Red, Purple, and Blue: as cores de um programa de testes de segurança cibernética

Red, Purple, and Blue: as cores de um programa de testes de segurança cibernética. Estratégia de cibersegurança para testar, antever e corrigir problemas antes que os hackers o façam.

A primeira percepção que a maioria das organizações tem de que sua segurança cibernética é, digamos, abaixo da média geralmente ocorre logo após ser atingida por um ataque devastador. Em muitos casos, as equipes de segurança ficam perplexas com o fato de as medidas que adotaram para defender suas organizações terem sido ineficazes. 

À primeira vista, pode-se acreditar que a confusão é justificada porque, afinal, o software de segurança que a vítima comprou era caro; a equipe foi diligente em corrigir e eles ensinaram seus funcionários a serem cautelosos com e-mails de aparência estranha.

Então, o que deu errado?

Muitas vezes, o primeiro erro de uma organização não é testar seu pessoal, políticas, procedimentos e sistemas em um cenário do mundo real. As equipes esportivas normalmente têm jogos de pré-temporada para elaborar seus jogadores e estratégias para ver se esses elementos se reúnem em uma unidade coerente que vencerá assim que a temporada começar.  O mesmo deve ser verdade para a segurança em todas as suas facetas.

É aqui que os testes da RedTeam e Purple entram em jogo.

De acordo com algumas fontes, o nome Red team tem suas raízes nas forças armadas dos EUA. Durante os exercícios de guerra da Guerra Fria dividiriam uma força em duas equipes: Vermelho (jogando as Forças da União Soviética) e Azul (agindo como o lado dos EUA e da OTAN.)  

No setor de segurança cibernética, um exercício de Red Team (também conhecido como simulação de adversários) contém Penetration Testers que são contratados para realizar uma simulação de como os hackers podem tentar violar as defesas de uma empresa. 

O Purple Team, é uma forma mais colaborativa de trabalhar, colaboração entre o Red Team e Blue Team. Um Red Team tentará executar uma técnica, por exemplo injeção em um processo diferente, o Red Team comunicará que neste tempo X realizamos a ação Y e descobrirá se o Blue Team a detectou, se eles fizeram – ótimo – passar para a próxima técnica. Caso contrário, ajude-os a ajustar suas ferramentas de segurança para identificar a técnica. 

No entanto, ao contrário de um jogo de beisebol Spring Training, um evento de Red Team ou Purple Team é um ataque desagradável e sem limites, projetado para colocar os defensores em seus calcanhares e depois tentar quebrá-los usando qualquer método justo ou injusto. Isso pode incluir ataques cibernéticos, exploração física ou penetração em uma instalação, geração de personas falsas e contato com funcionários, incluindo o CEO.

Mas antes que um cliente possa passar por esse tipo de experiência, sua equipe de segurança deve se preparar.

Red Team

O Red Team é formado com o objetivo de realizar testes de ciberataque na empresa. Estamos falando de profissionais com alto conhecimento sobre as principais ameaças e ataques existentes, sendo capazes de simular tentativas de penetrar na rede e ou sistemas. Com isso, eles se tornam capazes de identificar vulnerabilidades e, consequentemente, eliminá-las.

Resumidamente, eles assumem o papel de alguém que tentaria atacar a empresa — o que geralmente pode envolver a contratação de alguém de fora, sem o olhar acostumado àquele ambiente. Os ataques podem envolver engenharia social para enviar phishing aos funcionários, por exemplo.

Blue Team

O papel do Blue Team é justamente se opor aos ataques ensaiados pelo Red Team. Assim, ele deve desenvolver estratégias para aumentar as defesas, modificando e reagrupando os mecanismos de proteção da rede para que eles se tornem mais fortes.

Um time desse tipo deve ter também um alto nível de conhecimento sobre a natureza das ameaças da rede. Entretanto, eles devem ser capazes não só de eliminar brechas, mas de reformular a infraestrutura de defesa como um todo.

Isso envolve, por exemplo, análises de log, auditorias de segurança, análises de risco, testes DDoS (Distributed Denial of Service ou ataque de negação de serviço), desenvolvimento de cenários de risco etc.

Purple Team

No contexto dos testes de segurança cibernética, o Red Team desempenham o papel de atacantes e o Blue Team atuam como defensoras. Um Purple Team fica em algum lugar no meio, geralmente desempenhando os dois papéis. O Purple Team roxas também podem ser inseridas em compromissos de teste Red/Blue Team para ajudar a avaliar o protocolo de teste e garantir que o Red Team e o Ble Team se comuniquem e colaborem de forma eficaz.

Infelizmente, há situações em que as equipes Vermelha e Azul ficam fora de sincronia entre si. Alguns sintomas comuns disso incluem:

  • O red Team se considera muito elitista para compartilhar informações com o Blue Team.
  • O Red Team é puxado para dentro da organização e se torna castrado, restrito e desmoralizado, resultando em uma redução catastrófica em sua eficácia.
  • O Red Team e o Blue Team não foram projetadas para interagir uma com a outra de forma contínua, como é óbvio, então as lições aprendidas de cada lado são efetivamente perdidas.
  • A gestão de Segurança da Informação não vê a equipe Red e Blue como parte do mesmo esforço, e não há informações, gestão ou métricas compartilhadas entre elas.

As organizações que sofrem de uma ou mais dessas doenças são mais propensas a pensar que precisam de um Purple Team para resolvê-las. Mas “Purple” deve ser pensado como uma função , ou um conceito , e não como uma equipe adicional permanente. E esse conceito é cooperação e benefício mútuo em direção a um objetivo comum. Portanto, talvez haja um envolvimento do Purple Team, em que um terceiro analisa como suas equipes de Red team e Blue Team umas com as outras e recomendam correções. Ou talvez haja um exercício Purple Team , onde alguém monitora as duas equipes em tempo real para ver como elas funcionam. Ou talvez haja uma reunião do Purple Team, onde as duas equipes se unem, compartilham histórias e falam sobre vários ataques e defesas.

Purpel Team: A Prática Antes da Prática

Um exercício do Purple Team é o primeiro passo que um provedor de segurança e seu cliente devem dar.

Como a palavra, ou cor, insinua, as equipes roxas (purple team) ficam entre as equipes vermelha e azul (red e blue team). Analistas de segurança ou pessoal de segurança sênior de terceiros ou da própria organização geralmente compõem o purple team.

Este evento é essencialmente um scrimmage controlado durante o qual manipulamos a situação para colocar os defensores na pior posição possível. Ao ter alguém do cliente ajudando a direcionar o ataque, podemos dar aos Blues um gostinho do que está por vir durante o exercício do Red Team ou em um ataque da vida real.

O Purple Team deve ser visto como uma oportunidade de ensino mais do que um engajamento adversário. Por exemplo, geralmente podemos fazer com que o cliente escolha uma tática específica do MITRE Attack Framework, inicie um ataque controlado e mostrar o que estamos fazendo e como eles devem responder.

No final do dia, o Purple Team analisará como o Red Team e Blue Team trabalharam juntas e fará recomendações para esforços futuros. 

Então, como ocorre um ataque do Red Team?

Configurando o palco

Os compromissos da Red Team são ataques conduzidos por uma empresa de segurança externa que desempenha o papel de um inimigo. Às vezes, um Red Team é formado usando o pessoal de uma organização, mas na maioria dos casos, uma equipe de segurança é chamada para conduzir o trabalho. 

Ainda assim, em cada caso, seu objetivo é dar à equipe interna de TI, conhecida como Blue Team, a chance de identificar e reagir a cenários realistas de ataque cibernético.

Os ataques do Red Team não são uma experiência agradável. Os invasores fazem o possível para usar as táticas e ferramentas mais recentes do mundo real para invadir uma organização em um ataque total e apresentar à equipe de segurança o pior cenário ao seu CISO – um desastre total que põe em risco toda a empresa e seus ativos .

O foco principal é encontrar falhas nas pessoas, processos e tecnologia que a organização-alvo possui. Essa atividade imita o que gangues cibernéticas como REvil, DarkSide ou um invasor patrocinado por um estado-nação fariam durante um ataque.

O pessoal de segurança interno do cliente, ou o Blue Team, atua como defensor. O Blue Team se posiciona no Centro de Operações de Segurança (SOC) da organização.  

A expectativa é que os Blues detectem, lutem e derrotem os Reds. O objetivo do ataque simulado é aprimorar as habilidades do jogador do Blue Team, expondo-o a um ataque do mundo real. 

O ataque

Antes de um ataque, o cliente decide quais aspectos de sua defesa deseja que o invasor teste. Esses objetivos podem incluir verificar a capacidade de seu funcionário de detectar um ataque de phishing ou, se for um fabricante, pode proteger o acesso a seus ambientes SCADA ou desenhos CAD. Se o cliente estiver em serviços financeiros, os números de conta corrente podem ser o alvo.

Em cada caso, o Red Team fará o possível para atingir esses objetivos enquanto o Blue Team tenta afastá-los.

Existem dois tipos de processos geralmente usados ​​durante um envolvimento do Red Team. Um ataque de escopo completo que leva cerca de um mês para ser executado. São ataques em que o Red Team invade uma rede usando várias táticas, técnicas e procedimentos e coleta o máximo de informações possível. O outro assume o papel de uma ameaça interna e o ataque procede dessa perspectiva.

Um cenário de escopo completo dura cerca de cinco semanas e cobrirá tudo, desde o estudo das informações disponíveis da empresa em lugares como o LinkedIn até o envio de pessoas para explorar as instalações do alvo.

Primeiro, olhamos para a superfície de ataque externa. Quais dos servidores e ativos da Web do cliente estão expostos à Internet e diretamente acessíveis? Analisaremos seus funcionários no LinkedIn e em outros sites de mídia social para ver quais informações podemos obter sobre a organização. Vamos passar por uma fase chamada Open-Source Intelligence, onde coletamos informações sobre a empresa, quantos locais ela possui, quem são os funcionários e onde podemos interagir com um funcionário de uma perspectiva confiável para obter a conhecimento necessário para entrar,

A próxima fase se concentra na engenharia social. Pegamos o telefone e ligamos para as pessoas, enviamos e-mails aos funcionários, enviamos mensagens de texto e ligamos para as pessoas nas mídias sociais. Se houver um aspecto físico no contrato, pode-se enviar dois caras ao local para fazer um reconhecimento físico em locais específicos. Eles examinarão a tecnologia sem fio que está sendo usada para ver se há uma maneira de violar a organização desse ângulo. 

Em seguida, pode-se usar as informações coletadas para lançar um ataque de phishing ou obter credenciais de login por meio de uma ligação telefônica, pulverização de senha ou até mesmo por meio de uma vulnerabilidade encontrada em um site público. As fraquezas que se pode explorar são comuns em muitos compromissos. Funcionários que usam senhas fracas, que não utilizam ou impõem autenticação multifator, e funcionários que clicam em links e documentos em e-mails são os principais pontos de entrada

Assim que entra-se na rede, começa a fase interna do teste.

A partir daí se conduz o reconhecimento do sistema para entender onde se esta na rede, a que se tem acesso e, uma vez que se entende o ambiente, o passo seguuinte é analisar como se pode manter o acesso caso seja descoberto e bloqueado.

Neste ponto, espera-se ter pelo menos uma credencial de usuário padrão e extrair todos os dados do diretório ativo que puder e coletar todos os nomes de usuário, endereços de e-mail, grupos e nomes de máquinas.

Uma vez que o Red Team tenha alcançado os objetivos pré-estabelecidos do cliente, termina a parte ativa do exercício, então a equipe preparar o relatório sobre as atividades, apontando pontos fracos e como foi possível conseguir obter acesso. 

Fonte: Trustwave & Daniel Miessler

Veja também:

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!