Por Natalia Godyla Gerente de Marketing de Produto e Segurança e Matthew Hickey Cofundador, CEO e autor da Hacker House
A comunidade de segurança está continuamente mudando, crescendo e aprendendo uns com os outros para posicionar melhor o mundo contra as ameaças cibernéticas. Na última postagem da série do blog Voice of the Community, Natalia Godyla, gerente de marketing de produtos da Microsoft, fala com Matthew Hickey, cofundador, CEO e redator da Hacker House. Nesta postagem do blog, Matthew fala sobre os benefícios de uma equipe roxa e oferece as melhores práticas para construir uma equipe de sucesso.
Natalia: O que é um time roxo e como ele une times vermelhos e azuis?
Matthew: Os papéis tradicionais envolvem uma equipe azul que atua como seus defensores e uma equipe vermelha que atua como seus atacantes. A equipe azul quer proteger a rede. A equipe vermelha trabalha para violar a rede. Eles querem destacar as deficiências de segurança das defesas do time azul. As duas equipes nem sempre estão trabalhando com o mesmo objetivo de proteger os ativos de informações e eliminar o risco de informações, já que cada uma está focada no objetivo de sua respectiva equipe – uma para prevenir violações, a outra para ter sucesso em uma violação
A equipe roxa é uma fusão das equipes azul e vermelha para agregar valor ao negócio. Com uma equipe roxa de sucesso, dois grupos de pessoas que normalmente trabalham em lados opostos da mesa estão colaborando em uma meta unificada – melhorar a segurança cibernética juntos. Ele pode remover muita competitividade dos processos de teste de segurança. As equipes roxas podem substituir as equipes vermelhas e azuis e são mais econômicas para organizações menores. Se você for um grande conglomerado, convém considerar uma equipe azul, uma equipe vermelha e uma equipe roxa. As equipes roxas trabalham tanto para melhorar o conhecimento dos ataques que uma organização enfrenta quanto para construir melhores defesas para derrotá-los.
Natalia: Por que as empresas precisam de times roxos?
Matthew: Hackear computadores se tornou muito mais acessível. Se uma pessoa inteligente na Internet escreve e compartilha um exploit ou ferramenta, todos os outros podem baixar o programa e usá-lo. Não tem uma alta barreira de entrada. Há alunos do ensino médio explorando ataques de injeção de SQL e eliminando milhões do valor de uma empresa. Como as informações de hackers são mais amplamente disseminadas, também são mais acessíveis para as pessoas que defendem os sistemas. Também houve melhorias significativas em como entendemos o comportamento do invasor e modelamos esses comportamentos. A estrutura MITER ATT & CK, por exemplo, é aproveitada pela maioria das equipes vermelhas para simular o comportamento dos atacantes e como eles operam.
Quando as equipes vermelha e azul trabalham juntas como uma equipe roxa, elas podem realizar avaliações de maneira semelhante a testes de unidade em estruturas, como MITER ATT & CK, e usar esses insights sobre o comportamento do invasor para identificar lacunas na rede e construir melhores defesas em torno de ativos críticos. Adotando as técnicas dos invasores e trabalhando com o sistema para construir avaliações mais abrangentes, você tem vantagens que o invasor não tem. Essas vantagens vêm de sua inteligência de negócios e pessoas.
Natalia: Quais são as vantagens de reunir tudo sob uma mesma equipe?
Matthew: Os benefícios de uma equipe roxa incluem velocidade e redução de custos. As equipes roxas são normalmente construídas como um recurso interno, o que pode reduzir o contato com especialistas externos para obter conselhos. Se eles receberem alertas em seus e-mails, as equipes roxas podem percorrê-los e dizer: “Oh, isso é uma prioridade porque os invasores vão explorar isso rapidamente, pois há um código de exploração público disponível. Precisamos consertar isso.” O teste de unidade de comportamentos e recursos específicos do invasor em relação às estruturas em uma base contínua, em oposição à execução de engajamentos simulados completos e periódicos, que duram de várias semanas a vários meses, também é uma grande redução de tempo para muitas empresas.
As equipes vermelhas geralmente podem ser pegas de surpresa por quererem construir o melhor ataque de phishing. As equipes azuis querem ter certeza de que seus controles estão funcionando corretamente. Eles vão conseguir muito mais em um período de tempo mais curto como uma equipe roxa, porque são mais transparentes uns com os outros, compartilhando sua experiência e a compreensão das ameaças. Você ainda precisará mergulhar ocasionalmente no mundo de um exercício simulado baseado em cenário, onde uma equipe é mantida no escuro para garantir que os processos e as práticas sejam eficazes.
Natalia: Como as equipes roxas fornecem garantia de segurança?
Matthew: A garantia da segurança cibernética é o processo de compreensão do que é o risco das informações para uma empresa – seus servidores, aplicativos ou qualquer infraestrutura de TI de suporte. O trabalho de garantia é essencialmente demonstrar se um sistema tem um nível de segurança ou gerenciamento de risco que seja confortável para uma organização. Nenhum sistema no mundo é 100% infalível. Sempre haverá um ataque que você não esperava. O processo de garantia destina-se a tornar os ataques mais complexos e caros para um invasor realizar. Muitos atacantes são oportunistas e frequentemente se movem para um alvo mais fácil quando encontram resistência, e uma forte resistência vem de times roxos. As equipes roxas são usadas para fornecer um nível de garantia de que o que você construiu é resiliente o suficiente para resistir a ameaças de rede modernas, aumentando a visibilidade e os insights compartilhados entre equipes normalmente isoladas.
Natalia: Quais são as melhores práticas para construir uma equipe roxa de sucesso?
Matthew: Você não precisa ser um especialista em exploração desde o primeiro dia ou o melhor programador do mundo, mas deve ter uma competência central de segurança cibernética e uma compreensão dos fundamentos básicos, como como um invasor se comporta, como um teste de penetração é estruturado, quais ferramentas são usadas para quê e como revisar um firewall ou log de eventos. As equipes roxas devem ser capazes de revisar o malware e entender seus objetivos, revisar exploits para entender seu impacto e fazer uso de ferramentas como nmap e mitmproxy para verificar vulnerabilidades. Eles também devem entender como interpretar logs de eventos e traduzir o lado do ataque de hackers em defesas como regras de firewall e aplicação de políticas. As pessoas vêm até mim e dizem: “Eu não sabia por que estávamos construindo firewalls em torno desses ativos de informação crítica até que vi alguém explorar um servidor PostgreSQL e obter um shell de root nele e, de repente, tudo fez sentido porque eu poderia precisar para bloquear o protocolo de mensagens de controle da Internet de saída (ICMP).”
Contratar hackers para se juntar à sua equipe roxa costumava ser um tabu, mas os hackers costumam ser excelentes defensores. Aceite o hacking porque é uma mentalidade de resolução de problemas. As informações estão lá fora e seus invasores já sabem disso. Você também pode saber disso, então contrate hackers. Já ouvi pessoas dizerem que os hackers são o sistema imunológico da Internet ao descrever como seu comportamento pode ser benéfico. Os hackers estão acompanhando o que está acontecendo por aí e serão as pessoas que verão um ataque e dirão: “Usamos Jenkins para nossa construção de produção. É melhor conseguirmos esse patch porque esta nova vulnerabilidade de pontuação 9,8 CVSS foi lançada há duas horas. Os invasores vão entrar nisso muito rapidamente.” A invasão de computadores é feita passo a passo, é um processo lógico. Os invasores encontram uma fraqueza no sistema, depois encontram outras fraquezas, fazem a combinação delas, obtêm acesso a algum código-fonte e algumas credenciais de um sistema, e saltam para o próximo sistema. Depois de entender o fluxo de trabalho do que seu invasor está fazendo, você saberá melhor quais sistemas precisarão de invasão de host, monitoramento aprimorado e os motivos. Hackers são aqueles que controlam seus riscos como organização e podem fornecer informações sobre quais ameaças suas equipes devem se concentrar em abordar.
Natalia: Como os gerentes devem apoiar as necessidades de treinamento e educação de sua equipe roxa?
Matthew: Certificar-se de que as pessoas tenham o treinamento certo e as ferramentas certas para seu trabalho pode ser difícil. Você anda por qualquer andar de exposição e há centenas de caixas com luzes sofisticadas e um milhão de portfólios de produtos. Você poderia comprar cada caixa daquele andar da exposição, e nada disso vai lhe fazer bem, a menos que você tenha a pessoa certa operando como aquela caixa funciona e interpretando os dados. Seu pessoal é mais importante em alguns aspectos do que a tecnologia, porque eles são seus olhos e ouvidos no que está acontecendo na rede. Se você tem um sistema que envia 50 alertas de alto risco e ninguém está captando e reagindo a esses alertas, você só tem um sistema caro de fachada.
Se você está contratando alguém para uma equipe roxa, certifique-se de que eles tenham suporte para participar de conferências ou interagir com colegas do setor e investir em seu treinamento e educação. Isso sempre lhe dará melhores resultados à medida que eles aprendem e são expostos a mais percepções, e seu pessoal também se sentirá mais valorizado. Se você deseja aprender sobre o comportamento adversário e como usar o hacking de computador para fornecer resultados de garantia para as empresas, leia Hacking prático: o que você pode esperar? por Hacker House.
Saber mais
Para saber mais sobre as soluções de segurança da Microsoft, visite nosso site. Marque o blog de segurança para acompanhar nossa cobertura especializada em questões de segurança. Além disso, siga-nos em @MSFTSecurity para obter as últimas notícias e atualizações sobre segurança cibernética.
