Por Fábio Gomes e Filipe Bernardo (*)

Em todas as organizações, as medidas de segurança devem acompanhar o ritmo da evolução tecnológica e os decisores devem procurar estar sempre atentos e apostar em medidas proativas e ferramentas de prevenção, que os apoiem na proteção dos seus ativos, como é o caso do Red Teaming.

Este é um serviço composto por especialistas em cibersegurança que replicam as estratégias e técnicas de atacantes do mundo real para ajudar a avaliar a resposta e a resiliência das organizações face a um verdadeiro ciberataque, identificando e explorando vulnerabilidades nos seus sistemas, processos e elementos humanos.

Na maioria dos casos, as empresas realizam exercícios de pentest com regularidade, que são testes de segurança que se fazem sobre as principais infraestruturas de redes, servidores e serviços de uma empresa com o intuito de identificar vulnerabilidades.

À partida pode parecer ténue a disparidade entre estas duas estratégias de segurança, mas a verdade é que se complementam entre si.

No Pentest, testa-se a infra-estrutura tecnológica de uma organização, num espaço de tempo mais ou menos curto. A empresa fica com a ideia generalizada de quais são as vulnerabilidades que determinado sistema ou aplicação tem naquele momento, sendo o objetivo demonstrar a existência de vulnerabilidades e explorá-las para demonstrar os respetivos impactos, não existindo normalmente no Pentest qualquer pretensão de avaliar as equipas de defesa quanto à sua capacidade de detecção, bloqueio e reacção aos ataques efectuados, até porque na maioria das vezes os donos dos sistemas estão a par ou eles próprios solicitaram o Pentest.

No Red Teaming, uma equipa especializada tenta entrar na empresa, mas em vez de explorar vulnerabilidades em toda a infraestrutura tecnológica, seleciona cirurgicamente as vulnerabilidades que lhe permitem atingir os objetivos definidos, sendo que estas poderão ser tecnológicas ou de engenharia social. Todo o processo é feito de forma “silenciosa” e sem o conhecimento das equipas internas, porque só assim o principal objectivo do Red Teaming é alcançado - verificar a capacidade de resposta da organização a um ataque real.

Ou seja, o Pentest acaba por tentar descobrir todas as falhas presentes numa aplicação ou servidor, ao contrário do Red Teaming, que se foca num objetivo com impacto no negócio e gira à volta da exploração apenas das vulnerabilidades que permitam alcançar esse mesmo objetivo.

De referir que no Red Team é muito importante haver do lado do cliente uma equipa de defesa capaz de agir consoante aquilo que está a acontecer. Esta equipa – geralmente do departamento de Security Operations Center (SOC), chamada de Blue Team – desempenha um papel crucial, pois é ela que tenta bloquear algo, limitar acessos, etc. Em toda esta equação, há ainda a White Team, que consiste num grupo muito reduzido de pessoas na organização visada pelo exercício, que está a par de todas as atividades, e que, por norma, pretende evitar que haja qualquer disrupção nos serviços, dando apoio à Red Team quando necessário. Em conjunto, a Red Team e a White Team avaliam criteriosamente a viabilidade de executar ações que possam ter impacto negativo para a continuidade das operações da empresa.

Posto isto, pode-se dizer que estas duas abordagens são complementares, se por um lado o pentest identifica vulnerabilidades e impactos em componentes tecnológicos específicos da organização, o Red Teaming mede, de forma realista, a capacidade de resposta da organização face a um ataque real e trás a perspectiva de um atacante que tipicamente recorre a qualquer ferramenta ou alvo para atingir o seu objectivo, não se restringindo ao scope tecnológico tipicamente visado em pentest.

É verdade que as empresas nacionais estão cada vez mais atentas ao tema da Cibersegurança e conscientes dos seus prejuízos financeiros, impacto na credibilidade e reputação, perda de clientes e informação confidencial, sanções regulatórias, etc. que podem advir de um ataque, no entanto, devia haver um investimento mais robusto nesta área.

Dois exemplos de duas vertentes que podem ser exploradas: Servidores web externos, tais como Webmail (Exchange) e os Mercados de Credenciais (os agentes de malware infetam os computadores dos clientes e roubam credenciais, como passwords, para depois venderem), mas há muito mais para explorar neste caminho contínuo de preparação das organizações para ciberataques, que se requer ágil e proativo.

Tendo em conta o atual panorama empresarial e perante a crescente utilização de tecnologias altamente disruptivas, como a Inteligência Artificial, torna-se ainda mais urgente a adoção de técnicas que ajudem a detetar, responder e mitigar ataques, garantindo uma continuidade segura dos negócios num mercado digitalmente interligado.

(*) Principal Offensive Security Engineer e Principal Offensive Security Engineer