As cores da Cibersegurança

Francisco Hernández. Certamente você já ouviu ou leu no mundo da Cibersegurança pessoas que se referem a ser um Blue Team ou que se concentram mais em ser um Red Team. Não que se trate de uma preferência pela cor ou algo como Team Calor ou Team Frio, mas antes estes termos referem-se ao perfil e às atividades dos especialistas do mundo da cibersegurança, que desempenham um papel crucial nas organizações para a defesa contra ameaças informáticas. e ataques.

Esses conceitos de cores vêm de exercícios militares onde as equipes são divididas em vermelho e azul para simular atacantes e defensores, respectivamente (como aquele capítulo do Malcolm in the Middle quando Reese vai para o Exército e eles estão em uma simulação de guerra entre os times vermelho e azul.

No contexto da cibersegurança, o Blue Team é o braço defensivo, responsável por fortificar os sistemas, detectar possíveis intrusões, ameaças e responder a incidentes de cibersegurança para manter a segurança e integridade dos activos digitais dentro das organizações.

Por outro lado, fazer parte do Red Team implica operações mais ofensivas e éticas contra os sistemas de informação de uma empresa para avaliar a sua postura de segurança, na perspectiva de um adversário ou atacante malicioso. Esta abordagem permite que as organizações fortaleçam de forma eficaz e proativa as suas defesas contra ameaças do mundo real.

Realidade no mundo de trabalho

As organizações não possuem, como tal, um cargo ou área denominada Blue ou Red Team. Em qualquer caso, sem membros com perfis voltados para uma responsabilidade ou atividades ligadas à defesa das organizações.

Um exemplo é o Analista de Segurança da Informação, cujas principais responsabilidades incluem monitorizar e analisar eventos e incidentes de segurança, detetar possíveis ameaças e responder a alertas e ataques de cibersegurança. Outro nome do cargo pode ser Analista do Centro de Operações de Segurança (SOC - Security Operations Center). Porém, o nome do cargo é o menos importante: o que importa são as atividades a serem desempenhadas.

Alguns exemplos adicionais de posições e atividades de segurança relacionadas com o Blue team:

Analista forense digital: investiga e coleta evidências de atividades cibernéticas maliciosas ou crimes informáticos.

Auditor de informática: avalia e analisa a segurança dos sistemas e redes de informação de uma organização. Seu principal objetivo é garantir que as políticas e controles de segurança estabelecidos sejam adequados e cumpram os padrões de segurança.

Arquiteto de Segurança: projeta e implementa soluções de segurança para proteger a infraestrutura e os dados de uma organização. Atua no desenho de arquitetura de segurança de redes, sistemas e aplicações, garantindo que estejam alinhados às melhores práticas e padrões de segurança.

Para se defender você tem que saber como eles atacam

Quando você faz parte do Blue Team, é necessário aprender e conhecer como funcionam os agentes maliciosos, bem como a forma como atuam e as técnicas que utilizam para realizar suas atividades maliciosas, com o objetivo de neutralizar qualquer tipo de ataque malicioso. Não é necessário saber detalhadamente como exatamente eles realizam esses ataques, mas é preciso entender (pelo menos) a metodologia de como funcionam e como a executam para implementar a melhor defesa possível.

O campo de trabalho vermelho

Diferentemente dos cargos relacionados ao Blue Team, que você encontra em qualquer organização de qualquer tipo desde que queiram ter uma equipe especializada em manter a integridade e segurança de suas informações, os especialistas focados no Red Team são um pouco diferentes, já que cargos com perfil ofensivo são encontrados mais em empresas que se dedicam a oferecer serviço de consultoria em segurança cibernética para outras organizações.

Se você lembrar Better call Saul, há um episódio em que Mike Ehrmantraut entra em uma empresa através de truques e enganos, caminhando casualmente por vários departamentos sem que ninguém lhe diga nada. No final, ele encontra um gerente do local a quem conta todos os truques e enganos que usou para chegar lá, que não teve problemas em entrar nas profundezas daquela empresa, lendo documentos e arquivos confidenciais e avisando que poderia apoiá-lo. com a consultoria de segurança de sua empresa e reforçar as medidas para que ninguém mais possa entrar como ele. O caso acima é muito parecido com o que uma pessoa com o perfil do Red Team.

Observação: este exemplo é um cenário de uma série de ficção. Fazer desta forma deve ser evitado a todo custo.

Se dermos um nome a este exemplo no contexto da Cibersegurança, as pessoas que se envolvem desta forma irão dedicar-se ao Pentesting ou Hacking ético. Normalmente são especialistas que fornecem serviços de segurança ofensivos controlados por conta própria ou como parte de uma organização para identificar pontos fracos na infraestrutura e nos sistemas de uma organização.

O ideal é conhecer a postura de cibersegurança das organizações e saber o nível de maturidade que possuem para traçar um plano que fortaleça a segurança nos pontos fracos detectados na análise.

Com grandes poderes vem grandes responsabilidades

Como especialista em Red Team, deve-se levar em conta que todas as suas atividades e serviços são realizados com finalidade profissional e informativa para gerar melhorias às pessoas e organizações. De forma alguma, você deve usar seu conhecimento para afetar maliciosamente qualquer organização ou pessoa.

Estas são algumas das atividades que uma pessoa do Red Team:

Teste de penetração e avaliação de vulnerabilidade: Simula ataques do mundo real às redes, sistemas, servidores e aplicativos de uma organização. Os hackers éticos que compõem o Red Team empregam diversas táticas, técnicas e procedimentos (TTPs), bem como ferramentas dedicadas a falsificar ataques e identificar potenciais vulnerabilidades e fraquezas que atores mal-intencionados poderiam explorar.

Desafiar as defesas: Ao adotar uma abordagem contraditória, o Red Team testa a eficácia dos controles existentes e das medidas de segurança implementadas pela Equipe Azul. Isso permite que as organizações entendam melhor seus pontos fracos e os corrijam antes que hackers mal-intencionados possam explorá-los.

Melhore as capacidades de resposta a incidentes: Por meio das operações do Red Team, as organizações podem avaliar suas capacidades de resposta a incidentes, bem como avaliar a eficiência dos sistemas de monitoramento de segurança e detecção e resposta.

Simulação de cenários do mundo real: O Red Team tenta replicar táticas usadas por atores de ameaças do mundo real, incluindo ameaças persistentes avançadas (APTs) e outros vetores de ataque sofisticados, como phishing e técnicas de engenharia social.

Colaboração de cores

Organizações mais maduras e maiores costumam agrupar os dois perfis de pessoas focadas nos Blue e Red Team para formar um Purple Team, permitindo-lhes avaliar e melhorar em conjunto a postura geral de segurança da organização. Em qualquer caso, o Red Team utiliza as suas capacidades ofensivas em ataques simulados para ajudar ao Blue Team a identificar e criar as melhores estratégias defensivas.

Afinal, os verdadeiros profissionais e especialistas no mundo da cibersegurança são aqueles que procuram utilizar os seus conhecimentos para o bem comum. Quer sejam dos Blue ou Red Team, devemos colaborar juntos para ajudar pessoas e organizações a evitar qualquer incidente amargo de segurança cibernética causado por agentes maliciosos, que buscam apenas seu próprio benefício, sem se preocupar em afetar terceiros.

Espero que este artigo tenha sido útil. Cuide sempre da sua segurança cibernética.

Até logo!