This post is also available in: Português Español
Independente do tamanho ou do setor de uma empresa, uma das maneiras mais eficazes de descobrir vulnerabilidades de infraestrutura e evitar possíveis ameaças cibernéticas é contar com a experiência das equipes vermelhas (red teams) e azuis (blue teams). Em suma, enquanto os vermelhos atacam, os azuis defendem (clique aqui para ver o conteúdo completo sobre Red Team e Blue Team).
As duas equipes desempenham um papel importante na defesa contra ataques cibernéticos, que ameaçam dados confidenciais de clientes e informações empresariais privadas. Elas atuam em um ambiente no qual um time ataca um território e outro defende, onde as técnicas de invasão e proteção são aplicadas de modo que tenham ação efetiva e autêntica. Ou seja, acontecem de verdade.
Nesse contexto, as equipes vermelhas são formadas por profissionais de segurança ofensivos, especialistas em sistemas de ataque e invasão. Já as equipes azuis são profissionais de segurança defensiva, responsáveis por manter intactas e funcionais as proteções da rede interna contra todas as ameaças virtuais. Então, equipes vermelhas simulam ataques contra os azuis para testar a eficácia da segurança da rede.
Esses exércitos de vermelho e azul fornecem uma solução de segurança ampla, com defesas sólidas, ao mesmo tempo em que trazem conscientização sobre como o cibercrime evolui. Porém, existe quem faça o meio de campo entre os dois: o purple team.
Purple em inglês quer dizer púrpura, ou seja, a cor que costumamos chamar também de roxo ou violeta. O time com essa tonalidade foi assim batizado porque é um produto da mistura dos dois – a cor proveniente da mistura entre azul e vermelho é o roxo.
Entretanto, é importante frisar que equipe roxa não é uma equipe distinta, mas sim uma mescla de membros da equipe vermelha e membros da equipe azul. O purple team foi concebido como um ciclo de feedback entre as equipes vermelha e azul, beneficiando-se de nuances sutis em sua abordagem para ser mais eficaz.
Como mencionado, a equipe roxa não representa uma equipe separada, mas sim uma metodologia combinada entre as equipes azul e vermelha. É então uma abordagem de segurança cibernética que permite a ambos os times compartilharem dados de segurança, com feedbacks em tempo real, para inspirar uma postura de segurança superior.
Essa abordagem ajuda a desenvolver e melhorar as equipes. Os azuis ficam mais informados sobre como priorizar, medir e melhorar sua capacidade de detectar e se defender contra ameaças e ataques, e os vermelhos obtêm informações do setor sobre tecnologias e mecanismos usados na defesa.
Benefícios do Purple Team
A primeira vantagem é a comunicação. Como dito, o objetivo das equipes vermelha e azul é reforçar a segurança de uma empresa, o que leva a organização à meta de promover a conscientização sobre segurança cibernética. Com o time roxo, a primeira tarefa é a comunicação clara e regular entre os times vermelho e azul, em um fluxo constante de informações dentro de um esforço sinérgico.
Esse exercício, recomendado para ser realizado pelo menos anualmente e sempre que houver mudanças significativas entre as duas equipes, facilita a comunicação e colaboração constante entre os times, promovendo melhorias constantes na cultura de segurança cibernética da empresa.
Além disso, muitas vezes uma violação pode ocorrer com o invasor fugindo de todas as defesas, sem qualquer reconhecimento ou detecção da equipe azul. Devido ao constante estado de mudança na segurança digital, isso nem sempre indica falta de habilidade ou tecnologia na equipe azul, mas sim a crescente complexidade dos métodos e vetores de ataque dos cibercriminosos. O conceito de equipe roxa então ajuda a mitigar essa possibilidade.
As equipes vermelha e azul, trabalhando juntas, criam um fluxo regular de transferência de conhecimento, melhorando a capacidade da empresa de impedir cenários de ataque legítimos. No final, os vermelhos melhorarão os processos de gerenciamento de vulnerabilidades da empresa, e a equipe azul aprende a entrar na mentalidade dos invasores. Portanto, a equipe roxa permite o desenvolvimento de melhores programas de resposta a incidentes e processos de detecção de vulnerabilidades.
Outro benefício é a criação de uma postura de segurança mais saudável para a empresa. Ao fazer uso da comunicação constante das equipes roxas, testes de penetração periódicos, gerenciamento de vulnerabilidades e desenvolvimento de infraestrutura e políticas de segurança aprimoradas, as empresas dão o melhor de si contra a ameaça de uma real violação de dados.
Limites
Ainda que seja essencial para ambas as equipes compartilharem suas descobertas, não é o ideal esperar que o Red Team se envolva no processo completo de gerenciamento de vulnerabilidade, e o mesmo vale para o Blue Team, que não pode ser considerado como um grupo de hackers profissionais.
Portanto, é necessário estabelecer tarefas e expectativas claras para cada equipe, ao mesmo tempo em que é mantido um fluxo de comunicação entre os times. Assim, garante-se o sucesso da metodologia purple team.
Então, para explorar todo o potencial do time roxo, deve-se definir objetivos claros. A ideia é melhorar os alertas de segurança ou as políticas e processos de segurança? A intenção é verificar se os funcionários podem se proteger contra ataques de engenharia social? São perguntas que podem ser previamente feitas antes dos testes, para então guiar as atividades e descobrir possíveis vulnerabilidades.
Mesmo com uma definição precisa, é importante ter flexibilidade. Afinal, as equipes podem identificar fraquezas em uma área que nunca ninguém considerou, ou então criar um roteiro de busca a ameaças que não foi planejado. Seja como for, as metas precisam ser traçadas de forma que possam ser medidas no final do exercício, para que sua eficácia possa ser avaliada sem grandes complicações.
Contudo, antes de implementar correções de segurança, é essencial revisar e verificar cada mitigação. Fazer isso permitirá que cada lado aprenda um com o outro, ajudando a fechar quaisquer lacunas – levando à criação de diretrizes de correção priorizadas. É algo que preocupará o time vermelho com menos vulnerabilidades repetitivas, instruindo então o time azul na busca por ameaças mais complexas – cumprindo dessa maneira com o propósito da equipe roxa em fazer ambas as partes interagirem e melhorarem suas ações.
This post is also available in: Português Español