RedTeam vs BlueTeam; A melhor forma de testar sua resiliência.

Estamos vivendo um mundo de grandes conquistas tecnologias e que nos proporcionou realizar todas as vontades e sonhos de negócios.

Com esse grande acervo de aplicativos e aplicações, existe a necessidade de determinar o quanto você é seguro em relação a segurança da informação da sua corporação não somente com Scan de Vulnerabilidades de aplicação e infraestrutura. É necessário criar um processo de mensurar, como completo, as fraquezas e saber trabalhar as correções de forma dinâmica. Para isso uma forma de determinar a sua resiliência é a contratação de times especializados, capaz de criar exemplos de ataques controlados deforma a expressar o quanto você consegue resistir, é o chamado BlueTeam vs RedTeam (Time azul: Proteção - Time vermelho: Ataque).

O Time vermelho, tem como objetivo promover um ataque controlado no ambiente contendo todas as características contratadas, o foco é “quebrar” o processo de segurança estabelecido e na busca por brechas de segurança, e pode envolver as mais diversas táticas, desde a utilização de ataques spear phishing até mesmo a simples pendrives com softwares infectados. Outras táticas que podem ser utilizado são:

• DOS ; Negação de Serviço (Inundação).
• DDOS ; Negação de Serviço Distribuído (Inundação).
• Hacking ; Identificação e Exploração de Vulnerabilidade.

1. Defacement ; Pixação do serviço de FrontEnd.
2. Leak ; Vazamento de Informação ou Captura de Informação (FLAG).

O Time azul, tem como objetivo de proteger a corporação, criando barreiras como politicas de acesso mais restritivas e aumentando o tempo para poder mitigar o ataque como completo. Esse time, normalmente, é composto pela equipe de Operação de Segurança e/ou Resposta a Incidentes da empresa e com isso, é necessário:

• Monitoramento de Ativos.
• Analise de Logs.
• Correlacionador de Eventos.
• Monitoramento de Comportamento Anômalo.

Existe algumas variações de times como GreenTeam (Criador e Juiz das Regras) e PurpleTeam (Time avançado da Defesa - "Melhor defesa é o ataque" certo?) mas, não irei especificar esses, vamos focar nas características básicas de cada componente do time vermelho e azul:

RedTeam

• Smoker: Aquele que faz a cortina de fumaça.

Inicia pequenos ataques afim de mudar o foco da equipe de proteção para o ataque real.

• Scout/Searcher: O Batedor.

Inicia o trabalho de procura de vulnerabilidade junto com o SMOKER.

É ele que, caso seja necessário, faz uma negação de serviço.

• Cheater: O Enganador.

Diferente do SMOKER, o CHEATER quer que você pense que ele está roubando a sua informação. É uma segunda defesa caso o SMOKER seja bloqueado.

• Thief: O Ladrão.

É utilizado para testes de roubo de informação classificada - uma FLAG.

BlueTeam

• Watcher: O Observador.

É quem observa, pela borda, os acontecimento dos eventos.

É ele que soa o alarma, caso seja necessário.

É extremamente crucial que o WATCHER tenha a visão do ambiente como um todo para que não envie falso-positivo na hora de proteger o ambiente.

• Healer: O Curandeiro.

É quem mantém o ambiente no ar seja fazendo reciclagem de aplicação, alteração de tamanho de memoria (Buffer, RAM, Físico), aumento de máquina no Site-Farm.

• Sniper/Brickslayer: O Atirador de Elite.

É quem o WATCHER envia informações de precisão.

É ele que faz o bloqueio dos ataques nas camadas de proteção criando politicas mais restritivas de acesso.

Lembrando que, qual quer ação feita de forma errada, tem um impacto para a corporação.

• Repairman: O Reparador.

Diferente do HEALER, o reparador identifica a vulnerabilidade que esta sendo explorada e aplica micro-patchs de correção.

No final do teste, se tem a disposição as lições aprendidas.

- Qual regra do Sistema de Inspeção de Pacotes devo melhorar ?

- Qual regra do IPS não está ativa?

- Foi detectado eventos no meu Correlacionador de Eventos ?

- Como foi o processo de Resposta a Incidente, Comunicação e Escalonamento ?

Lembrando que deve ser PERIODICO essa analise.