0
0
“Red Team” é uma expressão cunhada no século XIX, relacionada aos exercícios de preparação militar alemãs realizados como jogos realistas de tabuleiro entre dois adversários que operam sob restrições de tempo e certas regras. Em segurança cibernética, os exercícios da Equipe Vermelha — também frequentemente chamados de simulações contraditórias — envolvem um adversário simulado tentando obter acesso a ativos de TI sensíveis e protegidos, dados, redes e outros elementos tecnológicos.
O National Institutes of Standards and Technology (NIST) define uma Equipe Vermelha (Cibernética) como “Um grupo de pessoas autorizadas e organizadas para imitar as capacidades de ataque ou exploração de um potencial adversário contra a postura de segurança de uma empresa. O objetivo da Equipe Vermelha é melhorar a segurança cibernética corporativa, demonstrando os impactos de ataques bem-sucedidos e demonstrando o que funciona para os defensores (ou seja, a Equipe Azul) em um ambiente operacional.”
Os exercícios da Cyber Red Team têm sido um marco das práticas de segurança organizacional, datando de 1997, quando foram empregados pela primeira vez pela Agência nacional de Segurança para testar a resposta federal contra ataques cibernéticos em redes de infraestrutura críticas. Alguns CISOs em organizações maiores mantêm equipes vermelhas permanentes para simular constantemente ataques contra suas defesas cibernéticas. Outros CISOs contratam com especialistas da Equipe Vermelha de terceiros para exercícios anuais ou semesenários. Neste blog, vamos explorar alguns tópicos de alto nível em torno de Equipes Vermelhas, incluindo o que eles fazem, quais são seus objetivos, quais fraquezas existem em sua metodologia e como uma abordagem mais moderna pode parecer.
O que os Red Teams fazem?
As Equipes Vermelhas podem combinar ataques cibernéticos com engenharia social e tentativas de se infiltrar fisicamente em organizações para acessar ou roubar dispositivos, coletar informações ou colocar mecanismos para capturar dados. Mais especificamente, o teste de exercícios da Equipe Vermelha:
- Defesas tecnológicas. As Equipes Vermelhas usam ferramentas comuns, como scanners de rede e programas de teste de penetração, para sondar redes, dispositivos, endereços IP e APIs para possíveis vulnerabilidades. Além de usar ferramentas comumente disponíveis, equipes vermelhas sofisticadas também podem usar ferramentas personalizadas para simular um atacante avançado. Eles podem atingir qualquer sistema endereçado publicamente, incluindo hardware, software (por exemplo, firewalls e gateways de API), roteadores, switches e periféricos inteligentes conectados a redes corporativas.
- Defesas humanas. As Equipes Vermelhas direcionarão ataques a humanos, incluindo e-mails de phishing, malware ativado pelo navegador, mensagens SMS com links contendo malware e até mesmo chamadas telefônicas ou solicitações de chat para redefinir senhas ou fornecer informações confidenciais. Qualquer pessoa dentro de uma organização pode ser testada, incluindo funcionários, parceiros e aqueles com acesso a redes, software, hardware, infraestrutura em nuvem ou APIs.
- Defesas físicas. Mais recentemente, as Equipes Vermelhas também fazem testes de medidas e controles de segurança física. Isso pode incluir controles de acesso para escritórios ou data centers, solicitações de entrada após o expediente em instalações-chave e até mesmo vigilância para procurar fraquezas na cobertura de segurança em entradas, portões e outros pontos de acesso.
O objetivo dos testes do Red Team
Em vez de apenas testar controles de segurança pontuais como um firewall ou um sistema antivírus, o teste da equipe vermelha é mais holístico por natureza e projetado para testar a postura de segurança das organizações e de seus funcionários. Além da postura, o exercício é projetado para testar respostas e adaptações que iluminem o quão bem as pessoas e sistemas se adaptam a atos hostis. Esta é uma diferença crítica dos testes simples de penetração (embora as Equipes Vermelhas geralmente incorporem alguns elementos de teste de penetração), que é um exercício para penetrar em defesas de segurança cibernética que geralmente é focada na tecnologia e não nas pessoas. Esta forma de teste é mais circunscrita e não é conduzida em um formato de jogo de guerra.
Em contraste, um exercício de teste da equipe vermelha não apenas identifica falhas de segurança e busca penetrar nas defesas, mas também testa como a organização reage e quão efetivamente ela responde a qualquer ataque bem sucedido. As melhores equipes vermelhas descobrirão uma maneira de explorar alguma falha. De acordo com a Deloitte, 94% das organizações que executam testes em equipe vermelha enfrentam algum nível de penetração bem sucedida.
Muitas vezes, as Equipes Vermelhas são colocadas contra equipes azuis — sua contraparte defensiva que é encarregada de detectar, responder e neutralizar ataques cibernéticos. Mais recentemente, vimos o surgimento de Equipes Roxas, onde equipes vermelhas e azuis são combinadas em uma única unidade que muda de função com frequência para aprender melhor uns com os outros e ganhar novas perspectivas.
Fraquezas da metodologia do red Team
Uma das principais fraquezas dos testes da equipe vermelha, no entanto, é que ele requer considerável experiência, recursos financeiros e planejamento coordenado. As organizações devem sincronizar várias partes, criar ambientes de jogos de guerra e configurações de TI, desenvolver ou treinar métodos para preparação e completar post-mortems. Igualmente importante, os exercícios da equipe vermelha raramente são, se nunca, abrangentes e não são contínuos.
Red-team exercises are human-directed, which can lead to some creative and unanticipated attack patterns and vectors, but also mean they are limited to the cognitive abilities of human attackers. While they may include network scan results as a means of targeting, for example, they cannot exhaust all possible options because the exercises are time-bound.
Red-team exercises are also usually tightly structured and focused on specific goals or targets, often using tactics of a specific type of attacker. This means the exercise can test only a limited subset of the actual attack surface, as a live adversary faces no such limits or time restrictions.
Por essas razões, os exercícios da equipe vermelha só podem fornecer instantâneos da postura de segurança de uma organização e podem não ser relevantes ou eficazes alguns meses ou até semanas depois. Nos processos modernos de desenvolvimento de software, novo código é adicionado, e o código existente é alterado diariamente ou semanalmente. Isso cria novos vetores de ataque e acelera a deriva de segurança, datando rapidamente as descobertas e eficácia da equipe vermelha. A evolução natural da TI e dos aplicativos também aumenta rapidamente a superfície de ataque exposta com o crescimento da Internet das Coisas (IoT), computação em nuvem, arquiteturas de software nativas da nuvem e aplicativos distribuídos. Esta superfície de ataque mais ampla significa que a equipe vermelha pode cobrir uma porção cada vez menor de ameaças potenciais.
Combinando exercícios em equipe vermelha com ferramentas automatizadas como simulação de violação e ataque (BAS), as organizações podem melhorar a eficácia dos exercícios em equipe vermelha. As ferramentas BAS fornecem a capacidade de dimensionar e testar contra vários cenários, ameaças e atacantes ao mesmo tempo, permitindo que especialistas da equipe vermelha se concentrem em objetivos específicos e críticos ou alvos de alto perfil. Ao aproveitar as ferramentas BAS simultaneamente com um ataque da equipe vermelha, as equipes de segurança podem descobrir vários caminhos adicionais de ataque que podem não ser conhecidos se apenas a equipe vermelha for implantada. As ferramentas BAS podem tornar possível executar exercícios em equipe vermelha de forma eficiente, em escala e com menos recursos em uma base contínua.
Construindo uma infraestrutura mais moderna do Red Team
A red-teaming é um exercício útil que pode ajudar as organizações a testar sua postura de segurança de forma holística e entender o quão bem as pessoas e sistemas reagem em caso de um ataque cibernético grave. Mas as abordagens tradicionais da equipe vermelha poderiam ser dramaticamente melhoradas para refletir melhor a realidade atual dos ataques constantes e sua crescente sofisticação. As equipes vermelhas poderiam se beneficiar de explorar tecnologias mais novas, como ferramentas BAS, para expandir sua cobertura da superfície de ataque em evolução e simular com mais precisão os desafios modernos de cibersegurança enfrentados pelas empresas para manter seus aplicativos, infraestrutura e ativos de dados seguros.
FONTE: HELPNET SECURITY