Fonte: Acunetix See More
O Red Teaming é uma simulação complexa de ataques reais para avaliar a segurança cibernética dos sistemas. "Red Team" é um grupo (especialistas realizando um teste de penetração no sistema). Eles podem ser contratados de fora ou funcionários de sua organização, mas em todos os casos sua função é a mesma - imitar as ações de intrusos e tentar penetrar em seu sistema.
Junto com as "equipes vermelhas" em segurança cibernética, existem várias outras. Por exemplo, o Blue Team trabalha em conjunto com o Red Team, mas suas atividades visam melhorar a segurança da infraestrutura do sistema por dentro. A Equipe Roxa é o elo, auxiliando as outras duas equipes no desenvolvimento de estratégias de ataque e defesas. No entanto, redtiming é um dos métodos menos compreendidos de gerenciamento de segurança cibernética, e muitas organizações permanecem relutantes em adotar essa prática.
Neste artigo, explicaremos em detalhes o que está por trás do conceito de Red Teaming e como a implementação de práticas complexas de simulação de ataques reais pode ajudar a melhorar a segurança de sua organização. O objetivo deste artigo é mostrar como esse método pode aumentar significativamente a segurança de seus sistemas de informação.
Visão geral do Red Teaming
Embora em nosso tempo as equipes "vermelha" e "azul" estejam associadas principalmente ao campo da tecnologia da informação e da segurança cibernética, esses conceitos foram cunhados pelos militares. Em geral, foi no exército que ouvi falar desses conceitos pela primeira vez. Trabalhar como analista de segurança cibernética na década de 1980 era muito diferente de hoje: o acesso a sistemas de computador criptografados era muito mais restrito do que hoje.
Fora isso, minha primeira experiência com jogos de guerra — simulação, simulação e interação — foi muito semelhante ao complexo processo de simulação de ataque de hoje, que encontrou seu caminho para a segurança cibernética. Como agora, grande atenção foi dada ao uso de métodos de engenharia social para convencer os funcionários a dar ao "inimigo" acesso indevido aos sistemas militares. Portanto, embora os métodos técnicos de simulação de ataque tenham avançado significativamente desde os anos 80, vale a pena notar que muitas das principais ferramentas da abordagem adversarial, e especialmente as técnicas de engenharia social, são amplamente independentes de plataforma.
O valor central da imitação complexa de ataques reais também não mudou desde os anos 80. Ao simular um ataque em seus sistemas, fica mais fácil descobrir vulnerabilidades e entender como elas podem ser exploradas. E embora o redteaming costumava ser usado principalmente por hackers de chapéu branco e profissionais de segurança cibernética que procuravam vulnerabilidades por meio de testes de penetração, agora ele se tornou mais amplamente usado em segurança cibernética e negócios.
A chave para redtiming é entender que você não pode realmente ter uma noção da segurança de seus sistemas até que eles sejam atacados. E ao invés de correr o risco de ser atacado por atacantes reais, é muito mais seguro simular tal ataque com um comando vermelho.
Red Teaming: casos de uso
Uma maneira fácil de entender os fundamentos do redtiming é observar alguns exemplos. Aqui estão dois deles:
- Cenário 1. Imagine que um site de atendimento ao cliente foi testado com pentes e com sucesso. Parece que isso sugere que tudo está em ordem. No entanto, mais tarde, em um ataque simulado complexo, a equipe vermelha descobre que, embora o aplicativo de atendimento ao cliente em si esteja bom, o recurso de bate-papo de terceiros não consegue identificar as pessoas com precisão e isso torna possível induzir os representantes do atendimento ao cliente a alterar seu endereço de e-mail. .na conta (como resultado, uma nova pessoa, um invasor, pode obter acesso).
- Cenário 2. Como resultado do pentesting, todos os controles de VPN e acesso remoto foram considerados seguros. Porém, então o representante do “time vermelho” passa livremente pelo balcão de cadastro e pega o laptop de um dos funcionários.
Em ambos os casos acima, a "equipe vermelha" verifica não apenas a confiabilidade de cada sistema individual, mas também todo o sistema como um todo em busca de pontos fracos.
Quem precisa de simulação de ataque complexo?
Em poucas palavras, quase qualquer empresa pode se beneficiar do redtiming. Como mostrado , um número assustadoramente grande de organizações tem a falsa crença de que tem controle total sobre seus dados. Descobrimos, por exemplo, que em média 22% das pastas de uma empresa estão disponíveis para todos os funcionários e que 87% das empresas possuem mais de 1000 arquivos confidenciais desatualizados em seus sistemas.
Se a sua empresa não está no setor de tecnologia, pode não parecer que o redtiming fará muito bem a você. Mas isso não. A segurança cibernética não é apenas sobre a proteção de informações confidenciais.
Os malfeitores igualmente tentam se apossar de tecnologias independentemente da esfera de atividade da empresa. Por exemplo, eles podem tentar obter acesso à sua rede para ocultar suas ações para assumir o controle de outro sistema ou rede em outro lugar do mundo. Com esse tipo de ataque, os invasores não precisam dos seus dados. Eles querem infectar seus computadores com malware para transformar seu sistema em um grupo de botnets com a ajuda deles.
Para empresas menores, pode ser difícil encontrar recursos para resgatar. Nesse caso, faz sentido confiar esse processo a um contratado externo.
Red Teaming: Recomendações
O tempo e a frequência ideais para redtiming dependem do setor em que você trabalha e da maturidade de suas ferramentas de segurança cibernética.
Em particular, você deve ter atividades automatizadas, como exploração de ativos e análise de vulnerabilidade. Sua organização também deve combinar tecnologia automatizada com supervisão humana, realizando regularmente testes de penetração completos.
Depois de concluir vários ciclos de negócios de testes de penetração e encontrar vulnerabilidades, você pode prosseguir para uma simulação complexa de um ataque real. Nesta fase, o redtiming trará benefícios tangíveis. No entanto, tentar fazer isso antes de ter os fundamentos da cibersegurança não trará resultados tangíveis.
É provável que uma equipe de chapéu branco seja capaz de comprometer um sistema despreparado com tanta rapidez e facilidade que você obtém muito pouca informação para tomar outras medidas. Para ter um efeito real, as informações obtidas pelo "time vermelho" devem ser comparadas com testes de penetração anteriores e avaliações de vulnerabilidade.
O que é teste de penetração?
A imitação complexa de um ataque real (Red Teaming) é frequentemente confundida com , mas os dois métodos são ligeiramente diferentes. Mais precisamente, o teste de penetração é apenas um dos métodos de redtiming.
O papel de um pentester . O trabalho dos pentesters é dividido em quatro etapas principais: planejamento, descoberta de informações, ataque e geração de relatórios. Como você pode ver, os pentesters fazem mais do que apenas procurar por vulnerabilidades de software. Eles tentam se colocar no lugar dos hackers e, assim que entram no seu sistema, o verdadeiro trabalho começa.
Eles descobrem vulnerabilidades e realizam novos ataques com base nas informações recebidas, movendo-se pela hierarquia de pastas. Isso é o que distingue os testadores de penetração daqueles que são contratados apenas para encontrar vulnerabilidades, usando software de varredura de portas ou detecção de vírus. Um pentester experiente pode determinar:
- onde os hackers podem direcionar seu ataque;
- a forma como os hackers irão atacar;
- Como sua defesa se comportará?
- extensão possível da violação.
O teste de penetração se concentra na identificação de pontos fracos nos níveis de aplicativo e rede, bem como oportunidades para superar barreiras físicas de segurança. Embora o teste automatizado possa revelar alguns problemas de segurança cibernética, o teste de penetração manual também leva em consideração a vulnerabilidade de uma empresa a ataques.
Equipe vermelha vs. teste de penetração
Sem dúvida, o teste de penetração é importante, mas é apenas uma parte de toda uma série de atividades de redtiming. As atividades do "time vermelho" têm objetivos muito mais amplos do que os dos pentesters, que muitas vezes buscam simplesmente obter acesso à rede. O redteaming geralmente envolve mais pessoas, recursos e tempo, pois a equipe vermelha se aprofunda para entender completamente o verdadeiro nível de risco e vulnerabilidade na tecnologia e nos ativos humanos e físicos da organização.
Além disso, existem outras diferenças. O redtiming é normalmente usado por organizações com medidas de segurança cibernética mais maduras e avançadas (embora nem sempre seja o caso na prática).
Geralmente são empresas que já fizeram testes de penetração e corrigiram a maioria das vulnerabilidades encontradas e agora procuram alguém que possa tentar novamente acessar informações confidenciais ou quebrar a proteção de alguma forma.
É por isso que o redtiming conta com uma equipe de especialistas em segurança focados em um alvo específico. Eles visam vulnerabilidades internas e usam técnicas de engenharia social eletrônica e física nos funcionários da organização. Ao contrário dos pentesters, as equipes vermelhas levam seu tempo durante os ataques, querendo evitar a detecção como um verdadeiro cibercriminoso faria.
Benefícios do Red Teaming
Há muitas vantagens na simulação complexa de ataques reais, mas o mais importante é que essa abordagem permite obter uma visão abrangente do nível de segurança cibernética de uma organização. Um típico processo de ataque simulado de ponta a ponta incluiria teste de penetração (rede, aplicativo, telefone celular e outro dispositivo), engenharia social (ao vivo no local, telefonemas, e-mail ou mensagens de texto e bate-papo) e intrusão física ( quebrar fechaduras, detectar zonas mortas de câmeras de segurança, ignorar sistemas de alerta). Se houver vulnerabilidades em qualquer um desses aspectos do seu sistema, elas serão encontradas.
Uma vez que as vulnerabilidades são descobertas, elas podem ser corrigidas. Um procedimento eficaz de simulação de ataque não termina com a descoberta de vulnerabilidades. Depois que as falhas de segurança forem claramente identificadas, você desejará corrigi-las e testá-las novamente. Na verdade, o verdadeiro trabalho geralmente começa após uma invasão da equipe vermelha, quando você analisa o ataque forense e tenta mitigar as vulnerabilidades encontradas.
Além desses dois benefícios principais, o redtiming também oferece vários outros. Assim, o "time vermelho" pode:
- identificar riscos e vulnerabilidades a ataques nos principais ativos de informações de negócios;
- simular os métodos, táticas e procedimentos de atacantes reais em um ambiente com risco limitado e controlado;
- Avalie a capacidade da sua organização de detectar, responder e prevenir ameaças complexas e direcionadas;
- Incentive a colaboração próxima com departamentos de segurança e equipes azuis para fornecer mitigação significativa e conduzir workshops práticos abrangentes após as vulnerabilidades descobertas.
Como funciona o Red Teaming?
Uma ótima maneira de entender como o redtiming funciona é observar como ele geralmente funciona. O processo usual de simulação de ataque complexo consiste em várias etapas:
- A organização concorda com a "equipa vermelha" (interna ou externa) sobre o objetivo do ataque. Por exemplo, esse objetivo pode ser recuperar informações confidenciais de um servidor específico.
- Em seguida, o "time vermelho" realiza o reconhecimento do alvo. O resultado é um diagrama de sistemas de destino, incluindo serviços de rede, aplicativos da Web e portais internos de funcionários. .
- Depois disso, as vulnerabilidades são pesquisadas no sistema de destino, que geralmente são implementadas por meio de ataques de phishing ou XSS. .
- Depois que os tokens de acesso são obtidos, a equipe vermelha os usa para investigar outras vulnerabilidades. .
- Quando outras vulnerabilidades forem descobertas, o “time vermelho” buscará aumentar seu nível de acesso ao nível necessário para atingir a meta. .
- Ao obter acesso aos dados ou ativos do alvo, a tarefa de ataque é considerada concluída.
Na verdade, um especialista experiente em equipe vermelha usará um grande número de métodos diferentes para passar por cada uma dessas etapas. No entanto, a principal conclusão do exemplo acima é que pequenas vulnerabilidades em sistemas individuais podem se transformar em falhas catastróficas se encadeadas.
O que deve ser considerado ao se referir ao "time vermelho"?
Para aproveitar ao máximo o redtiming, você precisa se preparar com cuidado. Os sistemas e processos utilizados por cada organização são diferentes, e o nível de qualidade do redtiming é alcançado quando visa encontrar vulnerabilidades em seus sistemas. Por isso, é importante levar em consideração alguns fatores:
Sabe o que você está procurando
Antes de tudo, é importante entender quais sistemas e processos você deseja verificar. Talvez você saiba que quer testar uma aplicação web, mas não entende muito bem o que isso realmente significa e quais outros sistemas estão integrados com suas aplicações web. Portanto, é importante que você tenha um bom conhecimento de seus próprios sistemas e corrija quaisquer vulnerabilidades óbvias antes de iniciar uma simulação complexa de um ataque real.
Conheça sua rede
Isso está relacionado à recomendação anterior, mas é mais sobre as características técnicas da sua rede. Quanto melhor você puder quantificar seu ambiente de teste, mais precisa e específica será sua equipe vermelha.
Conheça seu orçamento
O redtiming pode ser executado em diferentes níveis, mas simular toda a gama de ataques em sua rede, incluindo engenharia social e intrusão física, pode ser caro. Por esse motivo, é importante entender quanto você pode gastar com esse cheque e, consequentemente, delinear seu escopo.
Conheça o seu nível de risco
Algumas organizações podem tolerar um nível razoavelmente alto de risco como parte de seus procedimentos comerciais padrão. Outros precisarão limitar seu nível de risco em uma extensão muito maior, especialmente se a empresa operar em um setor altamente regulamentado. Portanto, ao realizar o redtiming, é importante focar nos riscos que realmente representam um perigo para o seu negócio.
Red Teaming: ferramentas e táticas
Se implementado corretamente, o "time vermelho" realizará um ataque em grande escala em suas redes usando todas as ferramentas e métodos usados pelos hackers. Entre outras coisas, isso inclui:
- Teste de penetração de aplicativos - visa identificar pontos fracos no nível do aplicativo, como falsificação de solicitação entre sites, falhas de entrada de dados, gerenciamento de sessão fraco e muitos outros.
- Teste de penetração de rede - visa identificar pontos fracos no nível da rede e do sistema, incluindo configurações incorretas, vulnerabilidades de rede sem fio, serviços não autorizados e muito mais.
- Teste de penetração física — verificar a eficácia, bem como os pontos fortes e fracos dos controles de segurança física na vida real.
- Engenharia social - visa explorar as fraquezas das pessoas e da natureza humana, testando a suscetibilidade das pessoas ao engano, persuasão e manipulação por meio de e-mails de phishing, telefonemas e mensagens de texto, bem como contato físico no local.
Todos os itens acima são componentes de redtiming. É uma simulação de ataque em camadas completa desenvolvida para determinar o quão bem seus funcionários, redes, aplicativos e controles de segurança física podem resistir a um ataque de um invasor real.
Desenvolvimento contínuo dos métodos Red Teaming
A natureza da simulação complexa de ataques reais, em que equipes vermelhas tentam encontrar novas vulnerabilidades de segurança e equipes azuis tentam consertá-las, leva ao constante desenvolvimento de métodos para tais verificações. Por esse motivo, é difícil compilar uma lista atualizada de técnicas modernas de redtiming, pois elas rapidamente se tornam obsoletas.
Portanto, a maioria dos redteamers gastará pelo menos parte de seu tempo aprendendo sobre novas vulnerabilidades e explorando-as, usando os muitos recursos fornecidos pela comunidade red team. Aqui estão as mais populares dessas comunidades:
- é um serviço de assinatura que oferece cursos de vídeo on-line focados principalmente em testes de penetração, bem como cursos sobre análise forense de sistemas operacionais, tarefas de engenharia social e linguagem de montagem de segurança da informação.
- é um "operador ofensivo de segurança cibernética" que escreve regularmente em blogs sobre métodos para simulação complexa de ataques reais e é uma boa fonte de novas abordagens.
- O Twitter também é uma boa fonte se você estiver procurando informações atualizadas sobre redtiming. Você pode encontrá-lo com hashtags и .
- é outro especialista experiente em redtiming que produz um boletim informativo e , pistas e escreve muito sobre as tendências atuais do time vermelho. Entre seus artigos recentes: и .
- é um boletim informativo sobre segurança na web patrocinado pela PortSwigger Web Security. Este é um bom recurso para aprender sobre os últimos desenvolvimentos e notícias no campo de redtiming - hacks, vazamentos de dados, exploits, vulnerabilidades de aplicativos da web e novas tecnologias de segurança.
- é um hacker de chapéu branco e testador de penetração que cobre regularmente novas táticas de equipe vermelha em seu .
- Os laboratórios MWR são uma fonte boa, embora extremamente técnica, para notícias de redtiming. Eles postam úteis para times vermelhos e sua contém dicas para solucionar problemas enfrentados pelos testadores de segurança.
- - Advogado e "hacker branco". Seu feed do Twitter tem técnicas úteis para "equipes vermelhas", como escrever injeções de SQL e forjar tokens OAuth.
- (ATT & CK) é uma base de conhecimento com curadoria do comportamento do invasor. Ele rastreia as fases do ciclo de vida dos atacantes e as plataformas que eles visam.
- é um guia para hackers que, embora bastante antigo, cobre muitas das técnicas fundamentais que ainda estão no cerne da imitação complexa de ataques reais. O autor Peter Kim também tem , no qual ele oferece dicas de hackers e outras informações.
- O SANS Institute é outro importante fornecedor de materiais de treinamento em segurança cibernética. Deles Com foco em análise forense digital e resposta a incidentes, contém as últimas notícias sobre cursos SANS e conselhos de profissionais especializados.
- Algumas das notícias mais interessantes sobre redtiming são publicadas em . Existem artigos focados em tecnologia, como comparar Red Teaming com testes de penetração, bem como artigos analíticos, como The Red Team Specialist Manifesto.
- Finalmente, o Awesome Red Teaming é uma comunidade do GitHub que oferece recursos dedicados ao Red Teaming. Ele abrange praticamente todos os aspectos técnicos das atividades de um red team, desde a obtenção de acesso inicial, execução de atividades maliciosas até a coleta e extração de dados.
"Equipe azul" - o que é isso?
Com tantas equipes multicoloridas, pode ser difícil descobrir de qual tipo sua organização precisa.
Uma alternativa ao time vermelho, e mais especificamente outro tipo de time que pode ser usado em conjunto com o time vermelho, é o time azul. O Blue Team também avalia a segurança da rede e identifica possíveis vulnerabilidades de infraestrutura. No entanto, ela tem um objetivo diferente. Equipes desse tipo são necessárias para encontrar maneiras de proteger, alterar e reagrupar os mecanismos de defesa para tornar a resposta a incidentes muito mais eficaz.
Assim como o time vermelho, o time azul deve ter o mesmo conhecimento das táticas, técnicas e procedimentos do atacante para criar estratégias de resposta com base neles. No entanto, as funções da equipa azulista não se limitam apenas a defender-se de ataques. Atua também no fortalecimento de toda a infraestrutura de segurança, utilizando, por exemplo, um sistema de detecção de intrusão (IDS) que permite a análise contínua de atividades inusitadas e suspeitas.
Aqui estão algumas das etapas que o "time azul" realiza:
- auditoria de segurança, em particular auditoria de DNS;
- análise de log e memória;
- análise de pacotes de dados de rede;
- análise de dados de risco;
- análise de pegada digital;
- Engenharia reversa;
- teste DDoS;
- desenvolvimento de cenários de implementação de riscos.
Diferenças entre times vermelhos e azuis
Uma pergunta comum para muitas organizações é qual time eles devem usar, vermelho ou azul. Essa questão também costuma ser acompanhada de animosidade amigável entre pessoas que trabalham "em lados opostos das barricadas". Na realidade, nenhum comando faz sentido sem o outro. Portanto, a resposta correta a esta pergunta é que ambas as equipes são importantes.
O Time Vermelho está atacando e é usado para testar a prontidão do Time Azul para defender. Às vezes, o time vermelho pode encontrar vulnerabilidades que o time azul ignorou completamente; nesse caso, o time vermelho deve mostrar como essas vulnerabilidades podem ser corrigidas.
É vital que ambas as equipes trabalhem juntas contra os cibercriminosos para fortalecer a segurança das informações.
Por isso, não faz sentido escolher apenas um lado ou investir em apenas um tipo de equipe. É importante lembrar que o objetivo de ambas as partes é prevenir o cibercrime.
Em outras palavras, as empresas precisam estabelecer cooperação mútua de ambas as equipes para fornecer uma auditoria abrangente - com logs de todos os ataques e verificações realizadas, registros de recursos detectados.
A "equipe vermelha" fornece informações sobre as operações realizadas durante o ataque simulado, enquanto a equipe azul fornece informações sobre as ações realizadas para preencher as lacunas e corrigir as vulnerabilidades encontradas.
A importância de ambas as equipes não pode ser subestimada. Sem suas auditorias de segurança contínuas, testes de penetração e melhorias de infraestrutura, as empresas não estariam cientes do estado de sua própria segurança. Pelo menos até que os dados vazem e fique dolorosamente claro que as medidas de segurança não foram suficientes.
O que é um time roxo?
O "Time Roxo" nasceu das tentativas de unir os times vermelho e azul. O Purple Team é mais um conceito do que um tipo separado de time. É melhor visto como uma combinação de times vermelhos e azuis. Ela envolve as duas equipes, ajudando-as a trabalhar juntas.
A Purple Team pode ajudar as equipes de segurança a melhorar a detecção de vulnerabilidades, descoberta de ameaças e monitoramento de rede, modelando com precisão cenários de ameaças comuns e ajudando a criar novos métodos de detecção e prevenção de ameaças.
Algumas organizações usam uma Equipe Roxa para atividades pontuais que definem claramente metas de segurança, cronogramas e principais resultados. Isso inclui o reconhecimento de fraquezas no ataque e na defesa, bem como a identificação de requisitos futuros de treinamento e tecnologia.
Uma abordagem alternativa que agora está ganhando força é ver o Purple Team como um modelo visionário que funciona em toda a organização para ajudar a criar e melhorar continuamente uma cultura de segurança cibernética.
Conclusão
Red Teaming, ou simulação de ataque complexo, é uma técnica poderosa para testar as vulnerabilidades de segurança de uma organização, mas deve ser usada com cuidado. Em particular, para usá-lo, você precisa ter o suficiente Caso contrário, ele pode não justificar as esperanças depositadas nele.
O redtiming pode revelar vulnerabilidades em seu sistema que você nem sabia que existiam e ajudar a corrigi-las. Ao adotar uma abordagem adversária entre as equipes azul e vermelha, você pode simular o que um hacker real faria se quisesse roubar seus dados ou danificar seus ativos.
Fonte: habr.com