Red Team e Blue Team: Polícia e Ladrão em T.I

Introdução

Quando falamos de segurança em geral, normalmente pensamos apenas em defesa e proteção, não que seja errado esse pensamento, pois o próprio significado da palavra segurança nos remete a isso: estado, qualidade ou condição de quem ou do que está livre de perigos, incertezas, assegurado de danos e riscos eventuais, situação em que nada há a temer.

No entanto, em segurança da informação temos que ter um pensamento um pouco diferente, pois uma equipe de segurança é formada por dois times: o Red Team e o Blue Team. Cada time tem funções e objetivos distintos, onde o Red Team tem a função de “roubar” e o Blue Team de proteger. Gosto de olhar como aquela brincadeira de criança conhecida como “polícia e ladrão”, onde um time tinha que capturar e proteger um objeto ou região ou apenas capturar os adversários enquanto a outra equipe tinha que dominar o território ou capturar o objeto protegido.

Red Team

O termo Red Team tem origem militar, onde a equipe assume o papel de planejamento, exercícios, estratégias e táticas de ataques aos adversários, visando explorar as deficiências de defesa dos inimigos. Termo bem apropriado para a equipe, pois resume basicamente as funções desempenhadas pelo time dentro da equipe de Segurança da Informação.

A equipe pode ser formada por profissionais da própria empresa ou por uma empresa contratada pela organização. Esses profissionais atuam semelhantes aos hackers black-hat, tendo como diferença importante de acessar o sistema do que as informações contidas e tudo isso sem esquecer da ética profissional. Os profissionais possuem conhecimentos em diversas áreas como: hardware, desenvolvimento, redes, pentests, entre outras e utilizam todo o conhecimento, técnica e ferramentas sofisticadas para atingir o objetivo determinado pela direção.

Como os ataques são realizados

Normalmente os membros da equipe não possuem conhecimento detalhado do alvo, o que faz com que eles façam um trabalho de reconhecimento buscando vulnerabilidades, desde a infraestrutura, sistemas operacionais, sistemas na nuvem, aplicativos mobile desenvolvidos e utilizados pela empresa, até processos internos dos funcionários, como: alguma senha anotada em um pedaço de papel guardada embaixo do teclado ou dentro da gaveta e demais brechas de segurança. Esse desconhecimento do alvo, pode aumentar as chances de descobrimento de diversas brechas de segurança e vulnerabilidade, pois fará com que o atacante pense mais “fora da caixa”.

Após esse mapeamento, a equipe prepara a estratégia de como ocorrerá o ataque, explorando os pontos fracos detectados e determinando quais técnicas e ferramentas serão utilizadas como por exemplo, engenharia social, implantação de softwares maliciosos por hardware ou trojans, entre outros, fazendo de tudo para cumprir seu objetivo. Algumas das etapas, conhecida como intrusion kill chain, de um ataque são:

  • Reconhecimento (Reconnaissance): coleta de informações sobre o alvo;
  • Armamento (Weaponization): criação de exploits para explorar as vulnerabilidades;
  • Entrega (Delivery): envio para o alvo do que foi criado na fase de armamento;
  • Exploração (Exploitation): explorar as vulnerabilidades com o exploit criado;
  • Instalação (Installation): instalar o trojan ou o backdoor (parte do exploit) criado na fase de armamento;
  • Controle de comando ou C2 (Command and Control): nesta fase o alvo já está comprometido, a comunicação com o centro de comando de ataque pode ser estabelecida e mantida;
  • Ações acerca do objetivo: esta é a última fase onde a equipe alcança o objetivo.

Assim que a operação é realizada com sucesso, saberemos a real importância do Red Team pois ele preparará um relatório com os pontos fortes e fracos da instituição, mostrando quais as vulnerabilidades, brechas de segurança e descuidos da empresa, como e quais falhas foram usadas para o cumprimento da missão. Com o relatório em mãos, a organização poderá enviá-lo à “polícia” (blue team) que tomará as medidas cabíveis para corrigir as falhas e evitar que a empresa sofra algum prejuízo, desde material, financeiro ou de sua imagem.

Blue Team

Ter um time que esteja procurando problemas na segurança é importante, porém não seria o suficiente se não houvesse quem os corrigissem, dessa forma, observamos a importância da equipe azul, pois a mesma remete ao significado da palavra segurança sendo responsável por proteger os serviços e os dados da empresa. De forma semelhante ao time vermelho, o time azul pode ser formado por funcionários da própria empresa ou contratando uma equipe externa de especialistas.

Esses profissionais precisam ter um vasto conhecimento em recursos de rede, como: switches e roteadores, além de saber configurar e implementar firewalls, IDS (Intrusion Detection System), IPS (Intrusion Prevent System), controle de acesso a serviços de redes como internet, servidor de arquivos, permissões na própria estação de trabalho, análises e monitoramento de logs.

Como funciona o processo de defesa

Um objetivo para o teste é incluir todas as tecnologias de defesa, garantindo que elas sejam verificadas no processo bem como a elaboração de um plano de contenção para conter os ataques.

Muitas vezes, quando a equipe vermelha realiza o ataque, a equipe azul não será alertada, pois sua função também é identificar quando um ataque está ocorrendo, porém quando um ataque ocorrer, a responsabilidade do Blue Team é:

  • Obter evidências sobre o ataque;
  • Utilizar essa evidência como prova que o sistema pode ter sido comprometido;
  • Criar sinais de alertas de acordo com a gravidade do ataque e ter um plano de ação para investigação;
  • Criar um plano de recuperação;
  • Executar a recuperação restaurando o que foi comprometido do sistema ou estrutura.

Já quando ocorrer um ataque real, além das etapas acima, há mais algumas responsabilidades extremamente importantes:

  • Identificação: uma etapa importante, pois identifica qualquer possível ataque contra a empresa.
  • Recuperação: esta é a etapa mais crítica pois é onde todos os serviços e danos causados precisam ser corrigidos e colocados em funcionamento novamente. Geralmente leva-se um tempo de 1 a 2 dias.
  • Lições aprendidas: nessa etapa entra em cena a equipe de investigação forense, que na nossa analogia será a polícia investigativa. Ela será responsável por recolher provas de como aconteceu a invasão, onde passará as informações para o Time Azul completar o relatório e criar alternativas para que não ocorram mais os mesmos incidentes no futuro.
  • Hardening do Sistema Operacional: essa etapa verifica o quão seguro estão todos os sistemas operacionais utilizados na corporação.
  • Perímetro de defesa: A Equipe Azul também garantirá que todos os firewalls, dispositivos de invasão de rede, roteadores, dispositivos de fluxo de tráfego, dispositivos de filtragem de pacotes e assim por diante estejam funcionando em ótimas condições.

Como podemos ver, a tarefa da equipe azul é árdua, pois além de estar sempre esperando alguma ação de um “ladrão” a qualquer momento, tem uma série de preocupações até depois do ataque, verificando e corrigindo os estragos causados pelo atacante.

 

Conclusão

Polícia e Ladrão se completam nessa “brincadeira de gente grande”, sendo que, um depende do outro para o sucesso de toda organização, como visto no artigo Red Team, após o fim do ataque, há a confecção de um relatório detalhado explicando como ocorreu o ataque, e juntamente com o relatório realizado pelo Blue Team poderá estabelecer políticas mais seguras e verificar o quão seguro está nossa empresa.

 

Referências

InfoSec Institute: https://resources.infosecinstitute.com/how-are-penetration-teams-structured/

InfoSec Institute: https://resources.infosecinstitute.com/how-red-teaming-and-blue-teaming-complement-each-other

Certificação de analista em segurança cibernética (CySA+): http://bit.ly/2Vx4OOW

InfoSec: https://www.infosec.com.br/penetration-testing-vs-red-teaming-qual-a-diferenca/

Caminhando Livre: https://caminhandolivre.wordpress.com/2016/11/12/red-team-vs-blue-team-o-que-isso-quer-dizer/

Read More
Thiago Orssato 10 de abril de 2019 0 Comentários
Precisa de ajuda?