Analysis

Cover

Atacar e defender para proteger

Os exercícios de Red Team e Blue Team são necessários para que as organizações testem as suas defesas e, assim, consigam proteger mais eficazmente as suas vulnerabilidades

Por Rui Damião . 07/02/2023

Atacar e defender para proteger

Detetar e corrigir vulnerabilidades é uma necessidade para todas as organizações. No entanto, os recursos internos nem sempre o conseguem fazer.

Os exercícios de Red Team e Blue Team são uma ferramenta importante para as organizações testarem e melhorarem a sua defesa e postura de cibersegurança contra potenciais ciberameaças. Estes exercícios trazem vários benefícios para as organizações, nomeadamente o aumento das competências e conhecimentos das equipas de cibersegurança.

Atacar para defender

David Grave, Cybersecurity Director da Claranet Portugal, refere que, ao simular as ações de um ciberataque para testar as capacidades de defesa de uma organização, “os exercícios de Red Team / Blue Team são os que mais se aproximam das ações reais de um ciberataque e do comportamento de quem é atacado, ou de quem deve preparar as defesas”.

“Enquanto um exercício de Red Team simula a ação dos atacantes, que tentam explorar e detetar as vulnerabilidades para conseguir entrar nos sistemas visados, uma ação de Blue Team simula a atuação das equipas de proteção, identificando igualmente falhas, definindo procedimentos e criando processos para melhorar a postura de segurança”, acrescenta o representante da Claranet.

Luís Catarino, Offensive Security Manager na S21sec, introduz o conceito de Purple Team, designação oriunda da mistura cromática de ambas as equipas envolvidas. “Neste tipo de atividade, a Red Team lança um ciberataque à organização, procurando comprometer a mesma, enquanto a Blue Team tem como objetivo identificar estas tentativas e defender-se das mesmas. No sentido de padronizar estas ações, estes exercícios seguem tipicamente frameworks existentes, como a MITRE ATT&CK, para definição de cada guião de ataque e respetiva execução”, explica.

“As atividades de Purple Team são importantes para as organizações na medida em que, para além de ultrapassarem determinadas limitações de outras metodologias para avaliar a eficácia das suas operações de segurança, permitem, quando conduzidos de forma contínua, avaliar de forma objetiva a melhoria dos controlos de segurança da organização”, continua Luís Catarino.

“Olhar mais transversal”

O representante da S21sec relembra que estes exercícios são complementares aos testes de intrusão “onde testamos diretamente a segurança de determinados componentes ou aplicações da infraestrutura”. Em cenários de Red Team, também se pretende “testar a capacidade de detetar e resposta por parte da Blue Team”. Já nos exercícios de Purple Team, procura-se ultrapassar “a potencial animosidade que poderia existir entre estas duas equipas, promovendo um ambiente de cooperação com um objetivo comum”. Com a criação de uma equipa virtual com um objetivo comum, identifica-se “não apenas as falhas de segurança da organização e eventuais falhas de monitorização, mas também formar a Blue Team no sentido de melhorar as suas capacidades e processos”.

 

“Os exercícios de Red Team / Blue Team são os que mais se aproximam das ações reais de um ciberataque e do comportamento de quem é atacado, ou de quem deve preparar as defesas”


David Grave, Cybersecurity Director da Claranet Portugal

David Grave defende que estes exercícios “permitem simular com maior precisão uma ameaça real, perpetrada por um adversário real. A sua utilização garante um olhar mais transversal sobre os riscos, de forma que as organizações possam determinar o desempenho dos seus sistemas e das suas defesas em situações de ameaça reais – detetando vulnerabilidades que não foram detetadas por outro tipo de testes e avaliando a sua capacidade para lidar com essa ameaça”.

“Outros benefícios práticos conseguidos com a execução destes exercícios passam ainda pela melhoria da preparação dos colaboradores face aos riscos de cibersegurança, pela possibilidade de testar soluções de proteção antes de elas serem efetivamente implementadas, ou pelo reforço da comunicação entre os vários colaboradores, o que auxilia muito o trabalho colaborativo nos momentos de crise”, refere, ainda, o Cybersecurity Director da Claranet Portugal.

Ataque é mais procurado

David Grave afirma que os exercícios de Red Team são os mais procurados pelas organizações por “permitir expor, de uma forma real, as vulnerabilidades de uma organização, quer ao nível dos sistemas, quer ao nível dos próprios colaboradores”. No entanto, acrescenta, “o que faz sentido é apostar na complementaridade” com os exercícios de Blue Team.

“Por um lado, simula-se a postura do atacante – cujo comportamento pode ser tipificado, apesar de existir sempre uma componente de imprevisibilidade –; por outro, assume-se uma visão de dentro para fora da organização, de forma a identificar os riscos e encontrar as melhores soluções para proteger os seus ativos críticos. Por exemplo, existem casos em que as vulnerabilidades de uma organização se devem a uma falha na atualização do software usado, a comportamentos menos seguros dos seus colaboradores ou a malware que já se encontra nos seus sistemas TI há muito tempo, com os atacantes a aguardarem a melhor altura para atuar. A utilização deste tipo de exercícios, combinados, permite não só identificar todos os perigos – potenciais ou já presentes – como preparar os utilizadores e colocar em prática políticas e técnicas de prevenção”, explica.

Luís Catarino partilha que o início dos exercícios começa, frequentemente, com um email de phishing, tal como acontece num grande número de organizações. “Com recurso a um anexo malicioso para comprometimento do sistema de um utilizador, ou ao comprometimento de credenciais de acesso do mesmo, a Red Team ganha acesso à infraestrutura da organização. A partir deste ponto, a Red Team segue um conjunto de táticas previamente definidas no guião de ataque e orientadas às especificidades do alvo, para alavancar o seu acesso dentro da organização”, diz.

Outras cores no espetro

Ainda que as ‘cores’ mais conhecidas sejam a ‘Red’ e a ‘Blue’, assim como a ‘Purple’, Luís Catarino refere que têm existido propostas de outras ‘cores’. 

“Em julho de 2017, a autora April C. Wright apresentou na conferência de cibersegurança Blackhat, os conceitos de Yellow, Orange e Green Teams. Por Yellow, Wright incluiu na equação os ‘Builders’ (contrutores), sendo estes os responsáveis pelo desenvolvimento de software e das soluções, e que defende que devem ser incluídos nestes processos. Neste conceito, as Orange e Green Teams, tal como com a Purple Team, representam as misturas cromáticas com o vermelho e azul, respetivamente”, diz o Offensive Security Manager na S21sec. 

Ausência de talento

“Com recurso a um anexo malicioso para comprometimento do sistema de um utilizador, ou ao comprometimento de credenciais de acesso do mesmo, a Red Team ganha acesso à infraestrutura da organização”


Luís Catarino, Offensive Security Manager na S21sec

 

Com uma dificuldade acrescida para encontrar o talento necessário para realizar este tipo de ataques, muitas organizações viram-se para parceiros especializados para os ajudar a detetar e mitigar as vulnerabilidades existentes.

Luís Catarino, da S21sec, refere que os parceiros especializados neste tema não têm apenas o papel de “aconselhar devidamente a organização aquando da definição do âmbito e objetivos destes exercícios, mas também através da sua experiência e profundo conhecimento técnico por parte das equipas envolvidas, conduzir ataques mais sofisticados, emulando devidamente uma ameaça persistente avançada (APT), e testando a resposta da organização face a um ataque real”.

David Grave, da Claranet, indica que os parceiros “podem fornecer uma visão externa e imparcial, o que é fundamental para identificar vulnerabilidades e falhas nos sistemas e defesas de uma organização, assim como fornecer relatórios detalhados e recomendações para melhorar a postura de segurança. Além disso, os parceiros especializados têm acesso a ferramentas e técnicas avançadas e estão sempre atualizados face às últimas ameaças e tendências de cibersegurança. Este facto torna-os a escolha ideal para ajudar as organizações a proteger-se contra ameaças cada vez mais sofisticadas”.

Começar a usar as cores

Luís Catarino relembra que estes exercícios devem “ser complementares a outras atividades” e, como tal, devem ser “incorporados em programas de cibersegurança mais alargados e executados em momentos-chave dos mesmos” para se obter “os melhores resultados”.

David Grave afirma que “qualquer empresa pode começar a utilizar serviços de proteção Red Team / Blue Team, independentemente da sua dimensão. O aumento das operações online que as organizações estão a protagonizar torna-as naturalmente mais expostas aos riscos e aos ataques de cibersegurança, o que justifica cada vez mais uma aposta em soluções completas de identificação e defesa de vulnerabilidades, como é o caso dos exercícios de Red Team / Blue Team”.

No entanto, tendo em conta que estas soluções “pressupõe o acesso total aos sistemas e à informação das organizações visadas”, é necessário “escolher um provider com uma larga experiência em serviços de cibersegurança e em várias áreas do IT. Desta forma, é possível garantir uma visão holística sobre os sistemas e sobre todo o perímetro de segurança da organização analisada, para que se consiga uma identificação realmente eficaz dos riscos e o desenho de soluções que os previnam e combatam”.

A adoção em Portugal

Luís Catarino partilha que a S21sec “começou a realizar este tipo de testes no início de 2019, tendo desde então realizado um número considerável de exercícios, muitos destes de forma recorrente e em organizações portuguesas”. Banca, energia e telecomunicações estão entre os setores “mais consciencializados para este tema”. No entanto, a empresa tem “vindo a notar um aumento de procura por parte de outros setores, o que demonstra uma crescente consciencialização para o tema”.

David Grave também refere que “muitas organizações nacionais recorrem já a este tipo de serviços”, que são, diz, “uma ferramenta cada vez mais popular nas organizações para testarem e melhorarem as suas defesas”.

No entanto, acrescenta, “provavelmente por desconhecimento, muitas empresas consideram ainda desnecessário investir neste tipo de exercícios, seja por acharem que não têm dimensão suficiente ou que não estão expostas a um volume ou gravidade de riscos que o justifiquem. Há ainda vários casos em as organizações optam por testes de segurança mais simples – e também menos onerosos – como é o caso do pen testing”. Os testes de penetração, defende, “apenas deverão ser usados para encontrar uma vulnerabilidade específica, num sistema específico. Tudo o resto, num sistema, ficará à mercê dos riscos de cibersegurança, a menos que se aposte num exercício completo e transversal de deteção, identificação, combate e proteção – como só o de Red Team / Blue Team consegue garantir”.


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº17 Abril 2024

IT SECURITY Nº17 Abril 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.