Attention / Atenção


This blog represents my own view points and not of my employer, Amazon Web Services

Este blog representa meus próprios pontos de vista e não do meu empregador, Amazon Web Services

sábado, julho 23, 2016

Read Team x Blue Team - Parte 01

Depois de muito tempo volto a escrever no blog.

Muitas coisas se passaram nos últimos anos mas resolvi compartilhar agora nas "férias" do MBA (são só 3 semanas kkk) meu ponto de vista sobre alguns assuntos e temas.


Ressalto que escrevo aqui apenas minha opinião pessoal sobre os temas, sem qualquer vínculo com a opinião ou pontos de vista de meu atual empregador. Então vamos lá para o primeiro tema que gostaria de abordar.


Resultado de imagem para red Team BLue Team
Considerações para a realização de exercício de Red Team x Blue Team 
Parte 01




Para quem não sabe exatamente do que se trata, em resumo é a execução de uma simulação de ataque e defesa cibernética (CONTROLADA) com o objetivo de identificar se:

1. As ferramentas de segurança estão se comportando como esperado e se estão tunadas adequadamente.
2. Os processos de detecção, mitigação e resposta a um evento / incidente de segurança estão funcionando como planejado
3. O SOC / CSIRT ou equipe responsável possui as ferramentas e conhecimentos necessários para responder a um incidente dessa natureza.
4. Os alertas existentes no SIEM / Big Data foram capazes de detectar o comportamento anômalo simulado.
5. Existe a necessidade de criação de novos casos de uso e alertas para detecção do comportamento anômalo simulado.
6. Existem vulnerabilidades que foram exploradas durante o teste e precisam ser corrigidas.
7. Existe a possibilidade de aplicar mecanismos de proteção alternativos ou alertas com maior criticidade onde não é possível efetuar as correções, funcionando assim como controle compensatório.
8. O processo de escalonamento de resposta foi bem realizado
9. O ataque foi mitigado em temo hábil para evitar maiores danos.

Enfim se olharmos a lista acima (que está longe de ser exaustiva) verificamos que existe sim muito valor nesse tipo de trabalho / serviço com o objetivo de criar um processo de melhoria contínua de Cyber Segurança, aumentando assim o nível de Cyber resiliência do ambiente.

Para exemplificar como esse tipo de atividade é importante gosto de fazer aqui uma analogia com o livro  - Não há dia difícil (No Easy Day).

O responsável por matar Osama treinou a vida toda, repetiu simulações, operações, treinos e atividades extremas, dando atenção aos mínimos detalhes para poder chegar perto da perfeição, afinal em uma operação de guerra não se pode errar, pois na única oportunidade que possuem devem acertar na mosca (HEADSHOT), evitando assim perder o alvo, o que significaria a morte de um membro da equipe ou de todo o time.

Enfim se olharmos bem os soldados de qualquer tropa de elite eles treinam milhões de vezes buscando a perfeição, e com certeza a cada treino encontram pontos a evoluir e melhorar, o que não os deixa mais fracos, pelo contrário, os deixa ainda mais fortes e preparados para o conflito real. 

Essa deve ser a máxima de um exercício de Red Team x Blue Team, treinar a resposta, identificar pontos de melhoria, evoluir sempre. Parece até um pouco obvio não ? Pois é, mas tenho visto muitas empresas que estão oferecendo esse tipo de serviço, mas na verdade estão vendendo um serviço de Hacking Ético com novo nome.

Um exercício de Red Team x Blue Team deve ser executado por equipe que possua conhecimento não só das técnicas de ataque, mas que também conheça as técnicas, ferramentas e arquitetura de defesa, detecção, mitigação e resposta. Vale destacar que não estou aqui desmerecendo o trabalho de hacking ético, muito pelo contrário, ele é sim muito importante em uma estratégia de defesa, e sem dúvida também é necessário muito conhecimento técnico para realizar um EHT com qualidade.

No entanto são dois objetivos diferentes:

- O EHT tem como objetivo simular técnicas de ataque, apontar problemas e possíveis correções.

- Já o exercício de Red Team x Blue Team deve apresentar no mínimo as respostas para os 9 objetivos anteriormente mencionados, trazendo a tona questões como:
  1. Que regra do IPS não funcionou ? 
  2. Temos casos de uso para detectar esse modus operandi de ataque ? Qual está faltando ?
  3. Existe um evento e ou correlação adicional a ser configurada ? Qual ? Como devemos configurar.
  4. Nossos procedimentos de resposta e escalonamento funcionaram ?
  5. Qual o conhecimento técnico nos falta ?
  6. Falta alguma ferramenta / tecnologia em nossa arquitetura de segurança.
O trabalho de RT x BT deve considerar a avaliação de toda a cadeia de detecção, mitigação e resposta, indo muito além da ação de apontar um problema / vulnerabilidade, mas buscando apontar como o BT deve melhorar a técnica de seu "tiro", ou seja, buscando a perfeição para chegar em um HEADSHOT nos casos reais.

Vejo atualmente empresas vendendo (e comprando) EHT como se fossem exercícios de RT x BT, o que me remete à época em que trabalhava em uma consultoria de segurança e víamos concorrentes vendendo EHT e entregando Scan de vulnerabilidades, mudaram os tempos, os nomes, mas ainda existem empresas vendendo e comprando gato por lebre.

Cada uma das atividades (EHT, Scan de Vunerabilidades e exercícios de RT x BT) tem o seu valor e são importantes para a criação de uma postura de Cyber Resiliência, no entanto é preciso usar cada uma delas no contexto correto, pois não adianta vender internamente que você vai fazer um exercício de Red Team x Blue Team se você comprar um EHT, pois nesse cenário sua equipe nunca vai melhorar e aprender a dar um HEADSHOT, além disso é importante lembrar que em um ambiente de constantes mudanças e evolução prevenir tudo é humanamente impossível, portanto evoluir na detecção, mitigação, resposta e predição é ainda mais importante do que somente apontar problemas e "correções".

Adicionalmente é preciso ter muito claro o que você (responsável por segurança) vai receber de um trabalho desses, deixando também todos os Stakeholders cientes do real resultado e benefícios a serem colhidos, pois vejo aqui um perigo quanto ao sentimento da alta gestão com os resultados desses trabalhos, especialmente em empresas que nunca executaram essa atividade como parte de sua estratégia de Cyber resiliência.

Ua e até a próxima (em breve).
MZN