Post banner | A importância de Red Team contra Ameaças Cibernéticas
    unidade-37

A importância de Red Team contra Ameaças Cibernéticas

Red Team é o processo de usar táticas, técnicas e procedimentos para simular ou emular uma ameaça do mundo real. Esse método ajuda a equipe de segurança a se preparar contra ameaças persistentes, reduzindo o impacto na organização.

Impactos de ameaças cibernéticas

Anualmente, o Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados divulga os principais incidentes de segurança que tiveram repercussão na mídia.

Em 2021, o Instituto publicou 109 incidentes, deste total, 40 (36.69%) casos resultaram em sequestro de dados via ransomware.

Já no ano de 2022, o Instituto revelou que dos 151 incidentes de segurança com repercussão na mídia, 36 casos tiveram sequestro de dados através de ransomware, ou seja, 23.84% dos incidentes de 2022 empregaram ransomware.

2021 — Incidentes de Segurança com Repercussão na mídia - https://www.ibraspd.org/incidentes2021 — Incidentes de Segurança com Repercussão na mídia - https://www.ibraspd.org/incidentes 2021 — Incidentes de Segurança com Repercussão na mídia - https://www.ibraspd.org/incidentes2021 — Incidentes de Segurança com Repercussão na mídia - https://www.ibraspd.org/incidentes 2022 — Ransomware com repercussão na mídia - https://www.ibraspd.org/incidentes2022 — Ransomware com repercussão na mídia - https://www.ibraspd.org/incidentes 2022 — Incidentes de Segurança com Repercussão na mídia - https://www.ibraspd.org/incidentes2022 — Incidentes de Segurança com Repercussão na mídia - https://www.ibraspd.org/incidentes

Identificação e mitigação de vulnerabilidades

Os dados divulgados pelo Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados pode gerar dúvida acerca do motivo pelo qual as ameaças são bem sucedidas.

É comum que muitas organizações usem auditoria e conformidade, análises de vulnerabilidade e testes de intrusão para avaliar e medir o risco de ataque cibernético. Portanto, por que se preocupar com abordagens focadas em ameaças? Será que a identificação e mitigação de vulnerabilidades não são suficientes?

Para responder, é preciso entender como um agente de ameaça pensa e age. Além disso, é importante lembrar que uma ameaça é, de fato, uma pessoa ou grupo com inteligência e determinados a causar danos. Assim, uma ameaça:

  • Não explora vulnerabilidades;
  • Não é malware;
  • Não é ataque de phishing.

Estes são apenas meios, os quais os agentes de ameaça podem escolher para atingir o objetivo final.

O agente da ameaça assume que o alvo possui um programa de segurança abrangente e um conjunto de ferramentas de segurança (firewalls, sistemas de detecção de intrusão, antivírus, EDR, etc.) implementados com a intenção de impedir ataques cibernéticos.

Um agente de ameaça experiente, provavelmente, presumirá que uma organização:

  • Implantou patches;
  • Realizou análises de vulnerabilidades para reduzir a superfície de ataque;
  • Realizou testes de intrusão para identificar vetores de ataque.

Esse entendimento pode alterar significativamente as ações tomadas por um agente de ameaça. Essas ações podem ser bem diferentes em comparação com as ações executadas por um teste de intrusão tradicional.

Um agente pode ativar um scanner de porta e enumerar uma rede inteira? Um agente de ameaça executa uma ferramenta de análise de vulnerabilidades para encontrar uma exploração? Ataques de agentes de ameaça nem sempre seguem os modelos adotados pelos testes de intrusão tradicionais, os agentes avaliam o que um alvo apresenta e utiliza pontos frágeis, que nem sempre são descobertos por testes de intrusão tradicionais.

Assim, um agente de ameaça experiente irá executar diversas etapas controladas para obter acesso a um alvo, além de estabelecer comando e controle (ou C2C), persistência e realizar enumeração situacional (ou situational awareness) para, finalmente, atingir o objetivo desejado. Nesse sentido, muita das vezes, a equipe encarregada de defender uma organização desconhece ou carece de maior entendimento acerca das medidas tomadas por agentes de ameaça.

É comum ouvir um analista de operações de segurança defensiva (ou blue team) afirmar: "Temos muitos logs e alertas para responder!" ou "Estamos apenas tentando acompanhar o volume de ingressos!". Porque as organizações registram o que registram? Conformidade? Necessidade? Recomendação do vendor?

Dessa forma, esse desconhecimento e carência de compreensão pode levar a equipe a focar em prevenção e não detecção. Ou seja, as equipes defensivas que se concentram na detecção podem se afogar em logs e alertas padrões não acionáveis ou gerados pela ferramenta. As organizações ainda estão perdendo uma peça-chave para todas as ameaças; entender suas ações e TTPs.

O que é Red Team?

Inspirados pela filosofia militar, muitas indústrias descobriram a virtude do "Red Teaming", uma capacidade defensiva, e que tem sua eficácia aumenta quando testada em condições reais de campo de batalha (ou ambiente de produção).

Red Teaming é o processo de usar táticas, técnicas e procedimentos (TTPs) para simular ou emular uma ameaça real visando treinar e medir a eficácia das pessoas, processos e tecnologias usadas para defender um ambiente.

As operações de Red Team vão preparar a sua organização contra ameaças persistentes avançadas. Para uma operação agregar valor para a sua organização, seu programa e capacidade defensiva devem ser maduros o suficiente para justificar esse nível de abordagem.

Então, como entender suas ações e TTPs? É possível resolver essa lacuna através de exercícios baseados em Red Teaming, capturando a perspectiva da ameaça.

O Red Teaming fornece um meio de desafiar e testar a capacidade de detecção e resposta da equipe de segurança. Alguns cenários de aplicação são:

  • Exercícios de mesa — Uma atividade em que indivíduos-chave passam por uma situação simulada para responder a perguntas do tipo "e se". O teste técnico real não ocorre. Discussões de resultados potenciais são exploradas e examinadas em um formato de discussão aberta;
  • Quebra de Perímetro Físico — Um ataque a um recurso físico, como uma instalação ou edifício, para testar cenários com base em caminhos de ataque envolvendo ativos físicos;
  • Ataques de Engenharia Social — Um ataque que envolve engenharia social e manipulação de pessoas para atingir os objetivos do Red Team;
  • Exercícios cibernéticos – Um exercício Red vs. Blue projetado para treinar ou avaliar a equipe e as defesas das operações de segurança. Os exercícios podem variar de um cenário de ameaça ofensiva de foco a um ciberwargames completo Red vs Blue;
  • Operação Ofensiva Cibernética em grande escala — O ataque mais realista que uma organização pode suportar. Os elementos da operação avaliam coletivamente todos os aspectos de um cenário específico.

Fonte: Red Team Development And Operations: A Practical Guide

Red Team na Unidade 37

Para organizações com programas de segurança mais maduros, nossa linha de serviços de Red Team é uma maneira abrangente de determinar a verdadeira eficácia do seu investimento em segurança.

Para mensurar a resiliência da sua organização contra-ataques direcionados realizados por Ameaças Persistentes Avançadas, a Unidade 37 é capaz de simular e emular ameaças persistentes avançadas e, como resultado, mensuramos a capacidade de detecção (compreensão do tempo médio de detecção — MTTD), a resposta da sua organização e do tempo médio de recuperação (MTTR) de violações individuais.

Além disso, realizamos atividades conjuntas por exercícios de Purple Team visando compartilhar nossa experiência com sua equipe de defesa avaliando profundamente os controles relacionados a Assume Breach.

Nossos principais serviços da linha de Red Team:

  • Simulação de Ameaças: Procura simular um ataque real, não se limitando a táticas, técnicas e procedimentos existentes, de uma APT específica ou diversas. É um trabalho que irá avaliar a capacidade defensiva visando alcançar até 4 objetivos (ou jóias da coroa) por quaisquer meios possíveis (autorizados previamente);
  • Emulação de Ameaças: Procura emular as táticas, técnicas e procedimentos de uma ameaça persistente avançada (do inglês, Advanced Persistent Threat — APT) específica. É um trabalho que irá avaliar a capacidade de detecção da organização no cenário da APT selecionada pelo cliente;
  • Exercícios de Purple Team: Visa avaliar as capacidades defensivas da organização através de exercícios conjuntos com a equipe defensiva;
  • Emulação Controlada de Ransomware: Visa avaliar os controles contra ransomware da organização através da confecção de um ransomware customizado para avaliar a eficiência dos mecanismos de defesa através de uma infecção isolada e controlada no ambiente.

A Unidade 37 foi criada para executar operações de Red Team de alto nível, nós respiramos segurança ofensiva diariamente e estamos ansiosos por novos desafios em ambientes que buscam alta maturidade de segurança cibernética!

Entre em contato com nossos especialistas para conhecer mais através do e-mail contato@unidade37.com.br, antecipe ameaças e proteja seu negócio!

Posts relacionados