Segurança ofensiva, ou "OffSec", refere-se a uma variedade de estratégias de segurança proativas que usam as mesmas táticas que os agentes maliciosos usam em ataques do mundo real para fortalecer a segurança da rede em vez de prejudicá-la. Entre os métodos de segurança ofensivos comuns estão: formação de equipe vermelha, testes de penetração e avaliação de vulnerabilidade.
Operações de segurança ofensivas costumam ser realizadas por hackers éticos, profissionais de cibersegurança que usam suas habilidades de hackers para encontrar e corrigir falhas nos sistemas de TI. Os hackers éticos realizam violações simuladas com permissão, ao contrário dos cibercriminosos reais que invadem sistemas para roubar dados confidenciais ou lançar um malware. Eles não chegam a causar danos reais e usam as descobertas de seus ataques falsos para ajudar as organizações a melhorar suas defesas.
Historicamente, a segurança ofensiva também se referiu a estratégias para invasores frustrantes, como atrair atores de ameaças para diretórios finais. Esses métodos antagonísticos são menos comuns no atual cenário de segurança da informação.
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o relatório mais recente do custo das violações de dados.
Cadastre-se no X-Force Threat Intelligence Index
Para entender por que a segurança ofensiva é importante, é útil compará-la à segurança defensiva.
Medidas de segurança defensivas, como software antivírus e firewalls, são reativas por design. Essas ferramentas são criadas para bloquear ameaças conhecidas ou detectar comportamentos suspeitos. Algumas ferramentas avançadas de segurança defensiva, como plataformas SOAR, também podem automatizar as respostas a ataques contínuos.
Embora as táticas de segurança defensiva ajudem a impedir ataques cibernéticos em andamento, esses métodos criam uma grande carga de trabalho para as equipes de segurança. Os analistas devem classificar alertas e dados para separar ameaças reais de alarmes falsos. Da mesma forma, as medidas de segurança defensiva só protegem contra vetores de ataque conhecidos, deixando as organizações expostas a ameaças cibernéticas novas e desconhecidas.
A segurança ofensiva complementa a segurança defensiva. As equipes de segurança usam táticas OffSec para descobrir e responder a vetores de ataques desconhecidos que outras medidas de segurança podem perder. A segurança ofensiva também é mais proativa do que a segurança defensiva. Em vez de responder a ataques cibernéticos à medida que eles acontecem, medidas de segurança ofensivas encontram e abordam falhas antes que os invasores possam explorá-las.
Em suma, a segurança ofensiva gera informações que tornam a segurança defensiva ainda mais eficaz. Também reduz a carga das equipes de segurança. Devido a esses benefícios, a segurança ofensiva é um padrão do setor em alguns setores altamente regulamentados.
As táticas, técnicas e procedimentos (TTPs) que os profissionais de segurança ofensiva utilizam são os mesmos que os agentes de ameaças empregam. Ao usar esses TTPs, os profissionais de OffSec podem eliminar as possíveis vulnerabilidades que os hackers reais podem usar ao testar os programas de segurança existentes.
As principais táticas de segurança ofensiva incluem:
A verificação de vulnerabilidades é um processo automatizado para detectar vulnerabilidades nos ativos de TI de uma organização. Envolve o uso de uma ferramenta especializada para verificar vulnerabilidades em sistemas de computador.
Os verificadores de vulnerabilidades podem pesquisar vulnerabilidades conhecidas associadas a versões específicas de software nos ativos. Eles também podem realizar testes mais ativos, como ver como os aplicativos respondem a strings comuns de injeção SQL ou outras entradas maliciosas.
Os hackers costumam usar escaneamentos de vulnerabilidade para identificar vulnerabilidades que podem ser exploradas durante um ataque. Por sua vez, os especialistas da OffSec usam os mesmos scanners de vulnerabilidade para encontrar e fechar essas vulnerabilidades antes que os hackers possam apreendê-las. Essa abordagem proativa permite que as empresas fiquem à frente das ameaças e fortaleçam suas defesas.
O teste de penetração, ou “pen testing”, é o uso de ataques cibernéticos simulados para encontrar vulnerabilidades em sistemas de computador. Essencialmente, os testadores de penetração atuam como analistas de vulnerabilidades humanas, imitando hackers reais para procurar falhas na rede. Eles adotam a perspectiva do invasor, o que, por sua vez, lhes permite identificar com eficácia as vulnerabilidades que os agentes mal-intencionados têm maior probabilidade de atingir.
Como os especialistas em segurança humana realizam testes de penetração, eles podem detectar vulnerabilidades que ferramentas totalmente automatizadas podem ignorar e têm menos probabilidade de apresentar falsos positivos. Se eles conseguem explorar uma falha, os cibercriminosos também conseguem. E como os testes de penetração geralmente são fornecidos por serviços de segurança terceirizados, eles geralmente encontram falhas que as equipes de segurança internas podem ignorar.
O Red Teaming, também conhecido como “simulação adversarial”, é um exercício no qual um grupo de especialistas usa os TTPs de cibercriminosos do mundo real para lançar um ataque simulado contra um sistema de computador.
Ao contrário dos testes de penetração, o red teaming é uma avaliação de segurança adversária. A “equipe vermelha” explora ativamente os vetores de ataque, sem causar danos reais, para ver até onde eles podem ir. A equipe também enfrenta uma “equipe azul” de engenheiros de segurança que pretende detê-los. Isso dá à organização a chance de testar seus procedimentos práticos de resposta a incidentes.
As organizações empregam uma equipe vermelha interna ou contratam um terceiro para realizar exercícios de equipe vermelha. Para testar as defesas técnicas e a conscientização dos funcionários, as operações da equipe vermelha podem usar uma variedade de táticas. Os métodos comuns da equipe vermelha incluem ataques simulados de ransomware, phishing e outras simulações de engenharia social e até mesmo técnicas de violação no local, como tailgating.
As equipes vermelhas podem realizar diferentes tipos de testes dependendo da quantidade de informações que possuem. Em um teste de caixa branca, a equipe vermelha tem total transparência sobre a estrutura interna e o código-fonte do sistema-alvo. Em um teste de caixa preta, a equipe vermelha não tem informações sobre o sistema e deve invadir de fora, assim como os hackers do mundo real. Em um teste caixa cinza, a equipe vermelha pode ter algum conhecimento básico do sistema-alvo, como intervalos de IP para dispositivos de rede, mas não muito mais do que isso.
Experiência prática em hacking, conhecimento de linguagens de programação e familiaridade com a segurança de aplicações da web são vitais para os esforços de segurança ofensiva. Para validar sua experiência nesses domínios, os profissionais de segurança ofensiva costumam ganham certificações como Offensive Security Certified Professional (OSCP) ou Certified Ethical Hacker (CEH).
Equipes offSec também seguem metodologias de hacking ético estabelecidas, incluindo projetos de código aberto como o Open Source Security Testing Methodology Manual (OSSTMM) e o Penetration Testing Execution Standard (PTES).
Os profissionais de segurança ofensiva também são qualificados com ferramentas comuns de segurança ofensiva, incluindo:
Metasploit: uma estrutura para desenvolver e automatizar explorações em relação aos sistemas de TI. É usado principalmente para testes de caneta e avaliação de vulnerabilidade.
Kali Linux: um sistema operacional Linux projetado para testes de caneta e análise forense digital.
Burp Suite: uma ferramenta de teste de segurança de aplicativos da web que pode verificar vulnerabilidades, interceptar e modificar o tráfego da web e automatizar ataques.
Wireshark: um analisador de protocolo de rede que captura e inspeciona o tráfego de rede, ajudando a identificar problemas de segurança nas comunicações de rede.
Nmap: uma ferramenta de verificação de rede usada para descoberta de rede, verificação de porta e identificação de serviço.
Aircrack-ng: Um conjunto de ferramentas para testar a segurança da rede Wi-Fi, com a capacidade de farejar pacotes, capturar handshakes e quebrar criptografias de senha.
John the Ripper: Uma ferramenta de quebra de senhas que executa ataques de força bruta contra hashes de senhas.
sqlmap: uma ferramenta que automatiza o processo de exploração de vulnerabilidades de injeção SQL em aplicativos da web.
Os serviços de segurança ofensiva do X-Force Red podem ajudar a identificar, priorizar e corrigir falhas de segurança que abrangem todo o seu ecossistema digital e físico.
Adote um programa de gestão de vulnerabilidades que identifica, prioriza e gerencia a correção de falhas que podem expor seus ativos mais importantes.
Os exercícios de simulação de adversários, que incluem agrupamento vermelho e agrupamento roxo, podem encontrar e preencher lacunas em suas equipes de resposta a incidentes, controles e processos para ajudá-lo a minimizar os danos se ocorrer uma violação.
O teste de penetração é um ataque de segurança em estágios que os testadores usam para ajudar as equipes de segurança a descobrir vulnerabilidades críticas e melhorar a postura geral de segurança.
O gerenciamento de vulnerabilidades consiste na descoberta, priorização e resolução contínuas de vulnerabilidades de segurança nos softwares e na infraestrutura de TI de uma organização.
Hacking (também chamado de hacking cibernético) é o uso de meios não convencionais ou ilícitos para obter acesso não autorizado a um dispositivo digital, sistema de computador ou rede de computadores.