O que é equipe vermelha?

Autores

Evan Anderson

Chief Offensive Strategist — Randori

an IBM Company

Jim Holdsworth

Staff Writer

IBM Think

Matthew Kosinski

Staff Editor

IBM Think

O que é red teaming?

Red teaming é um processo para testar a eficácia da cibersegurança, onde hackers éticos conduzem um ataque cibernético simulado e não destrutivo. O ataque simulado ajuda uma organização a identificar vulnerabilidades em seu sistema e fazer melhorias direcionadas às operações de segurança.

Hoje, os ataques cibernéticos estão acontecendo mais rapidamente do que nunca. De acordo com o IBM X-Force Threat Intelligence Index, o tempo que leva para executar ataques de ransomware caiu 94% nos últimos anos, passando de 68 dias em 2019 para menos de quatro dias em 2023.

As operações dos red teams oferecem às organizações uma maneira proativa de descobrir, entender e corrigir os riscos de segurança antes que os agentes das ameaças possam explorá-los. Os red teams adotam uma lente adversária, que pode ajudá-los a identificar as vulnerabilidades de segurança que os invasores reais têm maior probabilidade de explorar.

A abordagem proativa e adversária de red teaming permite que as equipes de segurança fortaleçam os sistemas de segurança e protejam os dados confidenciais, mesmo diante de ameaças cibernéticas intensas.

Boletim informativo Think

Sua equipe apanharia o próximo dia zero a tempo?

Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.

Sua assinatura será entregue em inglês. Você pode encontrar um link para cancelar a assinatura em todos os boletins informativos. Você pode gerenciar suas assinaturas ou cancelar a assinatura aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.

https://www.ibm.com/br-pt/privacy

Como os testes de red teaming são conduzidos?

O trabalho de red teaming é um tipo de hacking ético no qual os especialistas em segurança emulam as táticas, técnicas e procedimentos (TTPs) de invasores reais.

Os hackers éticos têm as mesmas habilidades e usam as mesmas ferramentas que os hackers mal-intencionados, mas seu objetivo é melhorar a segurança da rede. Os membros dos red teams e outros hackers éticos seguem um código de conduta rigoroso. Eles obtêm permissão das organizações antes de hackeá-las e não causam nenhum dano real a uma rede ou a seus usuários.

Em vez disso, os red teams usam simulações de ataques para entender como os hackers mal-intencionados podem causar danos reais a um sistema. Durante um exercício de read teaming, os membros dos red teams se comportam como se fossem adversários do mundo real. Eles aproveitam várias metodologias de hacking, ferramentas de emulação de ameaças e outras táticas para imitar atacantes sofisticados e ameaças persistentes avançadas.

Esses ataques simulados ajudam a determinar até que ponto os sistemas de gerenciamento de riscos de uma organização (pessoas, processos e tecnologias) podem resistir e responder a diferentes tipos de ataques cibernéticos.

Os exercícios de red team geralmente têm prazo limitado. Um teste pode durar de algumas semanas a um mês ou mais. Cada teste normalmente começa com a pesquisa do sistema-alvo, incluindo informações públicas, inteligência de código aberto e reconhecimento ativo.

Em seguida, os red teams lançam ataques simulados contra vários pontos na superfície de ataque do sistema, explorando diferentes vetores de ataque. Os alvos comuns incluem:

Durante esses ataques simulados, os red teams muitas vezes enfrentam blue teams, que atuam como defensores do sistema. Os red teams tentam contornar as defesas dos blue teams, notando como fazem isso. Os red teams também registram quaisquer vulnerabilidades que encontrarem e o que é possível fazer com elas. 

Os exercícios de red teaming terminam com uma leitura final, onde os red teams se reúnem com as equipes de TI e segurança para compartilhar suas descobertas e fazer recomendações sobre a remediação de vulnerabilidades.

Ferramentas e técnicas em engajamentos de red teaming

As atividades dos red teams empregam as mesmas ferramentas e técnicas usadas por invasores do mundo real para sondar as medidas de segurança de uma organização.

Algumas ferramentas e técnicas comuns de red teaming incluem:

  • A engenharia socialusa táticas como phishing, smishing, vishing, spear phishingwhale phishing para obter informações confidenciais ou ter acesso a sistemas corporativos de funcionários desavisados.

  • Testes de segurança física: testes dos controles de segurança física de uma organização, incluindo sistemas de vigilância e alarmes.

  • Teste de penetração de aplicações: testa aplicativos da web para encontrar problemas de segurança decorrentes de erros de codificação, como vulnerabilidades de injeção de SQL.

  • Sniffing de rede: monitora o tráfego da rede em busca de informações sobre um sistema de TI, como detalhes de configurações e credenciais de usuários.

  • Contaminação de conteúdo compartilhado: adiciona conteúdo a uma unidade de rede ou outro local de armazenamento compartilhado que contém malware ou outro código perigoso. Quando aberto por um usuário desavisado, o código malicioso é executado, permitindo que o invasor se mova lateralmente.

  • Credenciais de força bruta: tenta sistematicamente adivinhar senhas testando credenciais de violações anteriores, testando listas de senhas comumente usadas ou usando scripts automatizados.

Red teaming automatizado contínuo (CART) 

O red teaming pode ajudar a fortalecer a postura de segurança organizacional e promover a resiliência, mas também pode representar sérios desafios para as equipes de segurança. Dois dos maiores desafios são o custo e o tempo necessário para realizar um exercício de red teams.

Em uma organização típica, os engajamentos dos red teams tendem a acontecer periodicamente, na melhor das hipóteses, o que só fornece insights sobre a segurança cibernética de uma organização em um determinado momento. O problema é que a postura de segurança da empresa pode ser forte no momento dos testes, mas pode não continuar assim.

As soluções de red teaming automatizado contínuo (CART) permitem que as organizações avaliem continuamente a postura de segurança em tempo real. As soluções CART usam automação para descobrir ativos, priorizar vulnerabilidades e conduzir ataques usando ferramentas e explorações desenvolvidas e mantidas por especialistas do setor.

Ao automatizar grande parte do processo, o CART pode tornar o red teaming mais acessível e liberar profissionais de segurança para se concentrarem em testes interessantes e inovadores.

Benefícios da red teaming

Os exercícios de red teaming ajudam as organizações a entender a perspectiva de um invasor em seus sistemas. Essa perspectiva permite que a organização veja como suas defesas resistiriam a um ataque cibernético do mundo real.

Um ataque simulado coloca controles, soluções e até mesmo pessoal de segurança contra um adversário dedicado, mas não destrutivo, para determinar o que está, ou não, funcionando. O red teaming pode oferecer aos líderes de segurança uma avaliação realista da segurança de sua organização.

O red teaming pode ajudar uma organização a:

  • Identificar e avaliar vulnerabilidades tanto na superfície de ataque (pontos onde um sistema pode ser penetrado) quanto nos caminhos de ataque (as etapas que podem ser seguidas quando um ataque começa).

  • Avaliar o desempenho dos investimentos atuais em segurança, incluindo recursos de detecção, prevenção e resposta a ameaças, em relação a ameaças do mundo real.

  • Identificar e se preparar para riscos de segurança desconhecidos ou inesperados.

  •  Priorizar melhorias nos sistemas de segurança.

Red teams versus blue teams versus purple teams

Red teams, blue teams e purple teams trabalham juntos para melhorar a segurança de TI. Os red teams realizam ataques simulados, os blue teams assumem uma função defensiva e os purple teams facilitam a colaboração entre os dois. 

Equipes vermelhas

Os red teams são compostos por profissionais de segurança que testam a segurança de uma organização imitando as ferramentas e técnicas usadas por invasores do mundo real.

Os red teams tentam contornar as defesas dos blue teams enquanto evita a detecção. O objetivo das equipes é entender como uma violação de dados ou outra ação maliciosa pode ter sucesso em um determinado sistema.
Blue teams

Blue teams são as equipes internas de segurança de TI que defendem o sistema e os dados confidenciais de uma organização contra invasores, incluindo red teams.

Os blue teams estão trabalhando constantemente para melhorar a cibersegurança de sua organização. Suas tarefas diárias incluem o monitoramento de sistemas em busca de sinais de intrusão, a investigação de alertas e a realização de respostas a incidentes.
Purple teams

Os purple teams não são equipes separadas, mas sim um processo de compartilhamento cooperativo que existe entre os red teams e os blue teams.

Tanto os membros dos red teams quanto os dos blue teams trabalham para melhorar a segurança da organização. A função dos purple teams é incentivar a comunicação e a colaboração eficientes entre as duas equipes e com os stakeholders.

Os purple teams frequentemente propõem estratégias de mitigação e ajudam a habilitar a melhoria contínua de ambas as equipes e da cibersegurança da organização.

Testes de penetração versus red teaming

Red teaming e testes de penetração—também chamados de "pen testing"—são métodos distintos, mas sobrepostos, de avaliar a segurança do sistema. 

Assim como no red teaming, os testes de penetração utilizam técnicas de hacking para identificar vulnerabilidades exploráveis em um sistema. A principal diferença é que o red teaming é mais baseado em cenários.

Os exercícios de red teams geralmente ocorrem dentro de um período de tempo específico e frequentemente colocam um red team ofensivo contra um blue team defensivo. O objetivo é emular o comportamento de um adversário do mundo real.

Os testes de penetração são semelhantes a uma avaliação de segurança tradicional. Os testadores de penetração usam diferentes técnicas de hacking contra um sistema ou ativo para ver quais funcionam e quais não.

Os testes de penetração podem ajudar as organizações a identificar potenciais vulnerabilidades exploráveis em um sistema. O red teaming pode ajudar as organizações a entender como seus sistemas (incluindo medidas de defesa e controles de segurança) se comportam no contexto de ataques cibernéticos do mundo real.

Vale a pena notar que os testes de penetração e o red teaming são apenas duas das maneiras pelas quais hackers éticos podem ajudar a melhorar a postura de segurança organizacional. Os hackers éticos também podem realizar avaliações de vulnerabilidade, análise de malware e outros serviços de segurança da informação.
Soluções relacionadas
IBM X-Force

A equipe centrada em ameaças do IBM® X-Force, composta por hackers, profissionais de resposta a incidentes, pesquisadores e analistas, ajuda a proteger sua organização contra ameaças globais.

         Explore o IBM X-Force
    Soluções de detecção e resposta a ameaças

    As soluções de detecção e resposta a ameaças da IBM fortalecem sua segurança e aceleram a detecção de ameaças.

             Explore as soluções de detecção de ameaças
      Serviços de segurança ofensiva X-Force Red

      A IBM X-Force Red usa táticas ofensivas de segurança para descobrir ameaças e ajudar as organizações a corrigirem as vulnerabilidades.

             Explore serviços de segurança ofensivos
      Dê o próximo passo

      Descubra como o IBM X-Force Red usa táticas de segurança ofensiva para descobrir ameaças e ajudar as organizações a corrigirem vulnerabilidades.

             Explore serviços de segurança ofensivos Agende uma sessão de descoberta com o X-Force