O que é equipe vermelha?

Hoje, os ataques cibernéticos estão acontecendo mais rapidamente do que nunca. De acordo com o IBM X-Force Threat Intelligence Index, o tempo que leva para executar ataques de ransomware caiu 94% nos últimos anos, passando de 68 dias em 2019 para menos de quatro dias em 2023.

As operações dos red teams oferecem às organizações uma maneira proativa de descobrir, entender e corrigir os riscos de segurança antes que os agentes das ameaças possam explorá-los. Os red teams adotam uma lente adversária, que pode ajudá-los a identificar as vulnerabilidades de segurança que os invasores reais têm maior probabilidade de explorar.

A abordagem proativa e adversária de red teaming permite que as equipes de segurança fortaleçam os sistemas de segurança e protejam os dados confidenciais, mesmo diante de ameaças cibernéticas intensas.

O trabalho de red teaming é um tipo de hacking ético no qual os especialistas em segurança emulam as táticas, técnicas e procedimentos (TTPs) de invasores reais.

Os hackers éticos têm as mesmas habilidades e usam as mesmas ferramentas que os hackers mal-intencionados, mas seu objetivo é melhorar a segurança da rede. Os membros dos red teams e outros hackers éticos seguem um código de conduta rigoroso. Eles obtêm permissão das organizações antes de hackeá-las e não causam nenhum dano real a uma rede ou a seus usuários.

Em vez disso, os red teams usam simulações de ataques para entender como os hackers mal-intencionados podem causar danos reais a um sistema. Durante um exercício de read teaming, os membros dos red teams se comportam como se fossem adversários do mundo real. Eles aproveitam várias metodologias de hacking, ferramentas de emulação de ameaças e outras táticas para imitar atacantes sofisticados e ameaças persistentes avançadas.

Esses ataques simulados ajudam a determinar até que ponto os sistemas de gerenciamento de riscos de uma organização (pessoas, processos e tecnologias) podem resistir e responder a diferentes tipos de ataques cibernéticos.

Os exercícios de red team geralmente têm prazo limitado. Um teste pode durar de algumas semanas a um mês ou mais. Cada teste normalmente começa com a pesquisa do sistema-alvo, incluindo informações públicas, inteligência de código aberto e reconhecimento ativo.

Em seguida, os red teams lançam ataques simulados contra vários pontos na superfície de ataque do sistema, explorando diferentes vetores de ataque. Os alvos comuns incluem:

• Sistemas de IA e modelos de aprendizado de máquina
• Conjuntos de dados compatíveis com aplicações de IA e ML
• Estações de trabalho e dispositivos móveis
• Sistemas criptográficos
• Sistemas de detecção e resposta de endpoint (EDR)
• Sistemas de detecção e resposta estendidas (XDR)
• Firewalls
• Sistemas de detecção de intrusões (IDSs)
• Sistemas de orquestração, automação e resposta de segurança (SOAR)
• Aplicações da web e servidores da web

Durante esses ataques simulados, os red teams muitas vezes enfrentam blue teams, que atuam como defensores do sistema. Os red teams tentam contornar as defesas dos blue teams, notando como fazem isso. Os red teams também registram quaisquer vulnerabilidades que encontrarem e o que é possível fazer com elas. 

Os exercícios de red teaming terminam com uma leitura final, onde os red teams se reúnem com as equipes de TI e segurança para compartilhar suas descobertas e fazer recomendações sobre a remediação de vulnerabilidades.

As atividades dos red teams empregam as mesmas ferramentas e técnicas usadas por invasores do mundo real para sondar as medidas de segurança de uma organização.

Algumas ferramentas e técnicas comuns de red teaming incluem:

• A engenharia social: usa táticas como phishing, smishing, vishing, spear phishing e whale phishing para obter informações confidenciais ou ter acesso a sistemas corporativos de funcionários desavisados.
  
  
• Testes de segurança física: testes dos controles de segurança física de uma organização, incluindo sistemas de vigilância e alarmes.
  
  
• Teste de penetração de aplicações: testa aplicativos da web para encontrar problemas de segurança decorrentes de erros de codificação, como vulnerabilidades de injeção de SQL.
  
  
• Sniffing de rede: monitora o tráfego da rede em busca de informações sobre um sistema de TI, como detalhes de configurações e credenciais de usuários.
  
  
• Contaminação de conteúdo compartilhado: adiciona conteúdo a uma unidade de rede ou outro local de armazenamento compartilhado que contém malware ou outro código perigoso. Quando aberto por um usuário desavisado, o código malicioso é executado, permitindo que o invasor se mova lateralmente.
  
  
• Credenciais de força bruta: tenta sistematicamente adivinhar senhas testando credenciais de violações anteriores, testando listas de senhas comumente usadas ou usando scripts automatizados.

O red teaming pode ajudar a fortalecer a postura de segurança organizacional e promover a resiliência, mas também pode representar sérios desafios para as equipes de segurança. Dois dos maiores desafios são o custo e o tempo necessário para realizar um exercício de red teams.

Em uma organização típica, os engajamentos dos red teams tendem a acontecer periodicamente, na melhor das hipóteses, o que só fornece insights sobre a segurança cibernética de uma organização em um determinado momento. O problema é que a postura de segurança da empresa pode ser forte no momento dos testes, mas pode não continuar assim.

As soluções de red teaming automatizado contínuo (CART) permitem que as organizações avaliem continuamente a postura de segurança em tempo real. As soluções CART usam automação para descobrir ativos, priorizar vulnerabilidades e conduzir ataques usando ferramentas e explorações desenvolvidas e mantidas por especialistas do setor.

Ao automatizar grande parte do processo, o CART pode tornar o red teaming mais acessível e liberar profissionais de segurança para se concentrarem em testes interessantes e inovadores.

Os exercícios de red teaming ajudam as organizações a entender a perspectiva de um invasor em seus sistemas. Essa perspectiva permite que a organização veja como suas defesas resistiriam a um ataque cibernético do mundo real.

Um ataque simulado coloca controles, soluções e até mesmo pessoal de segurança contra um adversário dedicado, mas não destrutivo, para determinar o que está, ou não, funcionando. O red teaming pode oferecer aos líderes de segurança uma avaliação realista da segurança de sua organização.

O red teaming pode ajudar uma organização a:

• Identificar e avaliar vulnerabilidades tanto na superfície de ataque (pontos onde um sistema pode ser penetrado) quanto nos caminhos de ataque (as etapas que podem ser seguidas quando um ataque começa).
  
  
• Avaliar o desempenho dos investimentos atuais em segurança, incluindo recursos de detecção, prevenção e resposta a ameaças, em relação a ameaças do mundo real.
  
  
• Identificar e se preparar para riscos de segurança desconhecidos ou inesperados.
  
  
•  Priorizar melhorias nos sistemas de segurança.

Red teams, blue teams e purple teams trabalham juntos para melhorar a segurança de TI. Os red teams realizam ataques simulados, os blue teams assumem uma função defensiva e os purple teams facilitam a colaboração entre os dois. 

Red teaming e testes de penetração—também chamados de "pen testing"—são métodos distintos, mas sobrepostos, de avaliar a segurança do sistema. 

Assim como no red teaming, os testes de penetração utilizam técnicas de hacking para identificar vulnerabilidades exploráveis em um sistema. A principal diferença é que o red teaming é mais baseado em cenários.

Os exercícios de red teams geralmente ocorrem dentro de um período de tempo específico e frequentemente colocam um red team ofensivo contra um blue team defensivo. O objetivo é emular o comportamento de um adversário do mundo real.

Os testes de penetração são semelhantes a uma avaliação de segurança tradicional. Os testadores de penetração usam diferentes técnicas de hacking contra um sistema ou ativo para ver quais funcionam e quais não.

Os testes de penetração podem ajudar as organizações a identificar potenciais vulnerabilidades exploráveis em um sistema. O red teaming pode ajudar as organizações a entender como seus sistemas (incluindo medidas de defesa e controles de segurança) se comportam no contexto de ataques cibernéticos do mundo real.

Vale a pena notar que os testes de penetração e o red teaming são apenas duas das maneiras pelas quais hackers éticos podem ajudar a melhorar a postura de segurança organizacional. Os hackers éticos também podem realizar avaliações de vulnerabilidade, análise de malware e outros serviços de segurança da informação.