Nem todos os hackers são más notícias! Os hackers da equipe vermelha tentarão obter acesso aos seus dados, mas para fins altruístas...
Red teaming é o ato de testar, atacar e penetrar em redes de computadores, aplicativos e sistemas. Red teamers são hackers éticos contratados por organizações para testar sua arquitetura de segurança. O objetivo final da equipe vermelha é encontrar — e às vezes induzir — problemas e vulnerabilidades em um computador e explorá-los.
Por que o Red Teaming é importante?
Para uma organização que precisa proteger dados e sistemas confidenciais, o red teaming envolve a contratação operadores de segurança cibernética para testar, atacar e penetrar em sua arquitetura de segurança antes que ataques maliciosos os hackers fazem. O custo comparativo de obter amistosos para simular um ataque é exponencialmente menor do que se os atacantes o fizessem.
Assim, os red teamers desempenham essencialmente o papel de hackers externos; apenas suas intenções não são maliciosas. Em vez disso, os operadores usam truques, ferramentas e técnicas de hacking para encontrar e explorar vulnerabilidades. Eles também documentam o processo, para que a empresa possa usar as lições aprendidas para melhorar sua arquitetura geral de segurança.
A equipe vermelha é importante porque as empresas (e até mesmo indivíduos) com segredos não podem permitir que adversários obtenham as chaves do reino. No mínimo, uma violação pode resultar em perda de receita, multas de agências de compliance, perda da confiança dos clientes e constrangimento público. Na pior das hipóteses, uma violação contraditória pode resultar em falência, o colapso irrecuperável de uma corporação e roubo de identidade afetando milhões de clientes.
O que é um exemplo de Red Teaming?
A equipe vermelha é altamente focada em cenários. Por exemplo, uma produtora musical pode contratar operadores da equipe vermelha para testar as salvaguardas para evitar vazamentos. Os operadores criam cenários envolvendo pessoas que têm acesso a unidades de dados que contêm propriedade intelectual dos artistas.
Um objetivo neste cenário pode ser testar os ataques mais eficazes em comprometer os privilégios de acesso a esses arquivos. Outro objetivo pode ser testar a facilidade com que um invasor pode se mover lateralmente de um ponto de entrada e exfiltrar gravações master roubadas.
Quais são os objetivos da equipe vermelha?
A equipe vermelha se propõe a encontrar e explorar o máximo de vulnerabilidades possível em um curto espaço de tempo, sem ser pego. Embora os objetivos reais em um exercício de segurança cibernética variem entre as organizações, as equipes vermelhas geralmente têm os seguintes objetivos:
- Modele ameaças do mundo real.
- Identifique os pontos fracos da rede e do software.
- Identifique áreas para melhorar.
- Avalie a eficácia dos protocolos de segurança.
Como funciona o Red Teaming?
A equipe vermelha começa quando uma empresa (ou indivíduo) contrata operadores de segurança cibernética para testar e avaliar suas defesas. Depois de contratado, o trabalho passa por quatro etapas de engajamento: planejamento, execução, sanitização e relatórios.
Estágio de planejamento
Na fase de planejamento, o cliente e a equipe vermelha definem as metas e o escopo do engajamento. É aqui que definem as metas autorizadas (bem como os ativos excluídos do exercício), o ambiente (físico e digital), a duração do engajamento, os custos e outras logísticas. Ambos os lados também criam as regras de engajamento que guiarão o exercício.
Estágio de Execução
O estágio de execução é onde os operadores da equipe vermelha usam tudo o que podem para encontrar e explorar vulnerabilidades. Eles devem fazer isso secretamente e evitar serem pegos pelas contramedidas existentes ou protocolos de segurança de seus alvos. Os Red Teamers usam várias táticas na matriz Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK).
A matriz ATT&CK inclui estruturas que os invasores usam para acessar, persistir e passar por arquiteturas de segurança, bem como como eles coletam dados e mantêm a comunicação com a arquitetura comprometida seguindo um ataque.
Algumas técnicas que eles podem empregar incluem ataques wardriving, engenharia social, phishing, detecção de rede, despejo de credenciais, e escaneamento de portas.
Etapa de Sanitização
Este é o período de limpeza. Aqui, os operadores da equipe vermelha amarram pontas soltas e apagam vestígios de seu ataque. Por exemplo, acessar determinados diretórios pode deixar logs e metadados. O objetivo da equipe vermelha na etapa de sanitização é limpar essas toras e esfregar metadados.
Além disso, eles também revertem as alterações feitas na arquitetura de segurança durante a fase de execução. Isso inclui redefinir controles de segurança, revogar privilégios de acesso, fechar bypasses ou backdoors, remover malware e restaurar alterações em arquivos ou scripts.
A arte muitas vezes imita a vida. A sanitização é importante porque os operadores da equipe vermelha querem evitar abrir caminho para hackers mal-intencionados antes que a equipe de defesa possa consertar as coisas.
Estágio de Relatório
Nesta etapa, o red team elabora um documento descrevendo suas ações e resultados. O relatório inclui ainda observações, descobertas empíricas e recomendações para corrigir vulnerabilidades. Ele também pode apresentar diretivas para proteger a arquitetura e os protocolos explorados.
O formato dos relatórios da equipe vermelha geralmente segue um modelo. A maioria dos relatórios descreve os objetivos, escopo e regras de engajamento; logs de ações e resultados; resultados; condições que tornaram esses resultados possíveis; e o diagrama de ataque. Geralmente, há uma seção para classificar os riscos de segurança de alvos autorizados e ativos de segurança também.
O que vem depois da equipe vermelha?
As corporações geralmente contratam equipes vermelhas para testar os sistemas de segurança dentro de um escopo ou cenário definido. Após o envolvimento da equipe vermelha, a equipe de defesa (ou seja, a equipe azul) usa as lições aprendidas para melhorar seus recursos de segurança contra ameaças conhecidas e de dia zero. Mas os atacantes não esperam. Dado o estado de mudança da segurança cibernética e as ameaças em rápida evolução, o trabalho de testar e melhorar a arquitetura de segurança nunca está realmente concluído.
