Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
⦁ NIST SP 800-115, "Guia técnico para teste
e avaliação de segurança da informação" (2021)
⦁ Siddharth Chowdhury, "Perceptions of purple
teams among cybersecurity professionals"
(Percepções de equipes Roxas
entre profissionais de segurança cibernética) (2019).
⦁ Scythe, "Purple Team Exercise Framework (PTEF)"
(Estrutura de Exercício da Equipe Roxa)
https://github.com/scythe-io/..
⦁ Namosha Veerasamy, "High-level Methodology
for Carrying out Combined Red and Blue Teams" (2009).
⦁ Justin Warner, "Common Ground Part 1:
Red Team History & Overview" (2016)
https://sixdub.medium.com/common-ground-part..
No campo da segurança cibernética, reconhecemos o termo Purple Team, embora nem sempre tenhamos clareza sobre seu escopo ou finalidade. Nesta postagem, faremos uma introdução aos diferentes tipos de exercícios do Purple Team, seu escopo e como eles são desenvolvidos de acordo com as necessidades de cada organização. E como podemos diferenciá-los de outros tipos de funções de proteção.
Contexto
As operações ofensivas e defensivas de segurança cibernética são conhecidas como Red Team e Blue Team, respectivamente. Adotados da esfera militar (é claro) introduzidos na década de 1960 como conceitos, embora modalidades usadas há quase dois mil anos (320 d.C.), sempre com o objetivo de simular conflitos com base em regras reais de estratégia de guerra para se preparar para as próximas batalhas reais.
A abordagem da equipe Red and Blue foi estabelecida como uma forma de interação em que pelo menos uma das partes fingia ser um inimigo. Desde então, essa ideia foi adotada no domínio da segurança cibernética para permitir testes a partir de uma mentalidade adversária por meio da replicação de ameaças e do desenvolvimento de contramedidas com base nos resultados desses testes.
Está claro que a abordagem da Equipe Vermelha e da Equipe Azul, que agora podemos considerar tradicional, fornece bons resultados, mas apresenta alguns problemas em sua implementação quando se atinge um nível médio ou alto de maturidade nas operações de cada uma delas.
Uma observação que emerge da maneira como cada equipe opera e após a análise dos resultados é que "a equipe vermelha sempre vence", pois é praticamente sempre possível detectar alguma vulnerabilidade a ser explorada, enquanto a equipe azul está sempre "atrasada" e “tenta acompanhar”. Essa desconexão entre as abordagens pode ser devida, em parte, à falta de comunicação e à configuração de perspectivas, mas também porque a forma como as operações são projetadas visa a resultados diferentes, muitas vezes contraditórios, com o sucesso de uma parecendo o fracasso da outra.
É a natureza oposta das equipes que gera essa perspectiva competitiva, que leva ao sigilo entre as equipes e faz com que elas operem isoladas umas das outras. Entre os resultados indesejáveis está o fato de que a Equipe Azul começa a construir progressivamente defesas para se proteger da Equipe Vermelha e negligenciar a ameaça real.
Foi aí que surgiu a abordagem Purple, que se concentra no uso da colaboração e do compartilhamento de informações para atingir os mesmos objetivos. Uma abordagem que, embora não seja nova, vem amadurecendo e se adaptando de acordo com os ambientes em que é desenvolvida.
Não é apenas uma questão de cor
Normalmente, o conceito de Roxo que reconhecemos não é nem mais nem menos do que a combinação da Equipe Vermelha e da Equipe Azul (como se fossem pigmentos e não operações com alta complexidade e desafios crescentes). É aqui que encontramos definições limitadas da Equipe Roxa, como "Uma equipe para pequenas organizações que não podem contratar pessoas para tarefas defensivas e outras para tarefas ofensivas" ou "Uma reunião entre a Equipe Vermelha e a Equipe Azul".
Um exercício de Equipe Roxa leva adiante os princípios da Equipe Vermelha e da Equipe Azul para avaliar e melhorar os sistemas de detecção (e outros aspectos) de uma organização. Ele se concentra em tarefas ofensivas e defensivas, o que lhes dá uma perspectiva diferente. Normalmente, o pentest pode ser realizado com a adição de um conhecimento profundo dos ativos fornecidos pelas equipes defensivas, permitindo que a segurança seja avaliada de uma perspectiva diferente.
Isso é útil para maximizar a eficácia e o potencial das equipes vermelha e azul separadamente, mas essa abordagem também integra inteligência contra ameaças cibernéticas (CTI), varredura de vulnerabilidades e arquitetura de segurança.
A ideia de uma equipe que combina perspectivas visa a preencher a lacuna entre as abordagens ofensivas e defensivas, concentrando-se em uma metodologia mais colaborativa. Ela também pode ajudar a avaliar e atenuar ameaças exclusivas, como as internas, que têm um dos maiores potenciais de impacto negativo em uma empresa.
Podemos dizer que, nas operações de Purple Team, o teste é mais direcionado, pois o objetivo ofensivo é avaliar controles de segurança específicos, enquanto o objetivo defensivo é testar simultaneamente medidas preventivas e conjuntos de habilidades específicos.
Escala e nuance
Considerando "Purple" como "A colaboração contínua entre equipes de segurança cibernética com habilidades variadas para testar, medir e melhorar a resiliência a ameaças e ataques", podemos encontrar uma variedade de implementações para esse tipo de operação.
Agora, desenvolveremos alguns detalhes metodológicos para essas operações, conforme descrito pela Scythe em sua "Purple Team Exercise Framework (PTEF)".
Exercícios da Equipe Roxa
Um exercício do Purple Team é uma avaliação de segurança cibernética com uma compreensão completa do ambiente, em que os participantes colaboram para criar uma ameaça, atacar, detectar e responder. A atividade de ataque é exposta e mostrada aos participantes à medida que se desenrola em tempo real, a equipe de defesa compartilha como cada etapa é detectada e como eles respondem de acordo. Os exercícios da Purple Team são práticos, os participantes trabalham juntos em discussões abertas sobre cada técnica de ataque e expectativa de defesa para testar, medir e aprimorar pessoas, processos e tecnologia em tempo real.
Esses exercícios são emulações de Táticas, Técnicas e Procedimentos (TTPs) orientadas pela inteligência de ameaças cibernéticas que permitem a identificação e a correção de lacunas na postura de segurança da organização.
Purple Team Contínuo
Purple Team contínuo é uma equipe virtual, que é ativada quando são detectadas novas TTPs com impacto no ambiente. Elas são analisadas, discutidas e emuladas para criar e aprimorar continuamente a detecção e a resposta.
Purple Team dedicado
As organizações mais maduras estão começando a encontrar um valor especial em tais operações, forçando a criação de equipes dedicadas para realizar essas tarefas. Essas funções específicas variam de coordenadores de exercícios a perfis ofensivos ou defensivos com objetivos focados na colaboração.
Algumas conclusões
O desenvolvimento de operações de Purple Teaming está enraizado em uma desconexão operacional e tática entre equipes que executam as mesmas tarefas que esperaríamos de um Purple Team. Sua escolha, bem como sua eficácia, estará totalmente relacionada à cultura e à maturidade das diferentes operações ofensivas e defensivas da organização.
É um gatilho interessante (e não acidental) que o conceito de "Equipe Roxa" seja uma combinação de funções normalmente executadas por equipes com códigos de cores. Embora, como mencionado acima, o conceito possa ser limitado, essa possibilidade de "misturar as coisas" nos dá um pontapé inicial que nos permite desenvolver novas habilidades com as ferramentas que temos atualmente. Por fim, para melhorar a segurança cibernética.