Fundamentos do Red teaming: o que é isso?
Tags
Security
19 de julho de 2023

5 minutos de leitura
Autor
Evan Anderson Chief Offensive Strategist, Randori, an IBM Company

Este post de blog faz parte da série "Tudo o que você precisa saber sobre Red Teaming" da equipe do IBM Security Randori. A plataforma Randori combina gerenciamento de superfície de ataque (ASM) e red teaming automatizado contínuo (CART) para melhorar sua postura de segurança.

"Nenhum plano de batalha sobrevive ao contato com o inimigo", escreveu o teórico militar Helmuth von Moltke, que acreditava no desenvolvimento de uma série de opções de batalha em vez de um único plano. Atualmente, as equipes de cibersegurança continuam a aprender essa lição da maneira mais difícil. De acordo com um estudo da IBM Security X-Force, o tempo para executar ataques de ransomware caiu 94% nos últimos anos, e os invasores se movem mais rapidamente. O que antes levava meses para ser realizado, agora leva apenas alguns dias.

Para eliminar as vulnerabilidades e melhorar a resiliência, as organizações precisam testar suas operações de segurança antes que agentes mal-intencionados o façam. As operações de red teaming são, segundo alguns, uma das melhores maneiras de fazer isso.

 O que é equipe vermelha?

O red teaming pode ser definido como o processo de testar a eficácia da cibersegurança por meio da remoção do viés do defensor, aplicando uma lente adversária à sua organização.

O red teaming ocorre quando hackers éticos são autorizados por sua organização a emular táticas, técnicas e procedimentos (TTPs) de invasores reais contra seus próprios sistemas.

É um serviço de avaliação de risco de segurança que sua organização pode usar para identificar e corrigir proativamente as lacunas e fraquezas de segurança de TI.

Uma equipe de red teaming utiliza a metodologia de simulação de ataques. Ela simula as ações de invasores sofisticados (ou ameaças persistentes avançadas) para determinar até que ponto as pessoas, os processos e as tecnologias de sua organização poderiam resistir a um ataque que vise atingir um objetivo específico.

Avaliações de vulnerabilidade e teste de penetração são outros dois serviços de testes de segurança projetados para analisar todas as vulnerabilidades conhecidas em sua rede e testar maneiras de explorá-las. Resumindo, as avaliações de vulnerabilidade e o teste de penetração são úteis para identificar falhas técnicas, enquanto os exercícios de red teaming fornecem insights práticos sobre o estado geral de sua postura de segurança de TI.

 A importância do red teaming

Ao realizar exercícios de red teaming, sua organização pode ver como suas defesas resistiriam a um ataque cibernético do mundo real.

Como Eric McIntyre, Vice-presidente de Produto e do Centro de Operações de Hackers do IBM Security Randori, explica: "Quando tem uma atividade de red teaming, você consegue ver o ciclo de feedback de até onde um invasor chegará em sua rede antes de começar a acionar algumas de suas defesas. Ou onde os invasores encontram brechas em suas defesas e onde você pode melhorar as defesas que possui".

 Benefícios do red teaming

Uma maneira eficaz de descobrir o que está e o que não está funcionando quando se trata de controles, soluções e até mesmo pessoal é colocá-los contra um adversário dedicado.

O red teaming oferece uma maneira poderosa de avaliar o desempenho geral de cibersegurança de sua organização. Ele oferece a você e a outros líderes de segurança uma avaliação realista da segurança de sua organização. O red teaming pode ajudar sua empresa a:

  • Identificar e avaliar vulnerabilidades
  • Avaliar os investimentos em segurança
  • Testar os recursos de detecção e resposta a ameaças
  • Incentivar uma cultura de melhoria contínua
  • Preparar-se para riscos de segurança desconhecidos
  • Ficar um passo à frente dos invasores
Fortalecer suas defesas

Obter insights fáceis de entender e de alto impacto dos especialistas em segurança da IBM, oferecendo estratégias inteligentes e conhecimento inestimável para combater as ameaças cibernéticas modernas, diretamente em sua caixa de entrada.

Saiba mais sobre o IBM® Security Randori Attack Targeted
Teste de penetração versus red teaming

Red teaming e teste de penetração (muitas vezes chamados de "pen testing") são termos frequentemente usados de forma intercambiável, mas são completamente diferentes. 

O principal objetivo dos testes de penetração é identificar vulnerabilidades exploráveis e obter acesso a um sistema. Por outro lado, em um exercício de red teaming, o objetivo é acessar sistemas ou dados específicos emulando um adversário do mundo real e usando táticas e técnicas em toda a cadeia de ataque, incluindo escalada de privilégios e exfiltração.

A tabela a seguir marca outras diferenças funcionais entre o pentest e o red teaming:

Teste de penetração

Equipe vermelha

Objetivo

Identificar vulnerabilidades exploráveis e obter acesso a um sistema.

Acessar sistemas ou dados específicos emulando um adversário do mundo real.

Prazo

Curto: de um dia a algumas semanas.

Mais longo: várias semanas a mais de um mês.

Conjunto de ferramentas

Ferramentas de pentest disponíveis comercialmente.

Grande variedade de ferramentas, táticas e técnicas, incluindo ferramentas personalizadas e exploração de vulnerabilidades desconhecidas anteriormente.

Conscientização

Os defensores sabem que está ocorrendo um pen test.

Os defensores não sabem que um exercício de red teaming está em andamento.

Vulnerabilidades

Vulnerabilidades conhecidas.

Vulnerabilidades conhecidas e desconhecidas.

Definir o escopo

Os alvos de teste são restritos e predefinidos, por exemplo, se uma configuração de firewall é eficaz ou não.

Os alvos de teste podem atravessar vários domínios, como a exfiltração de dados confidenciais.

Teste

O sistema de segurança é testado de forma independente em um teste de penetração.

Sistemas direcionados simultaneamente em um exercício do red team.

Atividade pós-violação

Os profissionais de testes de penetração não se envolvem em atividades pós-violação.

Os membros do red team participam de atividades pós-violação.

Meta

Comprometer o ambiente de uma organização.

Agir como verdadeiros invasores e extrair dados para lançar novos ataques.

Resultados

Identificar vulnerabilidades exploráveis e fornecer recomendações técnicas.

Avaliar a postura geral de segurança cibernética e fornecer recomendações de melhorias.
Diferença entre red teams, blue teams e purple teams

Os red teams são profissionais de segurança ofensivos que testam a segurança de uma organização imitando as ferramentas e técnicas usadas por invasores do mundo real. O red team tenta contornar as defesas do blue team enquanto evita a detecção.

Os blue teams são equipes internas de segurança de TI que defendem uma organização contra invasores, incluindo red teams, e estão trabalhando constantemente para melhorar a cibersegurança de sua organização. Suas tarefas diárias incluem monitorar sistemas em busca de sinais de intrusão, investigação de alertas e resposta a incidentes.

Os purple teams não são realmente equipes, mas sim uma mentalidade cooperativa que existe entre os red teams e os blue teams. Embora os membros dos red teams e dos blue teams trabalhem para melhorar a segurança de sua organização, eles nem sempre compartilham seus insights uns com os outros. O papel do purple team é incentivar a comunicação e a colaboração eficientes entre as duas equipes para permitir a melhoria contínua de ambas as equipes e da cibersegurança da organização.

 Ferramentas e técnicas em atividades de red-teaming

Os red teams tentarão usar as mesmas ferramentas e técnicas empregadas por invasores do mundo real. No entanto, diferentemente dos cibercriminosos, os red teams não causam danos reais. Em vez disso, eles expõem falhas nas medidas de segurança da organização.

Algumas ferramentas e técnicas comuns de red teaming incluem:

  • Engenharia social: usa táticas como phishing, smishing e vishing para obter informações confidenciais ou ter acesso a sistemas corporativos de funcionários desavisados.
  • Teste de segurança física: testa os controles de segurança física da organização, incluindo sistemas de vigilância e alarmes.
  • Teste de penetração de aplicações: testa aplicativos da web para encontrar problemas de segurança decorrentes de erros de codificação, como vulnerabilidades de injeção de SQL.
  • Sniffing de rede: monitora o tráfego da rede em busca de informações sobre um ambiente, como detalhes de configuração e credenciais de usuário.
  • Contaminação de conteúdo compartilhado: adiciona conteúdo a uma unidade de rede ou outro local de armazenamento compartilhado que contém programas de malware ou código de exploração de vulnerabilidades. Quando aberto por um usuário desavisado, a parte maliciosa do conteúdo é executada, podendo permitir que o invasor se mova lateralmente.
  • Credenciais de força bruta: tenta sistematicamente adivinhar senhas, por exemplo, testando credenciais vazadas ou listas de senhas comumente usadas.
 O red teaming automatizado contínuo (CART) é um divisor de águas

O red teaming é um dos principais impulsionadores da resiliência, mas também pode representar sérios desafios para as equipes de segurança. Dois dos maiores desafios são o custo e o tempo necessário para realizar um exercício de red team. Isso significa que, em uma organização típica, as atividades do red team tendem a acontecer periodicamente, na melhor das hipóteses, o que fornece apenas insights sobre a segurança cibernética de sua organização em um determinado momento. O problema é que sua postura de segurança pode ser forte no momento do teste, mas pode não permanecer assim.

Realizar testes contínuos e automatizados em tempo real é a única maneira de realmente entender sua organização do ponto de vista de um invasor.

 Como o IBM Security Randori está tornando mais acessível o red teaming automatizado contínuo automatizado

OIBM Security Randori oferece uma solução CART chamada Randori Attack Targeted. Com esse software, as organizações podem avaliar continuamente sua postura de segurança como um red team interno faria. Isso permite que as empresas testem suas defesas com precisão, proatividade e, o mais importante, de forma contínua, para criar resiliência e ver o que está funcionando e o que não está.

O IBM Security Randori Attack Targeted foi projetado para funcionar com ou sem um red team interno existente. Com o apoio de alguns dos principais especialistas em segurança ofensiva do mundo, o Randori Attack Targeted oferece aos líderes de segurança uma maneira de obter visibilidade sobre o desempenho de suas defesas, permitindo que até mesmo organizações de médio porte garantam a segurança no nível corporativo.

Fique ligado em meu próximo post sobre como o red teaming pode ajudar a melhorar a postura de segurança de sua empresa.
Comece a usar o IBM Security Randori Obtenha um teste gratuito de sete dias Solicite uma demonstração em tempo real para analisar sua superfície de ataque Saiba mais sobre o IBM Security Randori Attack Targeted Inscreva-se em nosso webinar chamado 'Indo além da varredura de vulnerabilidades para fortalecer sua superfície de ataque'
Newsletters da IBM

Receba nossos boletins informativos e atualizações de tópicos que fornecem os mais recentes thought leadership e insights sobre tendências emergentes.

 Assine já Mais newsletters