CISA oferece ferramenta gratuita RedEye Analytics para Red Teams

21/10/2022 mindsecblog Artigos, Notícias 1

CISA oferece ferramenta gratuita RedEye Analytics para Red Teams. A ferramenta ajuda aos Red Teams a gerenciar suas atividades, analisar os dados de suas campanhas, criar relatórios e apresentar melhor os resultados às organizações.

A Agência de Segurança Cibernética e Infraestrutura (CISA) lançou uma ferramenta gratuita de código aberto para ajudar equipes vermelhas e testadores de penetração a conduzir suas atividades de análise, visualização e relatórios com mais eficiência. A plataforma pode ajudar a harmonizar o trabalho necessário, mas muitas vezes chato, de comunicar os resultados aos clientes e à administração, disse a agência do Departamento de Segurança Interna dos EUA (DHS).

A ferramenta, apelidada de RedEye, ajuda a visualizar as atividades de comando e controle, permitindo que as equipes reproduzam as ações de avaliação em vez de analisar manualmente os arquivos de log para recriar eventos. A CISA, juntamente com o Pacific Northwest National Laboratory (PNNL) do Departamento de Energia, criou a ferramenta para atender às suas próprias necessidades internas, mas decidiu publicar o software para ajudar outros Red Teams e coletar feedback e solicitações de recursos da comunidade como um todo.

“O lançamento de código aberto foi centrado em contribuir para a comunidade global de segurança da informação”, disse um porta-voz da CISA ao Dark Reading. “A diversidade e a abertura de pensamento tornam os produtos melhores para todos, e obter feedback da comunidade e até mesmo ‘pedidos de recebimento’ para contribuir com o projeto contribui para melhorias atraentes e ajuda a comunidade em geral”.

Várias organizações publicaram ferramentas de segurança significativas como software de código aberto no ano passado. Em agosto, a NetSPI lançou duas ferramentas de simulação de adversários , PowerHuntShares e PowerHunt, para ajudar as empresas a detectar compartilhamentos de rede vulneráveis e gerenciar suas superfícies de ataque. Em novembro de 2021, o Google publicou seu software ClusterFuzzLite como código aberto, um programa que permite que especialistas em segurança de aplicativos executem vários recursos de fuzzing em seu software. A empresa lançou duas ferramentas relacionadas, OSS-Fuzz e ClusterFuzz, em 2016 e 2019, respectivamente.

O projeto RedEye pode ser uma benção para os Red Teams, especialmente aquelas em empresas e agências menores que não têm o suporte de uma equipe de desenvolvimento para fazer ferramentas internas, diz Charles Henderson, chefe global da equipe X-Force da IBM Security. Ao tornar as tarefas de comunicação e relatórios de um Red Team mais eficientes, a ferramenta pode abrir mais tempo para o Red Team fazer o máximo possível em sua janela de testes, diz ele. Tarefas diárias, como agregação de dados, coleta de dados e trabalho na apresentação, levam muito tempo – tempo que poderia ser melhor gasto simulando ataques.

“Gastamos muito tempo em segurança criando ferramentas que são realmente centradas nas partes ‘legais’ da segurança – as coisas que são apresentadas em conferências”, diz Henderson. “A verdade é que gastamos muito tempo em segurança em funções auxiliares, como relatórios e agregação de dados, que são – por falta de um termo melhor – pouco atraentes. Na medida em que podemos começar a diminuir o tempo sumidouro associado a essas tarefas, então seremos muito melhores em segurança.”

Relatório de ataques cibernéticos

A RedEye pode ajudar os membros e executivos do Red Team a entender os caminhos do ataque criando visualizações das entradas nos arquivos de log. A ferramenta atualmente suporta logs de Cobalt Strike, mas será expandida para suportar telemetria de outros conjuntos de ferramentas do Red Team, disse a CISA. O objetivo é permitir que os analistas do Red Team possam visualizar e entender melhor os caminhos de ataque tentados e bem-sucedidos usados durante os testes de penetração e exibir essas informações com clareza.

“Esta ferramenta… permite que um operador avalie e exiba dados complexos, avalie estratégias de mitigação e possibilite a tomada de decisão eficaz em resposta a uma avaliação do Red Team”, disse a CISA na documentação do projeto . “A ferramenta analisa logs, como os do Cobalt Strike, e apresenta os dados em um formato facilmente digerível. Os usuários podem então marcar e adicionar comentários às atividades exibidas na ferramenta.”

A ferramenta será útil para empresas que utilizam equipes internas, bem como serviços de teste de penetração, como forma de padronizar os relatórios. A IBM cria suas próprias ferramentas para lidar com essas atividades, mas a empresa é uma “loja bastante avançada”, diz Henderson, da IBM Security. “Você ficaria surpreso com a quantidade de ferramentas disponíveis para pessoas que podem não ter os recursos de desenvolvimento que nós temos.”

Se o RedEye se tornar popular, poderá ajudar a padronizar os formatos de relatórios e conjuntos de recursos para ferramentas de relatório e análise. No entanto, a CISA ressalta que o uso da ferramenta não é uma exigência do governo nem pretende ser.

“Embora a CISA esteja animada para que a comunidade tenha a oportunidade de usar essa ferramenta em seus próprios compromissos, confiamos que cada Red Team usará as ferramentas que atendem ao seu caso de uso específico, conforme julgarem apropriado”, disse o porta-voz da agência. “A RedEye pode ajudar a aumentar a forma como os relatórios e evidências ofensivas são apresentados aos clientes, mas não se destina a conduzir o alinhamento universal em torno de padrões comuns.”

Não é outra ferramenta para hackers nefastos

Ferramentas de simulação de ataque adversário, como Cobalt Strike e Brute Ratel, cresceram em popularidade, não apenas entre os defensores, mas também com os atacantes. Embora muitas ferramentas criadas para ajudar Red Teams e testadores de penetração sejam de uso duplo, igualmente benéficas para o invasor e para o defensor, o RedEye realmente não se enquadra nessa categoria, diz Henderson, da IBM Security.

“Os criminosos ficaram muito melhores em eliminar os desperdícios de tempo em suas operações e focar no retorno de seus investimentos, e esta é a primeira vez em muito tempo que uma ferramenta está sendo lançada com foco em ganhos de eficiência para o defensor”, disse. ele diz. “Acho que o benefício para as partes interessadas nos testes de segurança será muito mais significativo do que qualquer benefício que possa ser fornecido aos criminosos”.

O porta-voz da CISA disse que a CISA planeja adicionar um roteiro para o desenvolvimento da ferramenta no repositório GitHub no futuro e especificar quais ferramentas de simulação de adversários ela planeja suportar.