Scroll to top

Red team e blue team


Josué Adil - - 0 comments

Os red team e blue team: Na verdade, são equipes que desempenham um papel importante na defesa contra ataques cibernéticos avançados que ameaçam as comunicações comerciais, dados confidenciais.

Como um hacker red team trabalha

O que são Red Team?

Red team são profissionais de segurança ofensivos, especialistas em atacar sistemas e invadir as defesas. 

Red team são frequentemente confundidas com pentester, embora tenham uma sobreposição tremenda em habilidades e funções, eles não são os mesmos.

Os red team têm vários atributos que os separam de outros times de segurança ofensivos. 

Os mais importantes entre eles são:

Emulação dos TTPs usados ​​por adversários que o alvo provavelmente enfrentará Por exemplo, usando ferramentas semelhantes, exploits, metodologias dinâmicas e objetivos como um determinado fator de ameaça.

Sobretudo teste baseado em campanha que é executada por um longo período de tempo. Por exemplo, várias semanas ou meses de emulação do mesmo invasor.

Se uma equipe de segurança usa ferramentas padrão de pentesting, execute seus testes por apenas uma a duas semanas e está tentando cumprir um conjunto padrão de objetivos. Portanto, como pivotar para a rede interna, roubar dados ou obter administrador de domínio. 

Então isso é um Teste de penetração e não um engajamento do Red Team. Contudo os compromissos da red team usam um conjunto personalizado de TTPs e metas por um período prolongado de tempo.

Red team simulam ataques contra equipes azuis para testar a eficácia da segurança da rede. 

Esses exercícios de equipe  red team e blue team fornecem uma solução de segurança holística garantindo fortes defesas ao mesmo tempo em que mantém em mente as ameaças em evolução.

Red Teams são entidades internas ou externas dedicadas a testar a eficácia de um programa de segurança, emulando as ferramentas e técnicas de prováveis ​​invasores da maneira mais realista possível. 

Como um hacker blue team trabalha

O que são Blue Team?

Blue team são equipes de segurança interna que defendem contra invasores reais e equipes vermelhas. 

O objetivo aqui não é o controle, mas sim o incentivo à curiosidade e uma mentalidade pró-ativa.

Blue teams são os defensores proativos de uma empresa do ponto de vista da segurança cibernética.

Há uma série de tarefas InfoSec orientadas para defesa que não são amplamente consideradas como dignas do blue team. Por exemplo, um analista SOC de nível 1 que não tem treinamento ou interesse em técnicas ofensivas. Assim, nenhuma curiosidade sobre a interface que está procurando. E nenhuma criatividade em acompanhar qualquer alerta potencial.

Todos os blue team são defensores, mas nem todos os defensores fazem parte do blue team.

O que torna um blue team vs. apenas fazer coisas defensivas é a mentalidade.

As equipes blue team devem ser diferenciadas das equipes de segurança padrão na maioria das organizações. Aliás já que a maioria das equipes de operações de segurança não tem uma mentalidade de vigilância constante contra ataques, que é a missão e a perspectiva de uma verdadeira equipe azul.

Como funciona uma equipe red team?

Você pode se surpreender ao saber que os red team passam mais tempo planejando um ataque do que realizando ataques. Portanto, na verdade as equipes vermelhas implantam vários métodos para obter acesso a uma rede.

Ataques de engenharia social, por exemplo, dependem de reconhecimento e pesquisa para entregar campanhas de spear phishing direcionadas . 

Da mesma forma, antes de realizar um teste de penetração, farejadores de pacotes e analisadores de protocolo são usados ​​para varrer a rede e reunir o máximo possível de informações sobre o sistema.

As informações típicas coletadas durante esta fase incluem:

Descobrindo os sistemas operacionais em uso (Windows, macOS ou Linux).

Identificar a marca e o modelo dos equipamentos de rede (servidores, firewalls, switches, roteadores, pontos de acesso, computadores, etc.).

Compreender os controles físicos (portas, fechaduras, câmeras, pessoal de segurança).

Aprender quais portas estão abertas ou fechadas em um firewall para permitir,  bloquear tráfego específico.

Criar um mapa da rede para determinar quais hosts estão executando quais serviços e para onde o tráfego está sendo enviado.

Depois que a equipe vermelha tem uma ideia mais completa do sistema, ela desenvolve um plano de ação. Assim projetado para direcionar vulnerabilidades específicas para as informações coletadas acima.

Depois que um invasor está em seu sistema, o curso de ação típico é usar técnicas de escalonamento de privilégios. Então por meio das quais o invasor tenta roubar as credenciais de um administrador que tem acesso maior ou total aos níveis mais altos de informações críticas.

Agora se de fato você quiser se aprofundar um pouco mais no assunto, te indico esse livro: Red Team Field Manual, veja aqui.

Como funciona uma equipe blue team?

A equipe blue team primeiro coleta dados, documenta exatamente o que precisa ser protegido e realiza uma avaliação de risco . 

Eles então restringem o acesso ao sistema de várias maneiras, incluindo a introdução de políticas de senha mais rígidas. Assim é a educação da equipe para garantir que eles entendam e estejam em conformidade com os procedimentos de segurança.

As ferramentas de monitoramento são frequentemente colocadas em prática. Portanto permitindo que as informações relacionadas ao acesso aos sistemas sejam registradas e verificadas quanto a atividades incomuns. 

Nesse sentido os blue team realizam verificações regulares no sistema. Por exemplo, auditorias de DNS, varreduras de vulnerabilidade de rede interna ou externa e captura de amostra de tráfego de rede para análise.

Os blue team devem estabelecer medidas de segurança em torno dos principais ativos de uma organização. 

Eles iniciam seu plano defensivo identificando os ativos críticos, documentando a importância desses ativos para o negócio e que impacto a ausência desses ativos terá.

Os blue team realizam avaliações de risco, identificando ameaças contra cada ativo e os pontos fracos que essas ameaças podem explorar. Contudo, ao avaliar os riscos, os blue team desenvolvem um plano de ação para implementar controles que podem diminuir o impacto ou a probabilidade de ameaças .

O envolvimento da alta administração é crucial neste estágio, pois somente eles podem decidir aceitar um risco ou implementar controles de mitigação contra ele. 

A seleção de controles geralmente é baseada em uma análise de custo-benefício para garantir que os controles de segurança forneçam o máximo valor para os negócios.

Agora se de fato você quiser se aprofundar um pouco mais no assunto, te indico esse livro: Blue Team Field Manual, veja aqui.

Quais são os benefícios das equipes red team e blue team?

A implementação de uma estratégia de equipe red team e blue team permite que uma organização se beneficie de duas abordagens e conjuntos de habilidades totalmente diferentes. 

Também traz um certo grau de competitividade à tarefa, o que incentiva o alto desempenho de parte de ambas as equipes.

A red team é valiosa, pois identifica vulnerabilidades, mas pode apenas destacar o status atual do sistema. 

Por outro lado, blue team é valiosa porque oferece proteção de longo prazo, garantindo que as defesas permaneçam fortes e pelo monitoramento constante do sistema.

A principal vantagem, no entanto, é a melhoria contínua na postura de segurança da organização. Nesse sentido, encontrando lacunas e, em seguida, preenchendo essas lacunas com controles apropriados.

Parceria entre Red e Blue teamComo red team e blue team trabalham juntos?

A comunicação entre as duas equipes é o fator mais importante no sucesso dos exercícios das equipes vermelha e azul.

Os blue team devem se manter atualizados sobre as novas tecnologias para melhorar a segurança. Portanto, devem compartilhar essas descobertas com a equipe vermelha. 

Da mesma forma, os red team devem estar sempre atentos a novas ameaças e técnicas de penetração utilizadas por hackers. Sobretudo aconselhar a equipe azul sobre técnicas de prevenção.

Dependendo do objetivo do seu teste vai depender se os red team informa ou não os blue team sobre um teste planejado. Por exemplo, se o objetivo é simular um cenário de resposta real a uma ameaça legítima. Aliás, você não gostaria de contar aos blue team sobre o teste.

A ressalva é que alguém na gerência deve estar ciente do teste, normalmente o líder do blue team. 

Isso garante que o cenário de resposta ainda seja testado, mas com controle mais rígido quando a situação for agravada.

Quando o teste é concluído, as duas equipes reúnem informações e relatam suas descobertas. 

As duas equipes devem trabalhar juntas para planejar, desenvolver e implementar controles de segurança mais fortes, conforme necessário.

Conclusão

Os red teams emulam os invasores para encontrar falhas nas defesas das organizações para as quais trabalham.

Os blue team se defendem contra invasores e trabalham para melhorar constantemente a postura de segurança de suas organizações.

Uma implementação red team e blue team funcionando corretamente apresenta compartilhamento regular de conhecimento entre as equipes, a fim de permitir a melhoria contínua de ambas.

O que você achou de conhecer essas duas equipes incríveis?

E se você quiser fazer parte da elite do mercado de cibersegurança junte-se a nós e venha sem um Acadiano.

Para continuar sempre bem informado sobre os principais assuntos em segurança da informação siga nosso blog e acompanhe todas as notícias. Que tal começar por essa: Melhores cursos de cibersegurança.

CONHEÇA NOSSA PARCERIA EXCLUSIVA OFFENSIVE SECURITY

ACADI-TI Academia Inovadora de TI

Related posts