0
0
Com o cenário de ameaças tão perigoso como é hoje, todas as organizações precisam de insights mais profundos em suas redes. É aí que exercícios de red team podem ajudar.
Apesar das despesas, a grande maioria das empresas se envolverá com terceiros para conduzi-los. Mas construir uma equipe interna também é uma opção. De qualquer forma, todos devem entender alguns fundamentos dared team.
“Comece confiando em seu instinto e não pense demais em problemas complexos”, diz Daniel Wood, vice-presidente associado de consultoria da Bishop Fox, que recentemente postou um blog baseado em sua experiência gerenciando equipes vermelhas. “Se você começar a pensar que algo pode estar errado ou simplesmente errado para o meio ambiente em que você está, as chances são de que seja. E se você é muito reativo ao que está por perto, você estará um passo atrás. Um objetivo principal de um red team é ditar e desenvolver a situação, não deixar que os outros façam isso por você.”
O que deve acontecer depois desse exame de intestino? Esta lista de sete dicas vai ajudá-lo a obter o máximo de um exercício do red team.
Um objetivo claro
As empresas devem entender o que estão tentando proteger, diz Quentin Rhoads-Herrera, diretor de serviços profissionais da CriticalStart. Para usinas ou utilitários com sistemas SCADA, muitas vezes é muito específico. Mas a maioria das empresas pode identificar suas “joias da coroa”. Para uma empresa financeira, são dados PCI e nomes de cartão de crédito e endereços. Para uma clínica médica, são informações médicas sensíveis. Empreiteiros do governo vão querer proteger segredos militares ou dados confidenciais de agências governamentais.
Proteger ativos críticos da missão e joias da coroa requer outra ordem de magnitude de segurança em comparação com simplesmente garantir que a empresa tenha boa vulnerabilidade e gerenciamento de patches, acrescenta Bishop Fox’s Wood.
Muitas empresas garantem que estão corrigidas e configuradas corretamente, mas há muitas outras questões a considerar: Como é o caminho de ataque de cada ativo ou perfil de ativos para as coisas com as quais a empresa realmente se importa? Uma vez instalado o malware, onde pode um pivô de invasor? Quais contas ou dados são expostos? Como um invasor pode exfiltrar dados confidenciais? Como poderiam más práticas comerciais ou políticas, padrões e diretrizes inadequadas expor a organização a mais riscos? Se a empresa se concentra apenas no fácil “cenário de ameaças” e não no ambiente holístico, deixa a organização aberta ao risco, diz Wood.
Um Entendimento dos Custos
As equipes de segurança precisam pensar mais estrategicamente sobre os reais benefícios das equipes vermelhas. David “Moose” Wolpoff, fundador e CTO da Randori, diz que as empresas devem começar a pensar de forma mais holística sobre os custos. Claro, eles têm que saber quanto vai custar para proteger contra um adversário, mas eles também precisam ter um melhor controle sobre o que vai custar ao adversário para penetrar as joias da coroa da empresa. Só então as empresas podem começar a determinar os dólares orçamentários necessários para proteger dados confidenciais.
Um líder do red team que deixa a equipe fazer seu trabalho
Bishop Fox’s Wood diz que os líderes do red team (RTLs) têm que aceitar que eles não sabem tudo. Eles têm que deixar os especialistas da equipe serem livres para fazer seu trabalho sem medo de represálias. Eles também devem encorajar discordâncias e múltiplas perspectivas sobre qualquer questão de segurança.
Aqui está a ideia de Wood de como as empresas podem equipar equipes vermelhas:
- Gerente de projeto/analista/escritor técnico: Garante que o red team execute contra a ordem operacional (OPORD), rastreia riscos para a operação e documenta os resultados.
- Analista de negócios: Entende como a segurança impacta o negócio e também oferece um ciclo de feedback para os gestores para que eles entendam em inglês o que os problemas que o red team encontra significam para o negócio. Essa função tornou-se mais importante à medida que a segurança se tornou um problema importante para as organizações, diz Wood. A equipe precisa de alguém que possa traduzir a tecnologia em problemas de negócios e riscos que a gestão entenda.
- Analistas técnicos: Avalia o alvo para vulnerabilidades técnicas e identifica oportunidades de entrada; estas são as pessoas que estabelecem comando e controle e lideram ataques secretos na rede.
- Analista social não técnico: Analisa relacionamentos e identifica oportunidades de engenharia social através da inteligência de código aberto (OSINT). Essa pessoa também auxilia na análise do risco e do impacto das fraquezas identificadas.
- Especialista em segurança física: Realiza reconhecimento no local, farejamento de rede sem fio e revisão do controle de segurança; ensaios para contramedidas físicas preventivas; e identifica como a rede pode ser comprometida.
Pessoas que podem se adaptar à medida que as situações mudam
As situações mudarão, e a equipe precisa de pessoas que possam pensar criativamente e chegar a novas abordagens, diz Bishop Fox’s Wood. Por exemplo, houve um tempo em que sua empresa trabalhava com uma agência do governo, e os funcionários não podiam receber links ou anexos. Um red team precisa de alguém que possa pensar em uma maneira alternativa de invadir a rede. Neste caso, eles criaram uma isca de e-mail na qual o suposto chefe da agência enviou os funcionários para um site onde eles poderiam obter recompensas em dinheiro. O site era na verdade um site de “rega” infestado de malware que permitia que o red team entrasse na rede.
Rhoads-Herrera, da CriticalStart, diz que procura o tipo de pessoa que poderia realizar esse ataque ao contratar. No caso que Wood descreve, ele diz, a menos que alguém tivesse o conhecimento técnico certo, eles não teriam as habilidades para lançar aquele ataque de buraco de rega. Em um caso, ele contratou alguém sem experiência no red team, mas a pessoa estava ansiosa e disposta a aprender. Ele tinha um passado em malware de engenharia reversa, então Rhoads pensou que ele seria o tipo de pessoa que poderia ter sucesso em um red team.
“O cara aprende tarefas de tecnologia muito rápido e nos últimos dois anos se tornou um dos principais membros da nossa equipe”, diz Rhoads.
capacidade de usar ferramentas de código aberto
Ferramentas comerciais podem muitas vezes ajudar os membros do red team a trabalhar mais rápido, mas as ferramentas de código aberto são tão eficazes quanto fazem os membros do red team trabalharem de forma mais criativa. Rhoads, da CriticalStart, diz que no espaço de segurança ofensivo geralmente há um código aberto equivalente a uma ferramenta de origem fechada. Um exemplo disso seria com aplicativos de comando e controle (C2). Rhoads usa o PowerShell Empire de código aberto em oposição ao Cobalt Strike, a ferramenta fechada. A funcionalidade no PS Empire tem o suficiente para sua equipe executar uma avaliação de alta qualidade, e qualquer funcionalidade que faltar que eles conduzam por conta própria, diz ele.
Embora o software de código fechado geralmente tenha mais recursos do que equivalentes de código aberto, Rhoads diz que os bons equipes vermelhos devem ter a capacidade de conduzir seu trabalho sem depender de ferramentas, especialmente de fonte fechada, pois eles devem entender fundamentalmente o que essas ferramentas estão fazendo e como implantar as mesmas táticas manualmente. Ferramentas comerciais aceleram aspectos dos testes e tiram parte do trabalho manual, mas podem ter um custo alto. Outras ferramentas comerciais, como dradis, ajudam os profissionais de segurança a acelerar a reportagem – uma área que faz sentido gastar dinheiro, diz Rhoads.
Evite ‘Buracos de Coelho’ a todo custo
Os membros juniores do red team precisam de orientação dos membros seniores para que eles não percam muito tempo em pesquisas desnecessárias e tarefas manuais, diz Bishop Fox’s Wood.
Muitos membros juniores “confiarão e não verificarão” os resultados automatizados do scanner, o que pode levar a falsos positivos e negativos. Fazer isso pode levar a resultados imprecisos ou oportunidades perdidas de se aproximar de um alvo. Além disso, muitas vezes eles apontarão medidas muito estreitas e táticas de remediação e mitigação para lidar com vulnerabilidades e limites/fraquezas.
“Eles não jogam o cenário para a frente o suficiente para pensar sobre o que uma abordagem mais holística para resolver o problema poderia ser para evitar que problemas semelhantes ocorram no futuro e abordar a causa raiz, não apenas o sintoma”, explica Wood.
Uma mente aberta sobre diferentes perspectivas sobre como parar um ataque
Os profissionais de segurança diferem sobre se as equipes vermelhas devem parar em um determinado ponto e dizer ao cliente ou empresa que eles não podem invadir suas redes. Bishop Fox’s Wood diz que as equipes vermelhas precisam entender quando chegaram ao “ponto de fracasso” em um exercício. Ele diz que também está tudo bem se o red team não penetrar na rede, apontando o valor em fazer com que a empresa entenda o que faz bem e onde precisa melhorar. Rhoads, da CriticalStart, diz que se uma de suas equipes vermelhas não conseguir penetrar na rede, eles pedirão à empresa para deixá-los entrar e procurar vulnerabilidades mais adiante na cadeia.
Mas o Wolpoff de Randori acredita que esse tipo de conversa vende equipes vermelhas curtas. Não é uma experiência autêntica ter um timeer vermelho trabalhando dentro do ambiente da empresa sem invadir seu exterior, diz ele.
“Pergunte a si mesmo, você daria a um invasor acesso ao seu ambiente interno?” Wolpoff disse. “Não, não, não, não. Então por que você daria a um time vermelho acesso? Quando você está procurando um compromisso do red team, você quer que a experiência seja o mais autêntica possível, tão fiel ao que um atacante de verdade faria. Um verdadeiro atacante não é limitado pelo tempo; Ele não tem uma mira. Ele normalmente tem um objetivo : roubar algum IP, chegar a dados confidenciais ou acessar um controlador de domínio. Você deve projetar sua experiência em red team da mesma maneira.”
FONTE: DARK READING