Demonstrar a um comité executivo o que um ataque informático pode fazer em concreto é uma abordagem ofensiva da segurança dos sistemas de informação que se tornou essencial para avaliar e melhorar o seu dispositivo global de proteção.

 

PENTEST E RED TEAM, QUAIS AS DIFERENÇAS?

Os testes de penetração (pentest) são, hoje em dia, a abordagem ofensiva mais comum. Fornecem, de forma rápida, uma avaliação concreta do nível de segurança de um perímetro restrito. Permitem detetar a presença de vulnerabilidades técnicas, avaliar a sua explorabilidade e revelar quais são os riscos a que estas podem induzir.

 

Os exercícios de Red Team oferecem uma abordagem mais abrangente: servem para avaliar a segurança em geral ao nível de uma entidade, com vista a detetar a presença de vulnerabilidades técnicas e não técnicas, bem como para avaliar as capacidades de deteção e resposta das equipas defensivas (Blue Team).

 

TESTES DE PENETRAÇÃO: COMO FUNCIONAM?

Existem muitos manuais e referenciais comprovados para os testes de penetração. Estes são adaptados aos diferentes tipos de perímetros existentes (OSSTMM, OWASP, NIST, PASSI...). A metodologia que propõem segue um padrão semelhante: os testes de penetração são definidos com base num perímetro específico a ser testado e seguem um ou vários cenários de ataque. São definidos diferentes níveis de pré-requisitos associados a estes cenários, com o objetivo de ganhar relevância e de, dentro do possível, melhor assegurar as suas condições de realização (prazos, recursos).

 

Por exemplo, o teste pode iniciar-se por uma fase de “caixa negra”, na qual os pentesters simulam um atacante sem qualquer informação sobre o alvo, seguido de uma fase de “caixa cinzenta”, na qual simulam um atacante que conseguiu obter pré-requisitos, tais como uma conta de utilizador com permissões de acesso ao perímetro auditado. Os testes ocorrem através de uma sequência de fases de pesquisa de vulnerabilidades e de fases de exploração. Estes últimos permitem qualificar as falhas descobertas e, consoante o caso, alargar o perímetro acessível.

 

É de se salientar que durante um teste de penetração, por uma questão de eficácia, os pentesters não perdem tempo a esconder as suas ações e a manter-se fora do alcance dos radares como faria um atacante real.

 

MISSION RED TEAM: COMO FUNCIONA?

 

Referenciais metodológicos

A prática de Red Team é sem dúvida mais recente. Os principais referenciais metodológicos também o são e necessitam de amadurecer. Um dos primeiros é “Cyber Red Teaming: Organisation, technical and legal implications in a military context” publicado pelo Centro de Excelência para a Ciberdefesa Cooperativa da Nato, em 2015. Foi concebido para uso militar e é dificilmente aplicável noutros contextos.

 

No final de 2017, o Nederlandsche Bank (Banco central dos Países-Baixos) publicou o “TIBER: Threat Intelligence Based Ethical Red teaming”, que foi retomada em 2018 pelo BCE (Banco Central Europeu) para criar o TIBER-EU. Este último está a tornar-se o principal referencial nesta matéria. Embora inicialmente criado para o setor bancário, o método é aplicável a outros setores de atividade. Destina-se principalmente a grandes contas.

 

Uma das suas particularidades é, por um lado, insistir na fase de pesquisa de informações (Threat Intelligence), e por outro na necessidade de confiar a sua implementação a equipas externas à entidade auditada. Objetivo: evitar um desvio de informação ou ligação que uma equipa interna possa ter. O método TIBER-EU parte do pressuposto que os responsáveis pelas fases de pesquisa de informações e os responsáveis pelas fases ofensivas são de grupos distintos.

 

Este mecanismo nem sempre é o ideal para assegurar que os dados pesquisados são os mais relevantes para executar o ataque, nem para que a equipa ofensiva mantenha em mente todas as informações recolhidas durante a execução do ataque. O método implica de igual forma medidas específicas, incluindo uma reunião de réplica do cenário de exercício, na qual a equipa ofensiva (Red Team) e a equipa defensiva (Blue Team) reveem em conjunto todas as ações executadas por cada um ao longo do processo.

 

Em cooperação com o CREST, o Bank of England publicou, mais recentemente, o CBEST Threat Intelligence-Led Assessments, um método mais orientado para o setor bancário que o TIBER-EU, e particularmente adaptado para a legislação britânica.

 

Cenários de ataque

Os exercícios de Red Team são, portanto, realizados recorrendo a um ou mais destes métodos, de forma a se adaptarem às necessidades e especificações dos clientes. São definidos por objetivos críticos semelhantes aos dos verdadeiros atacantes que visem a entidade auditada, como a recuperação de dados confidenciais relativos a um projeto essencial, o acesso a funcionalidades críticas ou ainda a implantação de um ransomware.

 

Hoje em dia, à imagem de um atacante real, uma missão Red Team começa por uma fase de pesquisa de informação sobre o cliente, com vista a desenvolver uma estratégia de ataque. As tecnologias utilizadas pelo alvo e partes interessadas que têm acesso aos objetivos estão entre os elementos procurados, nomeadamente através de técnicas de OSINT (Open Source Intelligence: Informação proveniente de fontes abertas). Em função dos dados obtidos, são desenvolvidos um ou mais cenários de ataque.

 

Com vista a melhor reproduzir a realidade dos comportamentos maliciosos, os cenários podem incluir a intrusão física, bem como técnicas de engenharia social (social engineering), tais como o phishing (ciberiscagem). Os preferidos são aqueles que melhor representam um compromisso entre eficácia, complexidade e risco de serem localizados. Uma vez preparado o cenário, a fase de ataque começa. Geralmente, esta envolve uma ou mais intrusões iniciais, seguidas de recolha de informações, pesquisa de vulnerabilidades, movimentos laterais e elevação de privilégios. Durante esta fase, a equipa de ataque leva o tempo que for necessário para esconder estas ações, de forma a manter-se invisível. Em função das respostas das equipas de defesa ou dos intervenientes visados pelos ataques, ajusta as suas ações para tentar, apesar de tudo, atingir os seus objetivos.

 

Para que se adapte da melhor forma aos desejos do cliente, bem como restrições de tempo e orçamento, certas etapas podem ser omitidas. A equipa poderá, por exemplo, eliminar a fase de pesquisa de informações, ao utilizar um cenário de ataque fornecido pelo cliente. Mas existe o risco de adotar uma estratégia demasiado distante da de um verdadeiro atacante. Embora este não seja um cenário ideal, é igualmente possível contornar a intrusão inicial, partindo do princípio que um atacante do exterior já se infiltrou na rede. O cenário inicia-se então diretamente a partir da rede interna. Mas neste caso é impossível testar as defesas perimétricas e as deteções associadas.

 

Opção alternativa: levar as equipas ofensivas e defensivas a colaborarem ao longo de todo o exercício. Este trabalho conjunto que envolve membros da equipa Blue e Red e é por norma chamado de Purple Team. Permite que as equipas defensivas progridam mais rápido, no entanto, acontece em detrimento do realismo dos ataques que são por norma influenciados por estas interações. As chamadas equipas internas Red Team estão muitas vezes envolvidas neste tipo de práticas que, em particular, no caso de grandes contas com elevados desafios de cibersegurança, podem ser realizadas de forma contínua, em complemento de exercícios da Red Team no sentido estrito.

 

O principal resultado de um teste de penetração é um relatório que permite ao cliente obter uma avaliação do nível de segurança do perímetro auditado, uma lista de vulnerabilidades descobertas, bem como recomendações de correções. Por cada falha, os pentesters realizam uma avaliação em conformidade com a norma CVSSv3. São especificados o seu grau de criticidade e os riscos associados à sua exploração. Assim, o cliente é capaz de definir um plano de ação, ao dar prioridade às correções a fazer, de forma a melhorar o seu nível de segurança.

 

Para os exercícios de Red Team, o relatório entregue contém um conjunto de informações consideradas pertinentes, podendo estas ser recolhidas no momento da fase de pesquisa de informação, uma descrição detalhada da evolução do ataque que contém os seus sucessos e insucessos, eventuais indicadores de compromisso (IOC) através dos quais o ataque deveria ter sido detetado, as sequências de exploração segundo o referencial ATT&CK do MITRE, bem como uma lista das vulnerabilidades encontradas, tal como nos relatórios dos testes de penetração. Uma reunião com a presença de representantes das equipas ofensiva e defensiva visa rever quaisquer aspetos que poderiam ter sido detetados ou bloqueados pela equipa defensiva e, assim, aprender o máximo com os mesmos.

Partilha este artigo