A cibersegurança é um tema que não tem passado despercebido, sendo noticiado, regularmente, em todos os canais informativos, nacionais e internacionais.
Surgem agora termos que, por vezes, são desconhecidos do público, mas bastante importantes e que devem ser considerados pelas empresas e, em especial, pelas equipas de IT.
Red Team vs Blue Team, o que são e qual a diferença entre estes conceitos?
A Red Team consiste em profissionais de segurança ofensivos que são especialistas em simular ataques a sistemas e em invadir defesas. É uma equipa composta, geralmente, por hackers éticos, independentes, que avaliam a segurança do sistema, de forma objetiva.
Empregam técnicas que permitem encontrar fraquezas e explorar vulnerabilidades, obtendo acesso não autorizado nos ativos. Como resultado destas simulações, as equipas vermelhas fazem recomendações e fornecem dicas de como fortalecer a postura de segurança da entidade.
Basicamente, após uma simulação, a Red Team faz uma avaliação do modelo operacional da entidade, montando um diagnóstico e sublinhando as principais falhas e riscos.
É nesta equipa que são utilizados os exercícios de pentest, uma ferramenta que tem como objetivo principal a deteção e a exposição de vulnerabilidades, a fim de validar a eficácia dos mecanismos de segurança, através de engenharia social, de técnicas de Phishing, entre outros.
Por sua vez, a Blue Team é constituída por profissionais de segurança defensiva, responsáveis por manter as defesas internas da rede a salvo contra todos os ataques virtuais.
A equipa azul é formada por profissionais da área da segurança e possuem uma visão interna da organização. A principal tarefa destes é, então, proteger os ativos críticos da organização contra qualquer tipo de ciberameaça.
Contudo, apesar de esta estratégia ser mais importante para a equipa de segurança, toda a empresa deve saber que perigos procurar, como relatar atividades incomuns, comportamentos suspeitos ou emails inesperados. Sublinha-se, então, a importância da sensibilização sobre cibersegurança.
Neste caso, as equipas realizam auditorias DNS para evitar ataques de Phishing, fazem, de igual modo, instalação de software de segurança, garantem que o controlo de acesso à Firewall é configurado corretamente, e, ainda, implementam software IDS e IPS, assim como soluções SIEM.
Em qualquer uma destas equipas, todos os sistemas são estudados ao pormenor, mas com intuitos diferentes. A equipa vermelha procura portas de entrada a fim de testar a eficácia da segurança da rede, ao passo que a equipa azul procura formas de se proteger contra qualquer desconhecido malicioso, reforçando a segurança organizacional ao máximo.
Ao implementar estas duas abordagens os benefícios são claros. Uma equipa identifica vulnerabilidades no sistema atual e a outra, paralelamente, garante proteção a longo prazo. A principal vantagem é, claro, a melhoria contínua da postura de segurança de uma empresa, detetando fraquezas, transformando-as em forças.
Estes exercícios, combinados, ajudam as organizações a:
- Identificar pontos de vulnerabilidade no que se refere a pessoas, tecnologias e sistemas;
- Determinar áreas de melhoria nos processos de resposta a incidentes defensivos em todas as fases;
- Construir a experiência, em primeira mão, da organização sobre como detetar e conter um ataque direcionado;
- Desenvolver atividades de resposta e remediação para levar o ambiente a um estado de funcionamento normal.
À união das duas estratégias, chama-se Purple Team, que em vez de trabalhar com a oposição da equipa vermelha à equipa azul, utiliza as vantagens de ambas as metodologias, tanto de ataque, como de defesa, para aumentar a segurança digital da organização.
A CrowdStrike, reconhecido parceiro da ActiveSys na área de cibersegurança, normalmente recomenda uma “regra 1-10-60”, o que significa que as organizações devem ser capazes de detetar uma intrusão em menos de um minuto, avaliar o seu nível de risco dentro de 10 minutos e ejetar o adversário em menos de uma hora.
A segurança física também deve ser considerada, já que existe a possibilidade de acesso físico ao site do cliente, entre outros pontos sensíveis, onde são usadas identidades de funcionários falsas ou clonadas.
Em suma, a utilização desta estratégia de Red Team vs Blue Team é uma forma eficaz de eliminar pontos fracos e manter uma postura de segurança robusta, num ambiente de ameaças em constante evolução.
Optar por subcontratar estes serviços é uma mais-valia, no sentido em que um olhar externo consegue ver os processos de outro ângulo, não ignorando vetores de ataque que possam estar, aos olhos da empresa, bem protegidos.
A ActiveSys é o apoio especializado ideal para ajudar a sua empresa a implementar estas metodologias que garantem a máxima segurança. Não hesite em contactar-nos.
ActiveSys, we activate your business.