0
0
Os Red Teams são um mal necessário – literalmente – no cenário de ameaças cibernéticas de hoje. As motivações para se envolver em atividades de teste ofensivas podem variar de requisitos regulatórios a aspirações de certificação. Programas de segurança verdadeiramente proativos e progressivos incorporam operações ofensivas quase imediatamente à medida que a segurança é construída e definida.
A maioria das organizações começa com a verificação de vulnerabilidade e, em seguida, passa para o teste de penetração (pentesting) , levando a verificação de vulnerabilidade um passo além de adivinhar que uma vulnerabilidade pode ser explorada para provar exatamente como ela pode ser. Os programas de equipe vermelha são frequentemente, incorretamente, associados de forma sinônima a pentesting, mas é uma função muito diferente.
O Petesting procura encontrar o máximo possível sem um objetivo definitivo em mente, testando uma ampla gama de ataques possíveis para confirmar o sucesso ou falha dessa atividade de exploração ou pós-exploração. Pentests geralmente não fazem vetores de acesso inicial. As operações da equipe roxa são uma progressão natural entre o pentesting e a progressão da equipe vermelha para trazer essas descobertas em um círculo completo e mitigá-las ativamente em tempo real para aumentar a resiliência comprovada versus posterizada.
As equipes vermelhas levam esse modelo de maturidade um passo adiante, executando operações altamente direcionadas usando todo o ciclo de vida de hackers, desde o acesso inicial à exfiltração de dados, para atacar as pessoas, processos e tecnologia de uma organização de maneira furtiva, semelhante a APT. As equipes vermelhas adequadas são o próximo passo na defesa proativa, seguindo as operações da equipe roxa, antes de escalar para operações de emulação de adversários reais.
“Do ponto de vista do CISO, incorporar o red teaming em seu programa de segurança cibernética vai além das listas de verificação e avaliações de segurança abrangentes e facilita técnicas direcionadas e sofisticadas para destacar vulnerabilidades, lacunas e deficiências reais para seus riscos mais altamente priorizados”, diz Chris Hughes, CISO da Aquia. Com as estruturas modernas de conformidade do cenário de ameaças, marcar a caixa “pentesting” não será suficiente. Você precisa pensar e treinar como seu adversário luta e identificar caminhos de ataque antes que eles o façam.”
Com essa perspectiva em mente, aqui estão algumas estratégias e políticas que observei da perspectiva de um operador que os líderes podem implementar para apoiar o sucesso do programa Red Team.
1. Pare de limitar o escopo do Red Team
Deixe os recursos da sua equipe vermelha hackearem da mesma forma que adversários sofisticados hackeiam. Sabe quem não tem escopo? Urso aconchegante. Panda Profunda. APT11. Se estiver no escopo do inimigo, deve estar no escopo das equipes vermelhas. Certa vez, um gerente disse em uma reunião com outros gerentes para “ficar confortável com a ideia de que haverá uma perda de produtividade para certos usuários, por um pequeno período de tempo, durante uma operação de equipe vermelha. Se estamos vulneráveis a esse tipo de atividade, precisamos saber com antecedência antes que alguém sem as restrições de suas ‘preferências’ tente. ” Até hoje, foi a coisa mais empoderadora que já tive um gerente dizendo em meu nome. Sua postura nos capacitou para as descobertas mais impactantes e, portanto, remediações orientadas a valor.
2. Reuniões obrigatórias do Red Team
É trabalho da equipe vermelha imitar os adversários, não estar ciente do que mais está acontecendo no departamento de segurança. Eles participam de resumos de partes interessadas e mergulhos técnicos profundos imediatamente após uma operação, mas não participam de reuniões como sua função principal. É muito mais eficaz ter um gerente na mesma página sobre a narrativa do ataque, objetivos, descobertas e suas classificações, e então fazer com que essa pessoa socialize os resultados em nome da equipe vermelha.
Os Red Teamers precisam ser considerados operadores “por trás da cortina”, enquanto gerentes e líderes devem ser a primeira linha de ligação. Uma reunião em que toda a equipe vermelha participa é muito cara para sua empresa e seu departamento.
Por outro lado, não torne a equipe vermelha completamente inacessível. De fato, em muitos casos, facilita o trabalho deles ter relacionamento com outros membros da segurança e da organização. Quanto mais eles são vistos como pessoas e funcionários com interesse no sucesso da empresa como todos os outros, menos resistência eles encontrarão durante seus testes. Reuniões centradas em estratégia, GRC, mapeamento de controles, CI/CD e outras reuniões de equipe não requerem a equipe vermelha.
3. Conduzir resumos das partes interessadas separados dos resumos técnicos
Economizar tempo é uma coisa, mas muitas das informações repassadas nas “ervas daninhas” de um mergulho técnico profundo estarão fora da profundidade e do escopo de uma reunião de partes interessadas. Um público vai se preocupar com a narrativa, métricas ao longo do tempo, descobertas persistentes e mitigações ou aceitação de riscos resultantes. O outro vai se preocupar com portas, serviços, sintaxe, métodos e propósito. Ter todos eles na mesma reunião para economizar tempo, na verdade, é uma perda de tempo. É mais eficaz e eficiente que as equipes vermelhas forneçam e entreguem separadamente duas versões de seus relatórios: uma para executivos e leigos e outra para as equipes de remediação e tecnicamente orientadas.
4. Atribuir classificações de risco e acompanhar os proprietários de risco
Isso acontece no nível das partes interessadas. Um time vermelho pode atribuir uma classificação de risco e adivinhar como essa descoberta será tratada após o fato. Sem uma visão sobre quem é o proprietário do risco e quem deve ser acompanhado na correção, sua experiência parará por aí. Muitas vezes, em briefings executivos, nos perguntam: “Qual foi o resultado dessa descoberta? Onde estamos para remediar isso?” e as equipes vermelhas não podem responder. Executamos em nossa pista e entregamos isso sem acompanhamento sobre se foi remediado ou mesmo revisado. Você está ajudando a equipe vermelha a ajudar as partes interessadas, fornecendo a elas uma pessoa de contato correlacionada ao risco associado às suas descobertas.
5. Padronize a atribuição de descobertas e classificações de risco
É hora de ir além das classificações CVSS. Eles são bons para conhecer a dificuldade geral e a possibilidade de uma vulnerabilidade ser explorada na natureza, mas não têm contexto organizacional. Se deixado para as equipes vermelhas, eles atribuirão arbitrariamente uma classificação baixa, média, alta ou crítica. Eles geralmente se reúnem para discutir por que um membro da equipe rotulou uma descoberta com uma gravidade específica e as respostas variam de dificuldade ao acesso necessário a: “Não temos que pensar nisso em um sentido mais amplo? Desta vez não foi tão ruim, mas se for em outro lugar, poderia ser pior.”
A verdade é que as classificações atribuídas às descobertas são subjetivas, portanto, cabe a você inserir o máximo de objetividade possível nessa equação. Essa é uma das razões pelas quais sou um grande fã de classificações de risco: inerentes e residuais. A classificação de risco inerente leva em consideração fatores técnicos e temporais obtendo uma classificação ponderada de probabilidade e impacto. Esses são então calculados juntos para obter o risco inerente.
Esta é a coisa mais próxima do CVSS não filtrado que estamos acostumados a ver, mas com mais metadados por trás disso. A partir da pontuação de risco inerente, que geralmente é mais alta, uma pontuação de controle também é atribuída com base na rede exclusiva e nos fatores de mitigação dessa organização. O controle multiplicado pelo risco inerente gera um risco residual ponderado para essa vulnerabilidade específica, personalizado para sua organização. Esta é uma informação muito mais valiosa.
6. Esteja ciente da cadência das operações
Os Red Teamers não são pentesters. A cadência de operações da equipe vermelha é completamente diferente da de uma equipe de pentest. Os pentesters têm um conjunto padrão de vulnerabilidades e configurações incorretas que testam para tentar encontrar “o máximo possível” para dar aos defensores a chance de proteger a coisa da melhor maneira possível. As equipes do Pentest também procuram ativamente disparar alertas e relatar resultados positivos obtidos pelas soluções EDR e SIEM.
Do lado do testador, os compromissos do Pentest têm um período de teste de duas a três semanas, uma semana para escrever o relatório e, em seguida, geralmente voltam e iniciam um novo compromisso na próxima semana. Do lado do cliente, você geralmente faz um por ano e tem os 12 meses seguintes para remediar.
Em contraste, as equipes vermelhas têm objetivos claros e definidos de escopo restrito. Eles não realizam tudo o que é possível. Eles realizam apenas as ações necessárias para atingir os objetivos porque reconhecem que cada ação pode, a qualquer momento, alertar as equipes defensivas para sua presença e as equipes vermelhas não querem uma corrida contra o relógio. As equipes vermelhas também operam de forma clandestina e precisam de mais tempo para pesquisar, preparar e testar kill chains que representem realisticamente o comportamento do APT.
Portanto, a cadência e o ciclo de vida de uma operação de equipe vermelha serão mais lentos e mais longos porque o escopo é toda a organização. Tenha isso em mente ao estabelecer os objetivos da equipe vermelha e os principais resultados (OKRs) para o ano. Sem mencionar que muitas descobertas geralmente saem de uma operação de equipe vermelha e nem todas têm um TTP correlacionado ou mitigação direta. As equipes de remediação levarão tempo para trabalhar com as descobertas e mitigar o máximo possível. Isso é para evitar que a equipe azul encontre fadiga, onde eles podem realmente pedir à equipe vermelha para cancelar ou adiar operações adicionais por um trimestre, dependendo de quão atrasadas estiverem.
7. Acompanhe todas as métricas
Nem toda métrica que demonstre o sucesso de um programa ofensivo virá do time vermelho. As métricas da equipe vermelha usadas para rastrear o sucesso dos testes e, portanto, da remediação, incluem o tempo médio de permanência: por quanto tempo eles conseguiram persistir no ambiente fazendo descoberta e pivô sem serem alertados?
Uma métrica do lado azul, além de mitigações recém-criadas, como regras SIEM e detecções de EDR, incluirá o tempo médio para investigar: quanto tempo depois que o alerta chegou, demorou para começar a investigar e fazer a triagem da serenidade do incidente?
Outros fatores virão da inteligência de ameaças cibernéticas (CTI) e das equipes de risco na forma de pontuações de risco residual reduzidas nas descobertas, conhecimento aprimorado sobre resiliência contra atores de ameaças emulados e probabilidade de seus manuais vistos na natureza serem bem-sucedidos. As equipes de CTI poderão se concentrar em atores de ameaças relevantes, sabendo definitivamente de quais táticas podem ou não ser defendidas.
Em seguida, a conscientização de segurança e o treinamento de resiliência podem ser adaptados a esses métodos. Além disso, as investigações manuais em torno desses métodos serão mais orientadas por valor e não um jogo de adivinhação e verificação de falsos positivos ou falsos negativos.
Finalmente, ter medidas e processos de segurança confirmados na prática significa que os departamentos de segurança entregam documentação, relatórios e resultados a um auditor e nunca mais são questionados. O GRC também pode provar a devida diligência e o devido cuidado a investigadores regulatórios e empresas de seguros de segurança cibernética para o dia inevitável em que um dia zero acontecer. Quando as atividades da equipe vermelha são bem-sucedidas, o efeito se traduz em departamentos e funções de negócios.
8. Separe as funções e responsabilidades do Red Team
As operações otimizadas da equipe vermelha vêm de um ciclo de feedback contínuo envolvendo CTI, equipes vermelhas, engenheiros de detecção e risco, todos trabalhando juntos para reduzir a superfície de ataque em um contexto orientado a valor para a organização. Essas funções não terão a mesma aparência em todos os organogramas, mas, na minha opinião, é melhor separar as responsabilidades.
Muitas organizações de segurança são pequenas e terão a mesma pessoa usando vários chapéus, mas pelo menos um funcionário em tempo integral dedicado a cada uma dessas funções aumenta significativamente a qualidade das operações. Até esse ponto, as equipes de segurança também precisam ser segregadas sob um COO, CRO ou CISO, enquanto o gerenciamento de vulnerabilidades, o gerenciamento de remediação e as operações de TI devem estar sob um CIO ou CTO. Ter o departamento de relatórios (segurança) respondendo ao mesmo chefe que as pessoas que eles reportam causa atrito e torna seu líder sênior menos defensor quando ambos os lados precisam ser aplacados.
9. Defina expectativas realistas
Quando as equipes vermelhas apresentam um plano de operação, elas fornecem os objetivos relevantes e a abordagem aproximada que planejam adotar para esse fim. Geralmente é geral como “via RCE” ou “captura de credenciais via MiTM”. A principal preocupação das partes interessadas é a perda de produtividade ou negação de serviço (DoS) e, embora esse nunca seja o objetivo, a equipe vermelha não listará todas as etapas e métodos que planejam usar.
Na verdade, durante o desenvolvimento de exploits, muitas vezes precisamos mudar nossas ideias originais enquanto depuramos cargas úteis e garantimos uma execução suave do TTP. Ser realista com as informações que você receberá de sua equipe vermelha antes, durante e depois de uma operação diminuirá as frustrações e a impressão de falta de vontade por parte da equipe vermelha.
10. Dê ao Red Team dispositivos de ataque fora da rede
As equipes vermelhas para suas próprias práticas recomendadas queimarão e transformarão sua própria infraestrutura de ataque para cada operação. Para cada operação, as necessidades desse caminho de ataque serão aumentadas e testadas novamente. Para a parte de gerenciamento, fornecer a eles dispositivos segregados de agentes corporativos de EDR, AV e SIEM permitirá que eles testem campanhas de phishing, páginas de destino e cargas úteis, e resolvam quaisquer bugs para que o valioso tempo de operação não seja desperdiçado durante o período de vulnerabilidade.
FONTE: CSO ONLINE