As empresas querem se manter competitivas no cenário digital em constante mudança. Mas, à medida que o mundo enfrenta ataques cibernéticos complexos e violações de dados, como eles garantirão que os dados sejam suficientemente protegidos? A baixa segurança de TI pode ser prejudicial ao crescimento dos negócios e pode inevitavelmente levar à perda de dados e penalidades por não conformidade. De fato, de acordo com o relatório Cost of a Data Breach da IBM, o custo médio de uma violação de dados em 2022 é de US$ 4,35 milhões.

Para proteger seus ativos e dados, as organizações devem testar e melhorar continuamente a segurança de sua infraestrutura, e uma avaliação da equipe vermelha deve estar em sua lista de tarefas. O NIST define uma equipe vermelha como um grupo de pessoas autorizadas e organizadas para emular os recursos de ataque ou exploração de um adversário em potencial contra a postura de segurança de uma empresa. Ao dar à equipe azul (os defensores) a experiência de um ataque na vida real, a equipe vermelha visa demonstrar o impacto das vulnerabilidades exploráveis para melhorar a segurança cibernética corporativa. Com o passar dos anos, as equipes vermelhas se tornarão parte integrante dos centros de operações de segurança (SOCs).

Vamos ver como um time vermelho (red teaming) difere do testes de penetração e como eles jogam seu jogo.

A diferença entre o testes de penetração e o red teaming 

Testes de penetração e red teaming são simulações de ataque realizadas internamente ou por meio de terceiros. No entanto, eles não são sinônimos e não devem ser confundidos entre si. O teste de penetração é feito para encontrar bugs e vulnerabilidades em um sistema ou aplicação e relatá-los ao gerenciamento. Em comparação, o objetivo de uma equipe vermelha é tentar todos os meios para se infiltrar silenciosamente na rede o mais longe possível e testar as defesas da organização contra ela. Isso também pode envolver o uso de técnicas de engenharia social para atingir identidades humanas vulneráveis em uma rede.

Enquanto os testes de penetração geralmente são agendados e anunciados com o conhecimento da equipe azul, as equipes vermelhas operam secretamente, com apenas a alta administração sabendo que tal operação furtiva está em andamento. A equipe vermelha normalmente se reporta ao CISO ou à alta administração e tem autoridade autônoma.

As principais diferenças entre red teaming e testes de penetração estão detalhadas na tabela abaixo.

Um exemplo de teste de penetração inclui a verificação de bugs e vulnerabilidades em um site recém-desenvolvido usando kits de ferramentas Burp Suite ou scanners de vulnerabilidade. Os exercícios da equipe vermelha podem consistir em spear phishing direcionado e, às vezes, ligar para administradores de sistema e solicitar redefinições de senha enquanto afirma ser um funcionário.

Em poucas palavras, o teste de penetração é como um teste baseado em laboratório que verifica vulnerabilidades em sistemas e aplicações de rede. Uma equipe vermelha vai além de testes de penetração, visando pessoas, processos e ativos de rede para se infiltrar na organização.

Às vezes, os membros da equipe vermelha estão envolvidos em testes de penetração como parte de sua operação ou conforme exigido pela organização. A escolha entre testes de penetração ou operações de equipe vermelha depende em grande parte dos requisitos da organização e da maturidade de segurança. As empresas com um processo SOC estabelecido farão uma avaliação da equipe vermelha. Quanto mais mecanismos de defesa uma organização implementar, mais ela poderá testar e aprender por meio de um exercício de equipe vermelha. A equipe vermelha é mais cara do que o testes de penetração, devido à sua profundidade de avaliação e período prolongado.

Fases do testes de penetração   

Aqui estão as quatro etapas envolvidas no testes de penetração :

• Avaliar o escopo e coletar informações sobre a rede por meio de reconhecimento

• Verificar de vulnerabilidades no sistema de destino usando scanners de vulnerabilidade, mapeadores de rede, scanners de porta, etc.

• Explorar a vulnerabilidade descoberta e obter acesso à rede

• Relatar todas as vulnerabilidades, riscos possuídos e recomendações para a gestão

O teste de penetração é repetido após as correções serem feitas, continuando o ciclo. Se o objetivo for testar um servidor web, algumas recomendações podem ser ajustes nas políticas de firewall antes de executar novamente o teste.

Como as equipes vermelhas operam 

Uma avaliação da equipe vermelha pode acontecer ao longo de alguns meses, ressoando de perto um ataque da vida real. Os operadores da equipe vermelha usam esse tempo estendido para começar do zero, coletar informações, pesquisar, direcionar pontos de entrada vulneráveis e realizar movimentos laterais lentamente para alcançar seu objetivo.

Vamos supor que o objetivo de um exercício da equipe vermelha seja demonstrar a postura de segurança da organização. Para conseguir isso, os operadores da equipe vermelha podem tentar acessar dados confidenciais da rede do cliente ou implantar malware fictício que exibe uma mensagem de resgate explorando vulnerabilidades e evitando defesas.

Aqui estão as etapas de como uma equipe vermelha planeja suas operações:

Reconhecimento: O estágio de coleta de informações estabelece as bases para toda a operação durante a qual a equipe vermelha aprende sobre o perímetro da rede externa da organização-alvo para identificar oportunidades potenciais.

Isso é feito usando ferramentas de inteligência de código aberto para obter uma visão pública da rede. O Shodan, por exemplo, é um mecanismo de pesquisa para endereços IP disponíveis publicamente de qualquer dispositivo conectado à Internet, como servidores, roteadores, dispositivos IoT etc. Ao restringir a pesquisa a um local e empresa específicos, é possível encontrar dispositivos, portas e versões de software.

Com as informações enumeradas, a equipe vermelha agora tem como alvo usuários vulneráveis para phishing ou dispositivos com software desatualizado ou sem patches. Os alvos identificados agora são analisados em busca de configurações incorretas.

Vetor de ataque ou acesso inicial: se o objetivo é implantar ransomware fictício, a equipe vermelha se envolve em campanhas de spear phishing direcionadas a funcionários em potencial. Essas campanhas de engenharia social são criativas e podem estar em vários estágios. Um exemplo é enviar e-mails se passando por um cliente, estabelecendo contato e solicitando que o alvo baixe um arquivo anexado chamado cotação.

Penetração: Após o acesso inicial, a equipe vermelha testará até onde pode ir. Ao mover-se lateralmente pela rede, a equipe vermelha tentará aumentar os privilégios gradualmente e se infiltrar nos ativos ou dados mais protegidos da organização sem ser detectado. Esta estadia prolongada examina as diferentes medidas de defesa e mecanismos de resposta em vigor e como eles funcionam.

Análise e relatórios: A equipe vermelha conclui a operação enviando um relatório completo na rede do cliente que lista todas as vulnerabilidades encontradas. A equipe vermelha oferece insights acionáveis para a organização entender e refinar sua postura de segurança.

Quer saber mais sobre como garantir a cibersegurança da sua empresa? Confira nossos outros posts sobre o assunto!

Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Varun K.