Red Team vs Blue Team? O que isso quer dizer na segurança da informação?

team_blue_vs_team_red_logo

No mundo da segurança cibernética, estar um passo a frente dos possíveis atacantes à nossa infraestrutura pode ser o que definirá as nossas chances de sucesso na reação quando um ataque surgir, e para tanto muitas empresas utilizam táticas de simulação para a realização de testes quanto a capacidade de resposta a incidentes de segurança.

Um exemplo desse tipo de procedimento envolve utilizar grupos de profissionais de TI, divididos em times, e que objetivam atacar ou defender a infraestrutura das empresas envolvidas para tentar evidenciar pontos fracos e fortes de suas soluções de proteção de dados.

Nesse tipo de verificação, a equipe responsável pelo ataque deve valer-se de sua expertise para tentar atingir um objetivo definido pela alta direção, realizando sofisticados testes de penetração e buscando pontos de falha nos processos, pessoas e tecnologias que compõem as defesas atualmente em uso na empresa para o cumprimento da missão. Essa equipe é apelidada de Red Team.

Neste cenário, o Red Team agiria como uma ameaça externa, que buscaria localizar quaisquer vulnerabilidades possíveis de serem exploradas, objetivando, por exemplo, extrair dados da localidade pré-determinada pela alta direção. Idealmente este time deve ser composto por profissionais que não tenham contribuído, ou contribuam, para a estratégia de defesa atualmente aplicada na empresa, pois isto poderia gerar um conflito de interesses a partir da atitude de não querer buscar realmente, ou mesmo expôr, as fraquezas disponíveis na infraestrutura da corporação, e que não foram cobertas pelas defesas que ajudaram a implantar.

O foco em realmente “quebrar” a segurança implantada deve dirigir a vontade do Red Team na busca por brechas de segurança, o que pode envolver as mais diversas táticas, desde a utilização de ataques spear phishing até mesmo a simples pendrives infectados e deixados nos arredores da empresa.

Em contrapartida, a equipe responsável por defender essa infraestrutura, apelidada de Blue Team, deve buscar identificar através de logs, monitoramento de ativos, tráfego de dados, comportamento anômalo, entre outros recursos, os possíveis vetores de acesso que o time ofensivo utilizará para tentar obter êxito na invasão, buscando frustrar os planos de de acesso e extração de dados. Esse time é geralmente formado pela equipe de resposta e tratamento de incidentes apoiada pelo centro de operações de segurança.

O desenvolvomento deste tipo de atividade permite a realização de testes controlados de invasão, bem como da efetividade dos procedimentos utilizados, e do treinamento das equipes para a proteção do ambiente corporativo, pois através dos relatórios de ação e reação, de cada uma das equipes, é possível identificar pontos fortes e fracos na estratégia de defesa, permitindo a antecipação do que poderia vir a ser uma exploração real de vulnerabilidades na infraestrutura, além dos ajustes necessários para uma proteção mais eficiente.

É recomendável, sempre que possível, a realização periódica destes tipos de testes, bem como a revisão dos procedimentos previstos para os casos de incidentes de segurança, a atualização de conhecimento das equipes sobre os diversos tipos de ataques, além  do constante treinamento e aperfeiçoamento de técnicas e ferramentas disponíveis, buscando sempre a elevação dos níveis de segurança no ambiente corporativo.

Zentyal Server 5.0 previsto para este mês.

A equipe de desenvolvimento da distribuição Zentyal anunciou no mês passado o roadmap para a versão 5.0, e esta deve ser liberada ainda em novembro, provavelmente até o dia 29.

Esta será uma mudança significativa de versão, sendo baseada na distribuição Ubuntu Linux 16.04 LTS, com foco primário na integração aprimorada do Samba 4, com objetivo de oferecer um servidor Linux fácil de usar, possuindo compatibilidade nativa com o Active Directory da Microsoft.

Devido a alta velocidade no desenvolvimento do Samba, a partir desta versão o Zentyal Server trará a versão estável mais recente de seus pacotes, disponíveis para Ubuntu/Debian. Isso permitirá uma rápida adoção de novas funcionalidades, correções e atualizações do Samba 4 na Zentyal Server.

Complementando, a versão 5.0 da Zentyal trará um módulo Proxy HTTP, além de importantes melhorias no núcleo da distribuição para torná-la compatível com o Ubuntu 16.04, como por exemplo o Systemd no lugar do Upstart para o gerenciamento de daemons.

Devido a problemas encontrados recentemente no OpenChange, que oferece sincronização nativa com o Microsoft Outlook via protocolo MAPI, essa funcionalidade foi descartada até que esses problemas sejam corrigidos e o módulo tenha sido estabilizado. Neste meio tempo, a Zentyal pode ser disponibilizada como um servidor de correio eletrônico IMAP-POP3.

Slackware Linux – Atualizações de segurança. Outubro, 2016.

Slackware logo

Olá! Ontem o time de desenvolvimento da Slackware Linux liberou atualizações de segurança importantes, incluindo a que disponibiliza um novo kernel, agora em versão 4.4.29, eliminando de vez a possibilidade de exploração da vulnerabilidade divulgada recentemente, e nomeada como Dirty Cow, portanto se você não fez a atualização manual do kernel, agora já dispõe dos pacotes oficiais oferecidos pela equipe de desenvolvedores da distribuição. Além da atualização do kernel Linux, outras correções importantes estão disponíveis: PHP 5.6.27, MariaDB 10.0.28 e bibliotecas libX.

É recomendável que faça a atualização de todas os sistemas sob sua administração o quanto antes, evitando possíveis explorações às falhas relatadas, além da programação de parada para a devida reinicialização dos mesmos, possibilitando que estes passem a utilizar o novo kernel.