Não é uma questão de se uma organização será comprometida, mas quando. Um invasor adepto, com bons recursos e experiente pode muito bem ser seu pior pesadelo de ameaças cibernéticas. Felizmente, se a sua organização envolver uma equipe vermelha, um hacker ético também pode ser seu melhor amigo.
Realizar testes de equipe vermelha é a maneira mais realista de validar suas defesas, encontrar vulnerabilidades e melhorar a postura de cibersegurança da sua organização. Um engajamento da equipe vermelha dá à sua equipe azul a chance de avaliar com mais precisão a eficácia do seu programa de segurança e fazer melhorias. É também como mais organizações trazem uma mentalidade de resiliência em primeiro lugar em sua postura de segurança cibernética.
Descubra os benefícios das equipes vermelhas, as diferenças entre as equipes vermelhas e azuis e o que é uma equipe roxa em minha postagem anterior no blog, “Equipe vermelha 101: O que é equipe vermelha? ”
Como parte do teste de segurança, as equipes vermelhas são profissionais de segurança que interpretam os "vilões" para testar as defesas da organização contra os defensores da equipe azul.
Tão habilidosas quanto os agentes de ameaças reais, as equipes vermelhas sondam uma superfície de ataque em busca de maneiras de obter acesso, se firmar, mover-se lateralmente e exfiltrar dados. Essa abordagem contrasta com a metodologia por trás do teste de penetração (ou teste aberto), em que o foco é encontrar informações confidenciais ou vulnerabilidades de segurança exploráveis e testar as defesas de segurança cibernética para obter acesso aos controles de segurança.
Ao contrário dos cibercriminosos, os Red Teamers não pretendem causar danos reais. Em vez disso, seu objetivo é expor lacunas nas defesas de cibersegurança, ajudando as equipes de segurança a aprender e ajustar seu programa antes que um ataque real aconteça.
Uma citação famosa afirma: "Na teoria, a teoria e a prática são as mesmas. Na prática, não são.” A melhor maneira de aprender a prevenir e se recuperar de ataques cibernéticos é praticar conduzindo atividades da equipe vermelha. Caso contrário, sem a prova de quais táticas de segurança estão funcionando, os recursos podem ser facilmente desperdiçados em tecnologias e programas ineficazes.
É difícil dizer o que realmente funciona, o que não funciona, onde você precisa fazer investimentos adicionais e quais investimentos não valeram a pena até que você tenha a oportunidade de se envolver com um adversário que está tentando vencê-lo.
Durante os exercícios da equipe vermelha, as organizações colocam seus controles de segurança, defesas, práticas e stakeholders internos contra um adversário dedicado que monta uma simulação de ataque. Esse é o valor real das avaliações da equipe vermelha. Eles oferecem aos líderes de segurança uma avaliação realista da cibersegurança de sua organização e insights sobre como os hackers podem explorar diferentes vulnerabilidades de segurança. Afinal, você não pode perguntar a um invasor de estado-nação o que você perdeu ou o que ele fez que funcionou muito bem, então é difícil para você receber o feedback necessário para realmente avaliar o programa.
Além disso, toda operação da equipe vermelha cria uma oportunidade de medição e melhoria. É possível ter uma visão de alto nível para saber se um investimento, como ferramentas de segurança, testadores ou treinamento de conscientização, está ajudando na mitigação de várias ameaças à segurança.
Os membros da equipe vermelha também ajudam as empresas a evoluir além de uma mentalidade de encontrar e consertar para uma mentalidade de defesa categórica. Liberar os invasores na segurança da sua rede pode ser assustador, mas os hackers já estão tentando todas as maçanetas da sua infraestrutura de segurança. Sua melhor aposta é encontrar as portas destrancadas antes delas.
Dizem que há apenas dois tipos de empresas: as que foram hackeadas e as que serão hackeadas. Infelizmente, pode não estar longe da verdade. Todas as empresas, independentemente do tamanho, podem se beneficiar da realização de uma avaliação de equipe vermelha. Mas para o engajamento de uma equipe vermelha oferecer o maior benefício, uma organização deve ter duas coisas:
O melhor momento para a sua organização contratar os serviços da equipe vermelha é quando você quiser entender as questões no nível do programa. Por exemplo, até que ponto um invasor que deseja exfiltrar dados confidenciais entraria na minha rede antes de acionar um alerta?
A equipe vermelha também é uma boa opção quando sua equipe de segurança deseja testar seu plano de resposta a incidentes ou treinar membros da equipe.
A equipe vermelha é uma das melhores maneiras de testar a segurança da sua organização e sua capacidade de resistir a um possível ataque. Então, por que mais empresas não optam por isso?
Por mais benéfico que seja o red teaming, nos ambientes atuais de ritmo acelerado e em constante mudança, os compromissos do red team podem não ser suficientes para detectar as mudanças significativas à medida que elas ocorrem. Um programa de segurança é tão eficaz quanto a última vez em que foi validado, o que leva a lacunas na visibilidade e a uma postura de risco enfraquecida.
Construir uma equipe vermelha interna é caro e poucas organizações são capazes de dedicar os recursos necessários. Para causar realmente impacto, uma equipe vermelha precisa de pessoal suficiente para imitar o nível de ameaça persistente e com bons recursos das gangues de cibercrimes modernas e das ameaças aos estados-nação. Uma equipe vermelha deve incluir membros dedicados às operações de segurança (ou subequipes de hackers éticos) para direcionamento, pesquisa e exercícios de ataque.
Existe uma variedade de fornecedores terceirizados que oferecem às organizações a opção de contratar serviços de equipe vermelha. Eles variam de grandes empresas a operadores boutique especializados em setores ou ambientes de TI específicos. Embora seja mais fácil contratar serviços de equipe vermelha do que empregar funcionários em tempo integral, isso pode ser mais caro, principalmente se você fizer isso regularmente. Como resultado, apenas um pequeno número de organizações utiliza o red teaming com frequência suficiente para receber insights reais.
O red teaming automatizado contínuo (CART) utiliza automação para descobrir ativos, priorizar descobertas e (uma vez autorizado) conduzir ataques no mundo real utilizando ferramentas e explorações desenvolvidas e mantidas por especialistas do setor.
Com foco na automação, o CART permite que você se concentre em testes interessantes e inovadores, liberando suas equipes do trabalho repetitivo e propenso a erros que leva à frustração e, por fim, ao esgotamento.
A CART oferece a você a capacidade de avaliar de forma proativa e contínua a sua postura geral de segurança por uma fração do custo. Ele torna o red teaming mais acessível e oferece visibilidade atualizada do desempenho da sua defesa.
IBM Security® A Randori oferece uma solução CART chamada IBM Security Randori Attack Targeted, que o ajuda a esclarecer seu risco cibernético testando e validando proativamente seu programa geral de segurança de forma contínua.
O estudo Total™ Economic Impact of IBM Security Randori que a IBM contratou a Forrester Consulting para realizar em 2023 encontrou 75% de economia de mão de obra com o aumento das atividades da equipe vermelha.
A funcionalidade da solução se integra perfeitamente com ou sem uma equipe vermelha interna existente. O Randori Attack Targeted também oferece informações sobre a eficácia de suas defesas, tornando a segurança avançada acessível até mesmo para organizações de médio porte.
Este post de blog faz parte da série "Tudo o que você precisa saber sobre Red Teaming" da equipe do IBM Security Randori.