A rivalidade de longa data entre as equipas vermelha e azul serviu um propósito benéfico, simulando o ambiente altamente competitivo do mundo real entre hackers e aqueles que defendem as organizações. No entanto, os recentes avanços nas capacidades das equipas azuis e a sofisticação das tecnologias de segurança que as apoiam alteraram o equilíbrio entre os dois grupos.

Embora nos últimos anos a equipe vermelha sempre estivesse em vantagem, a equipe azul está agora cada vez mais bem equipada para defender superfícies de ataque corporativo e, ao mesmo tempo, caçar ameaças de forma proativa. Isso beneficia muitos em todo o ecossistema de segurança e pode agregar mais valor à prática geral. Existem algumas maneiras principais pelas quais as empresas devem aproveitar as vantagens da nova dinâmica.

Os avanços tecnológicos estão nivelando o campo de jogo

Há alguns anos era muito simples para os times vermelhos
para emular hackers e lançar ataques bem-sucedidos em hosts e servidores. Agora,
as ferramentas de proteção de endpoint melhoraram a tal ponto que as equipes de segurança podem
concentre-se em partir para a ofensiva com a caça às ameaças. Sem arquivo, comportamental ou
ataques de ransomware que teriam sido perdidos pelas equipes azuis há alguns anos
tornaram-se apostas de mesa. Por exemplo, maiores capacidades em endpoint
ferramentas de proteção agora permitem que as equipes observem ataques de uma forma quase forense
nível. Isto significa que as habilidades defensivas tornaram-se cada vez mais sofisticadas.

Enquanto isso, os avanços na IA e
o aprendizado de máquina elevou e automatizou significativamente grande parte do azul
trabalho da equipe. O lado defensivo costumava ser atolado por ineficientes,
tarefas repetitivas, como examinar grandes volumes de eventos inacionáveis ​​ou
afogando-se no barulho de muitos alertas. Ainda há alguns anos atrás, houve
não havia maneira de as equipes azuis acompanharem o grande volume de ameaças
ameaçando organizações. Avançando para hoje, e agora temos o
capacidade de capturar muitos dos ataques de comportamento “lentos e baixos” ou periféricos
que costumava se esgueirar facilmente. As equipes azuis agora têm a liberdade de se concentrar em
tarefas de nível superior, como a caça de ameaças, que são mais envolventes, recompensadoras e
eficaz. Melhor ainda, eles estão desafiando as equipes vermelhas a intensificar seu jogo.
Essa evolução significa que muitas equipes de segurança agora entendem que executar um pentest
e ir embora não é mais bom o suficiente. Há um foco maior em como
realmente corrigir uma vulnerabilidade. Agora é o momento perfeito para otimizar sua estratégia
com três táticas para obter o máximo valor dessa dinâmica.

1) Adote uma mentalidade de “equipe roxa”

As equipes vermelha e azul não deveriam mais trabalhar em
silos independentes. O melhor valor vem da combinação dos dois - não em
uma equipe roxa totalmente separada, mas com uma mentalidade roxa que combina
aprendizagem, estratégia e pensamento crítico de ambos os lados. No passado, era
comum que a equipe vermelha apenas faça seu trabalho e envie um relatório sobre isso sem
envolvendo a equipe azul. Isso não vai mais funcionar. O foco agora deve
estar em colaboração.

 As equipes vermelha e azul devem aprender uma com a outra
uns aos outros e estimular uns aos outros para desenvolver novas habilidades. O lado ofensivo deve
comunicar abertamente suas táticas e técnicas, descrevendo quais ataques
eles estão em execução, bem como quaisquer portas, processos ou outros itens conhecidos em potencial
que pode ser usado. A partir daí, a equipe azul pode ver como é visto de um
ponto de vista forense e quais tipos de logs de eventos eles devem ficar atentos
para garantir que eles possam ser detectados total ou parcialmente. Eles também podem
comunicar o que estão vendo para informar como a equipe vermelha pode se esconder melhor
seus ataques com base no que a equipe azul é capaz de detectar. Ter as duas equipes
trabalhar juntos em tempo real sempre que possível garante que nada escape entre
as rachaduras.

Por exemplo, ferramentas como Bloodhound
e Empire funcionou como mágica há alguns anos. Normalmente, ninguém detectaria
eles. Em vez de o time vermelho derrotar as defesas e sair, fiz com que eles ficassem
com ele e ensine à equipe azul quais tipos de registros devem ser observados para melhor
prevenir tais ataques no futuro.

2)
Use ferramentas que possibilitem e melhorem a colaboração

As equipes vermelha e azul devem compartilhar métricas,
informações e objetivos para interagir melhor e aproveitar ao máximo o simulado
processo de ataque. Usar as ferramentas certas pode ajudar a possibilitar isso. Avanços no SIEM
e a tecnologia SOAR tiveram enormes benefícios. Implemente um manual inspirado em SOAR
para automatizar os frutos mais fáceis de alcançar e permitir que as equipes azuis se concentrem em mais
técnicas de ponta. Isso também pode ser benéfico para o recrutamento. Usar
Manuais SOAR para automatizar defesas de segurança de baixo nível para que sua equipe de segurança
tem a liberdade de se concentrar em projetos de caça a ameaças mais envolventes e emocionantes.
Isto ajudará a atrair e reter os melhores talentos, o que é uma tendência crescente
desafio no espaço de segurança. Essas ferramentas também podem alimentar
compartilhamento de informações e colaboração. Por exemplo, eu tenho meu azul interno
equipe trabalha com a equipe vermelha para mostrar como eles escreveriam conteúdo de alerta no
SIEM, que ajudou o vermelho a melhorar a furtividade de seu comando e controle
canais de comunicação.

3)
Incentive os jogadores vermelhos e azuis a trocar de lado

eu encorajo
profissionais de segurança mudem de lado - do ataque para a defesa e vice-versa
versa. Isso lhes permite obter novas perspectivas sobre as técnicas mais recentes que o
outra equipe está usando. Por exemplo, jogadores ofensivos que estão acostumados a facilmente
comprometer uma rede tiveram que aprimorar suas capacidades para esconder melhor
seus rastros e evitar ativamente as equipes azuis. Eles agora precisam construir melhor
infra-estrutura para esconder persistência e comunicações externas para melhor evitar
detecção. Temos um laboratório com a maioria das ferramentas de defesa disponíveis, então nosso
equipe vermelha pode entrar e aprender sobre as mais recentes técnicas de caça de ameaças para
informar suas próprias estratégias. Por outro lado, os membros da nossa equipe azul tentam
na detecção de ataques de ponta para se manter atualizado com os truques mais recentes.

 Embora a dinâmica entre as equipes vermelha e azul
continua a evoluir, uma coisa permanece inalterada: para melhor proteger
contra as ameaças mais recentes, é essencial investir de forma sólida e equitativa em
ambos os lados. As organizações devem aproveitar essas mudanças ao mesmo tempo em que unem o vermelho e o
equipes azuis sob um objetivo comum: encontrar pontos fracos e descobrir como
melhor abordá-los; defender-se com sucesso dos ataques; e para melhorar o geral
postura de segurança da empresa. Este foi e, idealmente, sempre será o
caminho mais eficaz a seguir.

Joe Partlow é o diretor de tecnologia da ReliaQuest.

Da edição de março de 2020 da SC Media