Red Team vs Blue Team? O que isso quer dizer na segurança da informação?

team_blue_vs_team_red_logo

No mundo da segurança cibernética, estar um passo a frente dos possíveis atacantes à nossa infraestrutura pode ser o que definirá as nossas chances de sucesso na reação quando um ataque surgir, e para tanto muitas empresas utilizam táticas de simulação para a realização de testes quanto a capacidade de resposta a incidentes de segurança.

Um exemplo desse tipo de procedimento envolve utilizar grupos de profissionais de TI, divididos em times, e que objetivam atacar ou defender a infraestrutura das empresas envolvidas para tentar evidenciar pontos fracos e fortes de suas soluções de proteção de dados.

Nesse tipo de verificação, a equipe responsável pelo ataque deve valer-se de sua expertise para tentar atingir um objetivo definido pela alta direção, realizando sofisticados testes de penetração e buscando pontos de falha nos processos, pessoas e tecnologias que compõem as defesas atualmente em uso na empresa para o cumprimento da missão. Essa equipe é apelidada de Red Team.

Neste cenário, o Red Team agiria como uma ameaça externa, que buscaria localizar quaisquer vulnerabilidades possíveis de serem exploradas, objetivando, por exemplo, extrair dados da localidade predeterminada pela alta direção. Idealmente este time deve ser composto por profissionais que não tenham contribuído para a estratégia de defesa atualmente aplicada na empresa, pois isto poderia gerar um conflito de interesses em relação aos testes, a partir da atitude de não querer buscar realmente, ou mesmo expor, as fraquezas disponíveis na infraestrutura da corporação, e que não tenham sido cobertas pelas defesas que ajudaram a implantar.

O foco em realmente “quebrar” a segurança implantada deve dirigir a vontade do Red Team na busca por brechas de segurança, o que pode envolver as mais diversas táticas, desde a utilização de ataques spear phishing, ou até mesmo a simples tática da utilização de pendrives infectados, deixados nos arredores da empresa.

Em contrapartida, a equipe responsável por defender essa infraestrutura, apelidada de Blue Team, deve buscar identificar através de logs, monitoramento de ativos, tráfego de dados, comportamento anômalo, entre outros recursos, os possíveis vetores de acesso que o time ofensivo utilizará para tentar obter êxito na invasão, e buscando frustrar estes planos de acesso. Esse time é geralmente formado pela equipe de resposta e tratamento de incidentes de empresa avaliada, apoiada pelo centro de operações de segurança.

O desenvolvimento deste tipo de atividade permite a realização de testes controlados de invasão, bem como a efetividade dos procedimentos de segurança adotados e do treinamento da equipe de resposta a incidentes na proteção do ambiente corporativo pois, através dos relatórios de ação e reação de cada uma das equipes, é possível identificar pontos fortes e fracos na infraestrutura e estratégia de defesa, permitindo a antecipação do que poderia vir a ser uma exploração real de vulnerabilidades, além dos ajustes necessários para uma proteção ou treinamento mais eficiente.

É recomendável a realização periódica deste tipo de teste, bem como a revisão dos procedimentos previstos para os casos de incidentes de segurança, a atualização constante do conhecimento das equipes sobre os diversos tipos de ataques, além de treinamento e aperfeiçoamento na utilização de técnicas e ferramentas de defesa disponíveis, buscando sempre a elevação dos níveis de segurança no ambiente corporativo.

Anúncios

BackBox Linux 4.1 lançada! Janeiro, 2015.

backbox.sh-600x600

Raffaele Forte anunciou o lançamento da BackBox Linux 4.1, uma distribuição baseada na Ubuntu Linux 14.04.1 LTS, desenhada especificamente para a realização de testes de penetração e análise forense em sistemas computacionais.

Esta nova versão disponibiliza aos usuários a versão 3.13 do kernel Linux, modo de compatibilidade EFI, modo anônimo, instalador com suporte a encriptação e o LVM, que é um sistema de gerenciamento de arquivos que permite a criação de volumes dinâmicos, vários aditivos para a privacidade, entre outras modificações.

Também encontramos correções para falhas de segurança, melhorias de performance, funcionalidades como o apagamento da memória RAM durante a reinicialização ou desligamentos, e outras melhorias.

Para uma lista mais ampla com as modificações implementadas nesta versão, consulte o anúncio oficial, disponível no blog da página do projeto.

Kali Linux 1.0.4 lançada! Julho, 2013.

Kali Linux

Como tradicionalmente acontece, foi liberada uma nova atualização da distribuição Kali Linux no período que antecede as conferências Black Hat e DEF CON, provendo aos usuários vários incrementos, mudanças e melhorias realizados em sua estrutura. Entre as ferramentas adicionadas para testes de penetração, podemos encontrar: Winexe, Pass the Hash Toolkit, enum4linux, RegRipper, rfcat, Unicornscan, jSQL, JD-GUI, Ubertooth, Ghost Phisher, Uniscan, Arachni e Bully.

Entre os aplicativos que foram atualizados podemos destacar: OpenVAS, Volatility, Durandal’s Backdoor, Maltego, OWASP ZAP, Armitage, DNSrecon, Vega, WPScan, entre outros.

Outra novidade é que a equipe de desenvolvimento vai atender às solicitações da comunidade, e deve apresentar uma versão compatível com arquiteturas ARM em breve, já que receberam de seu colaborador, o Offensive Security, imagens destas arquiteturas para o desenvolvimento da versão do Kali Linux compatível com elas, podendo citar algumas como a BeagleBone Black, CuBox e Efika MX.

Como sempre, caso você já tenha a Kali Linux instalada em seu dispositivo, não há necessidade de que você realize o download desta nova versão, bastando que execute o comando apt-get update && apt-get dist-upgrade na linha de comando para que disponha da versão mais atual.

Para conferir o anúncio oficial de lançamento, basta acessar este link.