Red Team vs Blue Team? O que isso quer dizer na segurança da informação?

team_blue_vs_team_red_logo

No mundo da segurança cibernética, estar um passo a frente dos possíveis atacantes à nossa infraestrutura pode ser o que definirá as nossas chances de sucesso na reação quando um ataque surgir, e para tanto muitas empresas utilizam táticas de simulação para a realização de testes quanto a capacidade de resposta a incidentes de segurança.

Um exemplo desse tipo de procedimento envolve utilizar grupos de profissionais de TI, divididos em times, e que objetivam atacar ou defender a infraestrutura das empresas envolvidas para tentar evidenciar pontos fracos e fortes de suas soluções de proteção de dados.

Nesse tipo de verificação, a equipe responsável pelo ataque deve valer-se de sua expertise para tentar atingir um objetivo definido pela alta direção, realizando sofisticados testes de penetração e buscando pontos de falha nos processos, pessoas e tecnologias que compõem as defesas atualmente em uso na empresa para o cumprimento da missão. Essa equipe é apelidada de Red Team.

Neste cenário, o Red Team agiria como uma ameaça externa, que buscaria localizar quaisquer vulnerabilidades possíveis de serem exploradas, objetivando, por exemplo, extrair dados da localidade predeterminada pela alta direção. Idealmente este time deve ser composto por profissionais que não tenham contribuído, ou contribuam, para a estratégia de defesa atualmente aplicada na empresa, pois isto poderia gerar um conflito de interesses a partir da atitude de não querer buscar realmente, ou mesmo expor, as fraquezas disponíveis na infraestrutura da corporação, e que não foram cobertas pelas defesas que ajudaram a implantar.

O foco em realmente “quebrar” a segurança implantada deve dirigir a vontade do Red Team na busca por brechas de segurança, o que pode envolver as mais diversas táticas, desde a utilização de ataques spear phishing até mesmo a simples pendrives infectados e deixados nos arredores da empresa.

Em contrapartida, a equipe responsável por defender essa infraestrutura, apelidada de Blue Team, deve buscar identificar através de logs, monitoramento de ativos, tráfego de dados, comportamento anômalo, entre outros recursos, os possíveis vetores de acesso que o time ofensivo utilizará para tentar obter êxito na invasão, buscando frustrar os planos de de acesso e extração de dados. Esse time é geralmente formado pela equipe de resposta e tratamento de incidentes apoiada pelo centro de operações de segurança.

O desenvolvimento deste tipo de atividade permite a realização de testes controlados de invasão, bem como da efetividade dos procedimentos utilizados, e do treinamento das equipes para a proteção do ambiente corporativo, pois através dos relatórios de ação e reação, de cada uma das equipes, é possível identificar pontos fortes e fracos na estratégia de defesa, permitindo a antecipação do que poderia vir a ser uma exploração real de vulnerabilidades na infraestrutura, além dos ajustes necessários para uma proteção mais eficiente.

É recomendável, sempre que possível, a realização periódica destes tipos de testes, bem como a revisão dos procedimentos previstos para os casos de incidentes de segurança, a atualização de conhecimento das equipes sobre os diversos tipos de ataques, além  do constante treinamento e aperfeiçoamento de técnicas e ferramentas disponíveis, buscando sempre a elevação dos níveis de segurança no ambiente corporativo.

Anúncios

Invasão a servidor pode render primeiro emprego? Para Jack Dorsey rendeu!

Nem sempre uma invasão a um servidor causa uma punição, em alguns casos pode render o primeiro emprego. Sim é isso mesmo que você leu! Pelo menos foi o que aconteceu com Jack Dorsey, empresário do setor de tecnologia da informação, mais conhecido por ser um dos criadores do Twitter.

Ele confessou durante a Conferência Techonomy Detroit que cresceu amando cidades e mapas, e isso se traduziu em um fascínio por softwares de rotas de expedição. Durante a faculdade ele quis conseguir um emprego na indústria de expedições, e procurou por uma dessas empresas com sede em New York, porém não havia informações sobre como contactar alguém que pudesse ajudá-lo no website da empresa.

“Então eu achei uma brecha no servidor de Internet deles e encontrei os e-mails corporativos deles. Enviei um e-mail para o Presidente da empresa, disse a ele que havia uma brecha de segurança e também como corrigi-la”

Na semana seguinte Dorsey estava em um avião. Ele conseguiu o emprego.

Nem sempre esse tipo de atitude termina tão tranquila assim mas, da forma que foi feita, essa invasão serviu para mostrar não só a falha de segurança no servidor da empresa, mas também demonstrou deficiência na forma como a companhia estava se relacionando com o resto do mundo. Talvez se houvesse uma divisão de relacionamento, ou de recrutamento, com um e-mail disponível para contato, essa falha não fosse descoberta por alguém bem intencionado como Dorsey, e provavelmente isso deve ter sido levado em consideração para a contratação dele.

De qualquer forma, embora tenha funcionado para ele, recomendo que procurem as vias normais para tentar uma colocação no mercado.  🙂

A base  para a escrita deste artigo foi encontrada, em inglês, no site Venture Beat.

Força Aérea americana investe no controle de “todo e qualquer” computador existente

Na segunda-feira, o Laboratório de Pesquisas da Força Aérea Americana iniciou um esforço de dois anos e US$ 11 milhões ( onze milhões de dólares americanos ) para colocar juntas ferramentas de software e hardware para “Engajamento de Ofensivas Cyber Dominantes”. “O interesse é toda e qualquer técnica que habilite acesso em nível de usuário e/ou administrador”, um requerimento para notas propositais, “que ao mesmo tempo corrija computadores pessoais ou plataformas de computação móveis… todo e qualquer sistema operacional, níveis de correção ( patch levels ), aplicações e hardware”. Isso não é simplesmente algum tipo de estudo computacional científico como você pode estar imaginando; “é esperado que o esforço de pesquisa sob este programa resulte em capacidades funcionais completas”. Eles desejam reunir ferramentas que permitam acesso e controle completo de todo e qualquer computador existente.

Mas no final, a Força Aérea quer ver todos os tipos de “técnicas e tecnologias” para “ludibriar, negar, interromper, degradar, ou destruir” sistemas hostís. E “em adição a essas concepções principais”, o Laboratório de Pesquisa gostaria de ver estudos no “Desenvolvimento de Tecnologia de Defesa Proativa Botnet”, a “reinvenção da pilha do protocólo de rede” e novas antenas, baseadas em nanotubos de carbono.

Mais informações no site Wired Blog Network.