamente.

Outra possibilidade é usar software de varredura de vulnerabilidade regularmente, bem como atuar na segurança de sistemas usando softwares antivírus ou anti-malware.

Benefícios trazidos pelos times

A implementação de uma estratégia de Red Team e Blue Team permite que uma empresa aproveite as vantagens da presença de duas abordagens e conjuntos de habilidades totalmente diferentes. Também traz um certo grau de competitividade à tarefa, o que incentiva o alto desempenho de parte das duas equipes.

A red team é essencial, pois identifica vulnerabilidades, mas pode apenas destacar o status atual do sistema. Por outro lado, a blue team é fundamental porque oferece proteção de longo prazo, garantindo que as defesas permaneçam fortes e pelo monitoramento constante do sistema.
Pentest
A principal vantagem, no entanto, é a melhoria contínua na postura de segurança da empresa, encontrando pontos de atenção e, em seguida, preenchendo essas lacunas com controles apropriados.

Entretanto, a comunicação entre as duas equipes é o fator mais importante no sucesso de ambas. A equipe azul deve se manter atualizada sobre as novas tecnologias para melhorar a segurança – e deve compartilhar essas descobertas com a equipe vermelha. Da mesma forma, o Red Team deve estar sempre atento a inovações em ameaças e técnicas de penetração utilizadas pelos crackers, aconselhando a equipe azul sobre métodos de prevenção.

Porém, conforme for o objetivo, não necessariamente a equipe vermelha informa a azul sobre um teste planejado. Por exemplo, se o objetivo é simular um cenário de resposta real a uma ameaça “legítima”, então não é aconselhável que seja realizada a comunicação prévia do teste.

A ressalva é que alguém da gerência deve estar ciente do teste, normalmente o líder da equipe azul. Isso garante que o cenário de resposta ainda seja testado, mas com controle mais rígido quando a situação for agravada.

Ao fim do teste, os dois times reúnem informações e relatam suas descobertas. A equipe vermelha avisa a equipe azul se eles conseguem penetrar nas defesas, e fornece conselhos sobre como bloquear tentativas semelhantes em um cenário real. Da mesma forma, o Blue Team deve informar a equipe vermelha se seus procedimentos de monitoramento detectaram ou não uma tentativa de ataque.

As duas equipes devem então trabalhar juntas para planejar, desenvolver e implementar controles de segurança mais fortes, conforme for necessário. Ou seja, nessa disputa, quem ganha é a empresa, que terá detalhes vitais sobre como manter-se segura e preparada contra investidas de cibercriminosos.

This post is also available in: Português Español