Purple team: melhorar a deteção e prevenção com simulação de ataques reais

Simultaneamente, as metodologias para avaliar a eficácia das operações de segurança têm-se mostrado pouco eficientes e o comportamento perante os testes de segurança é muitas vezes visto de forma adversarial (os atacantes contra os defensores).

Como avaliar a segurança num ambiente corporativo?

Não é possível avaliar a segurança de toda a organização de uma só vez, devemos começar por dividir a avaliação em blocos geríveis e endereçar primeiro os blocos que apresentam maior risco.

Os testes de intrusão são a resposta mais direta a esta problemática e consistem em testar de forma isolada cada componente da infraestrutura ou de uma aplicação como subsistema para procurar as vulnerabilidades existentes e explorá-las para comprovar o risco. Neste caso, todas as partes envolvidas (Blue Team, administradores das aplicações) sabem da ocorrência destes testes, mas não estão envolvidas na sua execução, limitando-se a receber um relatório com as vulnerabilidades encontradas.

Por outro lado, quando se pretende avaliar a capacidade de resposta da organização de uma forma mais holística, são utilizados exercícios do tipo Red Team, que se aproximam mais do comportamento dos atacantes e são executados de forma não anunciada. As equipas responsáveis pela parte da proteção não sabem à partida que estes testes estão a decorrer.

Nesta visão de adversários, contra a Red Team está a Blue Team, responsável por implementar os controlos de segurança, use cases de deteção e resposta, desenvolver procedimentos para responder aos alertas gerados pela infraestrutura e operar a infraestrutura de defesa, ou seja, processar os alertas de segurança e distinguir os falsos positivos dos verdadeiros incidentes.

Da natureza destas duas equipas surge a sua maior limitação, porque para uma ganhar, a outra tem de perder. Para que uma Red Team atinja o seu objetivo, tem de derrotar a Blue Team. Por outro lado, se a Blue Team conseguir detetar a Red Team, tal consiste numa derrota para esta equipa. Aqui está o risco, porque cada uma destas equipas tem incentivos para não partilhar demasiado sobre as suas técnicas, o que limita o crescimento da segurança como um todo.

Como ultrapassar este mindset? O surgimento do purple team

O ideal seria colocar as duas equipas com um objetivo comum de melhorar a segurança da organização. É assim que nasce o Purple Team, na fusão das capacidades ofensivas da Red Team com as capacidades defensivas da Blue Team. Não se trata de uma equipa nova na organização, mas sim de uma equipa virtual, ou seja, de um papel que as equipas Red e Blue acabam por desempenhar. Num exercício de Purple Team, a Blue Team e a Red Team trabalham lado a lado. São exercícios tipicamente práticos em que são discutidas as técnicas e metodologias de ataque, são lançados ataques representativos destas técnicas, e a Blue Team consegue ver em tempo real na infraestrutura, quais os alarmes gerados. Tal permite rever os controlos implementados, testar os processos de resposta a incidentes com base nessa deteção e, muitas vezes, encontrar falhas de visibilidade na capacidade de deteção.

Quais as vantagens de um purple team para a organização?

O Purple Team é o conceito de termos a Red Team e a Blue Team a trabalharem juntas com o mesmo objetivo final. Esta abordagem traz um retorno de investimento muito mais rápido, sendo que em alguns casos, as alterações são feitas no momento da execução dos testes.

No Purple Team, os resultados são focados nas especificidades da organização, e conseguimos que a Blue Team tenha formação e um contacto mais próximo sobre as técnicas utilizadas pelos atacantes. Por outro lado, conseguimos identificar as falhas de cobertura, algumas delas desconhecidas na organização, porque era esperado que fosse possível detetar algumas das técnicas. Por último, se forem feitos exercícios de Purple Team continuamente, é possível demonstrar, de forma objetiva através de um índice de sucesso, a melhoria da equipa de segurança ao longo do tempo, o que promove uma cultura colaborativa dentro da organização.

Conteúdo co-produzido pela MediaNext e pela S21sec