Penetration Testing vs. Red Teaming: Qual a diferença?

Teste de invasão versus Red Teaming. Muitas vezes ouvimos que são usados de forma intercambiável, mas na verdade são duas coisas distintas. Então, qual é exatamente a diferença entre eles? Neste artigo, explicaremos, com o objetivo de ajudar você a saber mais sobre qual pode ser a melhor opção para sua organização.

Neste canto… Teste de invasão

Ao visualizar sua rede, aplicativo, dispositivo e / ou segurança física com os olhos de um usuário malicioso, o teste de invasão pode detectar as vulnerabilidades de segurança cibernética de uma organização. Um profissional experiente que trabalha com teste de invasão pode identificar:

  • Por onde um hacker poderia atacar sua organização
  • Como um hacker atacaria sua organização
  • Como as defesas implementadas se comportariam durante um possível ataque
  • A possível magnitude de um vazamento de dados de sua organização

O teste de invasão procura identificar falhas na camada de aplicativos, falhas no nível da rede e sistema além de tentar comprometer as barreiras físicas de segurança existentes em uma organização. Embora os testes automatizados possam identificar algumas falhas de segurança cibernética, o verdadeiro teste de invasão também tenta explorar as vulnerabilidades relacionadas aos negócios da organização.

No complexo cenário de segurança cibernética, os testes de invasão se tornaram uma obrigação para a maioria das organizações independente do seu setor de atuação. Em muitos, na verdade, é exigido por lei. Por exemplo:

  • Organizações de saúde garantem segurança de dados de saúde através da HIPAA
  • Instituições financeiras precisam estar em conformidade com FDIC
  • As empresas que aceitam ou processam pagamentos através de cartão devem estar em conformidade com a PCI DSS
  • As entidades de infraestrutura crítica devem seguir as diretrizes descritas pelo NERC

Até mesmo as empresas que podem pensar que não têm informações valiosas para proteger, podem correr o risco de alguém tentar invadir a rede, instalar malware, interromper serviços e muito mais. Com tantos usuários maliciosos espalhados por aí, os testes de invasão acompanham a evolução da tecnologia.

Afinal, sua equipe de TI desenvolve, mantém e monitora seu programa de segurança diariamente (ou deveria ser!). Não importa o quão bem eles façam o trabalho, é importante trazer pessoas de fora da organização para a realização de testes de invasão, uma vez que pessoas que não trabalham para a organização alvo, terão uma perspectiva completamente diferente sobre como a organização funciona.

Agora vamos voltar nossa atenção para o outro canto…

O campeão, Red Teaming

O teste de invasão é feito para encontrar o maior número possível de vulnerabilidades e problemas de configuração, explorá-los e determinar os níveis de risco. Uma forma simples para explicar o trabalho de um profissional em pentest é enxergá-los como piratas – prontos para atacar e saquear onde e quando puderem. Nessa analogia, os profissionais que trabalham com red teaming, podem ser vistos como ninjas, onde os ataques são controlados, focados e planejados cuidadosamente, para que as chances de eles serem descobertos durante os testes, sejam as mínimas possíveis. Para não dizer que dificilmente eles são descobertos durante os testes.

As operações envolvendo red teaming tem objetivos específicos e abordagens simultâneas. Essas operações geralmente envolvem mais pessoas, recursos e tempo à medida que se aprofundam para entender completamente o nível real de risco e vulnerabilidades em relação aos ativos físicos, humanos e de tecnologia de uma organização.

Os testes red teaming normalmente empregado por organizações com posturas de segurança mais maduras ou sofisticadas (mas isso nem sempre é o caso). Após a organização ter realizado testes de invasão e corrigido a maioria das vulnerabilidades, eles agora procuram alguém para entrar e tentar novamente acessar informações confidenciais ou violar as defesas implementadas. A ideia é tentar burlar o sistema de segurança independente do método usado.

Isso abre as portas para uma equipe de especialistas em segurança, concentrada em um alvo específico, atacando vulnerabilidades internas usando abordagens de engenharia social físicas e eletrônicas nas pessoas que fazem parte da organização e explorando as deficiências físicas para obter acesso às instalações da organização.

Durante os testes o profissionais da equipe de red team fazendo tudo de acordo com o tempo deles para evitar detecção (assim como o cibercriminoso).

Como a equipe realiza os testes?

Os testes começam com o que chamamos de reconnaissnce (reconhecimento). Essa é uma das fases mais importantes, senão a mais importante. O reconnaissnce é utilizado para coletar o máximo de informações possível sobre o alvo para entender como funciona a organização, seus funcionários, a(s) tecnologia(s) utilizadas pela organização e o meio ambiente, para a partir dai construir e adquirir as ferramentas certas para as próximas fases do teste. Usando o Open Source Intelligence Gathering (OSINT), os membros da equipe podem obter um entendimento mais aprofundado da infraestrutura, das instalações e dos funcionários para entender melhor o funcionamento da organização. As informações obtidas através de OSINT permite ainda a criação de arquivo maliciosos específicos para a organização alvo dos testes, permite também a preparação de clonadores de RFID dentre outros.

Como parte da execução, os integrantes da equipe realizarão ações contra o alvo, como engenharia social face a face ou a implantação de trojans de hardware sempre que encontrarem oportunidades de exploração. O próximo estágio é explorar essas fraquezas e comprometer servidores / aplicativos / redes ou ignorar os controles físicos para se preparar para a escalação.

Na fase de instalação, a equipe encarregada em realizar os testes tiram proveito dos resultados obtidos na fase de exploração para dar continuidade aos testes. Os alvos nessa fase podem ser servidores comprometidos, instalação de arquivos maliciosos, dentre outros. A fase de instalação tem como objetivo obter o comando e controle do(s) ativo(s) vulnerável(eis). Uma vez que o acesso remoto aos sistemas explorados é estável, o cenário é definido para as ações reais do objetivo, como a exfiltração de dados criticamente sensíveis, informações ou ativos físicos.

O bom é que quando isso acontece em decorrência dos testes realizados no modelo red teaming, sua organização também obtém uma visão melhor dos problemas existentes, que são relatados pelo relatório entregue ao final dos testes, juntamente com o suporte de especialistas em segurança para corrigir, remediar, treinar e qualquer outra coisa que sua organização precise fazer para garantir que os problemas encontrados não se repitam.