Blip: Quando o ataque é a melhor defesa. O valor de Red Teaming nas organizações

No mês da Cibersegurança (Cybersecurity Awareness Month), a Blip, empresa de desenvolvimento tecnológico e de software, com sede no Porto, apresenta-nos a sua Red Team. Gustavo Pinto, membro desta equipa - que integra o departamento de Segurança de Software (Security Engineering Team) - explica-nos qual o papel e importância de uma Red Team, como pensar como um atacante para proteger a organização e quais as melhores ferramentas para a execução desta função.

O valor da segurança da informação para as empresas é atualmente inquestionável. Pressões regulatórias por parte de clientes e colaboradores elevam a expectativa de maturidade da postura de segurança da organização. Criam-se processos de auditoria e conformidade incontornáveis, testes de segurança aos produtos e, do mesmo modo que um museu com obras de arte valiosas terá câmaras e vigilantes, uma empresa terá um SOC (Security Operations Center), ou Blue Team, para proteger o seu negócio e informação.

A Blue Team tem a pesada responsabilidade de monitorizar, detetar e responder a qualquer invasor ou tentativa de invasão, seja esta ameaça externa ou interna. No entanto, enquanto os defensores têm de instalar as metafóricas câmaras nos vários pontos de entrada, a um atacante motivado bastará encontrar um único ângulo morto para atingir o seu objetivo.

Nasce assim a necessidade de ter uma Red Team, a equipa bem-intencionada que simula os comportamentos e técnicas dos grupos mal-intencionados. A Blip, dedicada a estar na vanguarda da tecnologia, reforça, assim, o seu compromisso com a segurança e a inovação, com a criação desta equipa.

1. O contributo da Red Team para a segurança da organização

O valor de uma Red Team numa organização vem em três moldes diferentes.

Como as simulações ofensivas são feitas em sigilo, ter cenários que são verosímeis na perspetiva da Blue Team induz testes sumamente valiosos aos processos de resposta e à visibilidade que os seus alertas e monitorizações providenciam.

Por outro lado, à semelhança de uma equipa também ofensiva de testes de segurança como pentesting, durante os exercícios de Red Team encontram-se vulnerabilidades técnicas, em aplicações ou ferramentas. No entanto é preciso notar que, ao contrário de em pentesting, onde se procura encontrar o máximo de vulnerabilidades num alvo reduzido, em Red Teaming estas vulnerabilidades serão apenas um meio para atingir um fim: algum objetivo semelhante ao que um atacante real teria. Além destas vulnerabilidades tecnológicas, é também comum que se descubram problemas em pessoas e em processos. Como exemplo destes últimos, seria natural detetar que o processo de verificação usado para comprovar a identidade do colaborador no caso deste perder as credenciais de acesso à rede corporativa é insuficiente, o que não se trata de uma vulnerabilidade técnica, mas sim processual.

Para a liderança da organização, estes exercícios adicionam um grande valor estratégico. Com um estudo prévio das técnicas usadas pelos atacantes que costumam ter como alvo a indústria, a Red Team emula esses métodos contra as defesas da organização. Entendendo por que caminhos atacantes prováveis e motivados conseguem entrar, rapidamente se extraem padrões. Assim, a liderança pode tomar decisões baseadas em problemas concretos, reais e comprovados, sobre onde investir para colmatar essas fraquezas: seja em ferramentas, formação ou pessoas.

2. O que faz, na prática, uma Red Team?

Idealmente, exercícios de Red Team acontecem de forma estruturada, o que permite planeamento adequado, retrospetivas, e salvaguarda da continuidade do negócio.

Narremos uma estória de um exercício, e do contexto que leva à sua necessidade:

A liderança de uma organização está preocupada com a atividade recente de um grupo de cibercrime que tem executado campanhas de phishing em outras empresas da mesma indústria. Estas campanhas têm resultado em acesso persistente a servidores onde documentos são cifrados com o intuito de pedir um resgate monetário para serem recuperados (ransomware).

A Red Team, juntamente com a liderança ou representantes, deve então definir os moldes do exercício. Nestes constarão diversos dados, como as metas da Red Team -isto é, que operações ditam "sucesso para o atacante". Por exemplo, obter as credenciais de um colaborador através de phishing, e conseguir cifrar um documento num servidor de produção.

Indispensável, também, é a definição das normas e limites (rules of engagement). Aqui descrevem-se ações que podem, ou não, ser executadas pela Red Team. Um exemplo concreto seria que o acesso inicial à infraestrutura corporativa terá de ser feito através de phishing, ou de uma variante semelhante. Outros tipos, como acesso físico às instalações, estão proibidos (note-se que, noutro cenário em que fosse plausível, acesso físico poderia ser permitido).

Quanto ao cenário a emular, é intuitivo que o exercício mais valioso para o caso passará por apenas permitir à Red Team empregar técnicas que o grupo malicioso também usa. O cenário será então um exercício que começa sem informação ou acesso prévio sobre a organização, e a maturidade das técnicas utilizadas está limitada às técnicas documentadas conhecidas do grupo.

Finalmente, definem-se datas-limite para o exercício e também como proceder se a Blue Team detetar alguma atividade maliciosa relacionada (por exemplo, permitir que a investigação seja feita até ao fim, sem qualquer notificação de uma Red Team estar envolvida).

Com estes parâmetros, o exercício produziria, no fim, um relatório detalhado com quais as metas atingidas, registo de quaisquer deteções ou mecanismos que impediram a progressão da Red Team, e sugestões de recomendações.

Este exercício, e por extensão o relatório, trarão a tranquilidade necessária quanto à ameaça do grupo de cibercrime, ou despoletarão ações de melhoria que protegerão a organização, uma vez que providenciam provas incontestáveis do risco existente.

3. Desafios técnicos

Contra uma infraestrutura madura, uma Red Team encontrará várias dificuldades que exigem uma forte componente e conhecimento técnicos por parte dos elementos desta equipa. Como exemplo, os antivírus modernos (comummente designados como EDR), estão muito evoluídos e analisam, detetam e bloqueiam a execução de uma porção enorme de software malicioso (malware) conhecido. Da mesma forma que um atacante consegue aceder a malware público, também estas soluções defensivas o conseguem, criando regras específicas para bloquear estas ferramentas. É necessário, então, que o engenheiro da Red Team consiga desenvolver as suas próprias ferramentas, conheça os mecanismos das várias ferramentas defensivas, e, idealmente, tenha uma sólida compreensão das deteções comuns que uma Blue Team implementa.

Nota técnica: Desenvolvimento de Malware implica conhecimento profundo de sistemas operativos, linguagens que permitem interações low-level como C, C++ e Rust, e capacidade de engenharia reversa de aplicações e ferramentas existentes.

Muito valioso para um exercício é o uso de um framework de Command & Control (C2). Estes frameworks centralizam as operações da Red Team e registam as suas atividades, com datas das operações, sistemas afetados, documentos inseridos e descarregados, entre outros. O registo e documentação tornam-se, assim, essenciais para o processo de análise e interpretação de dados e para a produção de um relatório detalhado e preciso.

Nota técnica: Frameworks de C2 podem ser open-source ou ter de ser adquiridos. Em ambos os casos é esperada alguma adaptação das ferramentas à realidade da empresa e das ferramentas defensivas utilizadas, como por exemplo decidir canais de comunicação utilizados pelo malware (HTTP, DNS, custom TCP), ou implementar uma forma de implantar o malware nos sistemas-alvo.

Quando bem executadas, estas simulações são adversariais e estão em constante mudança. Numa situação de uma saudável competição interna (Red vs Blue Teams), principalmente, o ciclo da evolução da capacidade de ambas as equipas é constante - melhores defesas obrigam a ataques mais sofisticados, que por sua vez geram melhores defesas.

4. Desafio contínuo

Numa era de infinidade de informação e dados, riscos e fácil acessibilidade a técnicas de ataque, a quantidade de sugestões de melhorias de segurança pode rapidamente tornar-se avassaladora. Ter fortes processos de higiene como atualização regular dos servidores, ferramentas defensivas e testes de segurança a novas aplicações é fundamental.

Após essa edificação de alicerces - da assunção de uma casa sólida e bem vigiada -, a simulação de invasores apresenta-se como uma forma muito valiosa de concretizar risco, de entender que lacunas ainda existem, e de saber onde investir inteligentemente os recursos.

Numa realidade global onde não existem fronteiras para os grupos maliciosos de cibercrime, urge que as organizações portuguesas e internacionais usem os seus recursos de maneira eficiente, atacando-se a si próprias através de uma Red Team antes dos atacantes reais e mal-intencionados.

Em última análise, a verdadeira "ciber maturidade" não se alcança apenas ao defender, mas ao desafiar-se continuamente, porque só pondo à prova as defesas saberemos se elas protegem dos ataques.

5. Sobre a Blip

Fundada em 2009 no Porto, a Blip, que inicialmente se notabilizou pelo desenvolvimento tecnológico e de software à medida para web e mobile, foi adquirida pela Betfair em 2012, tendo feito parte de todas as aquisições e movimentos que culminaram na criação da Flutter Entertainment em 2019, cotada na bolsa de Nova Iorque desde janeiro de 2024. Hoje, a Blip é um dos principais hub tecnológicos do grupo e conta com mais de 1000 colaboradores em Portugal. Mais informação em: www.blip.pt e www.flutter.com

Para mais informações sobre a Red Team na Blip vê o vídeo abaixo.