by adminPurple Team: reforce as defesas da sua organização
Nos últimos anos, ganha espaço na indústria da Segurança da Informação a formação de Purple Teams. E esse time nada mais é que um exercício de teste de segurança cibernética. Neste caso, uma equipe de especialistas assume sozinha os papéis de de Red Team (ataque) e Blue Team (defesa). A abordagem fornece uma atividade mais forte e profunda. Isso permite uma atitude mais realista e personalizada para a organização que está sendo testada.
Ao compartilhar dados de inteligência entre os Teams Red e Blue, durante o processo de formação de equipe roxa, as organizações podem entender melhor as táticas, técnicas e procedimentos (TTPs) dos agentes de ameaças. Depois, ao imitar esses TTPs por meio de uma série de cenários de equipe vermelha, a equipe azul tem a capacidade de configurar, ajustar e melhorar sua capacidade de detecção e resposta.
Neste post você vai entender por que a Purple Team pode aumentar a segurança dos seus sistemas.
Vamos começar entendendo as duas equipes mais clássicas:
O que a Red Team?
As equipes vermelhas são formadas por profissionais de segurança ofensivos, especialistas em sistemas de ataque e invasão. Porém, elas não se restringem a fazer uma varredura externa nos sistemas e apresentar vulnerabilidades exploráveis para a equipe de segurança. Ao contrário, as Red Teams tradicionalmente se concentram em alcançar objetivos definidos, ou seja, realizam os ataques!
Eles assumem ativamente o papel de agressores, praticando técnicas de segurança ofensivas para atingir a meta ou objetivo definido. Não se espera que eles repitam todas as permutações possíveis para determinar todos os caminhos possíveis para atingir o objetivo.
Por exemplo, um objetivo pode ser determinar se um invasor externo sofisticado pode obter acesso a um sistema de banco de dados interno e exfiltrar um conjunto específico de registros confidenciais. Nesse caso, a equipe vermelha simularia um agente de ameaças externo e determinaria se eles poderiam encontrar uma série de vulnerabilidades exploráveis que fariam com que eles exfiltrassem dados confidenciais do banco de dados de destino.
O que é a Blue Team?
Espera-se que a equipe azul seja a defensora do sistema. Por isso, ela é composta por profissionais de segurança defensiva, responsáveis por manter intactas e funcionais as proteções da rede interna contra todas as ameaças virtuais. Esses profissionais precisam se defender contra todos os ataques lançados pela Blue Team. E, para ser eficaz, ela precisa ser capaz de se defender contra todos os ataques, o tempo todo.
Para isso, as Blue Teams precisam acessar dados de log, dados SIEM, dados de inteligência de ameaças e dados de captura de tráfego de rede. A equipe precisa ser capaz de analisar vastas faixas de dados e inteligência para detectar a famosa “agulha no palheiro”.
Pra que ter uma Purple Team?
As Blue Teams e as Red Teams atuam em campos opostos. Como são defesa e ataque, respectivamente, elas têm dificuldade de colaborar entre si. Trata-se de um jogo em que uma vence e a outra perde, e isso nem sempre é o melhor para a organização.
Por isso, há um crescente reconhecimento de que as Equipes Vermelhas e Azuis devem trabalhar juntas, criando assim uma Purple Team. Esta equipe não é necessariamente uma nova ‘equipe especializada’, mas sim uma combinação de membros da equipe vermelha e da equipe azul se unindo.
Para isso, a equipe vermelha deve conduzir avaliações baseadas em objetivos que imitam atores de ameaças conhecidos e quantificáveis. Como parte desse processo, as táticas, técnicas e procedimentos (TTPs) do agente da ameaça devem ser conhecidas.
Já a equipe azul deve se informar sobre esses TTPs e construir e configurar sua capacidade de detecção e resposta de acordo com essas abordagens conhecidas. Por exemplo, se um agente de ameaças é conhecido por usar spear phishing como parte de uma campanha, a equipe azul deve garantir que ela tenha a capacidade de detectar e responder a atividades de spear phishing. Não adianta confiar na tecnologia SIEM na esperança de que ela o alerte sobre uma campanha de spear phishing se os servidores de e-mail e retransmissões não estiverem configurados para registrar ou alertar sobre tipos específicos de conteúdo de e-mail, por exemplo.
Como o Purple Teaming ajuda
Está claro que o setor de testes de penetração é eficaz. As equipes vermelhas em particular podem realmente aprimorar a capacidade de detecção e resposta de uma organização.
Porém, por meio do compartilhamento de dados de inteligência, as Purple Teams dão um passo além. Com elas, é possível entender os TTPs dos agentes de ameaças. Ao imitar esses TTPs por meio de uma série de cenários de equipe vermelha, a equipe azul tem a capacidade de configurar, ajustar e melhorar sua capacidade de detecção e resposta.
Muitas vezes uma organização fica comprometida e a Blue Team não vê nada. Isso não se deve a pessoas, processos ou tecnologia pouco qualificados ou ineficazes. É apenas o caso de o agente da ameaça ter usado uma técnica que passa despercebida.
Por isso, ao entregar compromissos de equipe Purple, as organizações podem enfrentar esse desafio de frente.