Conforme os crimes cibernéticos avançam em um ritmo frenético, e a aproximação da Cibersegurança do dia a dia dos negócios deixa de ser uma opção, ou um diferencial de mercado, para se tornar uma necessidade, é preciso pensar estrategicamente, se não para assumir a ponta na corrida contra o cibercrime, para ao menos não ficar tão para trás.
Essa mentalidade levou muitas empresas a contratarem e formarem equipes que atuam nos mais variados momentos da proteção ao perímetro, cada tem se tornado cada vez maior com múltiplas nuvens, aplicações híbridas, serviços sendo consumidos para todos os lados, shadow IT, entre outros.
Isso gerou dois dos mais conhecidos times na nossa área: Red Team e Blue Team. Simplificando, são equipes com funções opostas: uma pratica a segurança ofensiva, realizando tentativas de ataques controladas; já a outra é a responsável pela resposta a ataques e correção de falhas, se certificando de que as barreiras postas funcionam.
Mas, como casos recentes nos ilustram, nem sempre isso é suficiente. Na verdade, na imensa maioria das vezes falta um componente que os exercícios de Red/Blue Team não testam. É preciso procurar por pontos cegos e/ou vetores de entrada que podem estar sendo formados a todo momento, e um teste periódico apesar de bom, não é capaz de testar o tempo todo por estas falhas. Não custa lembrar que, proporcionalmente, há muitos menos de nós do que há de atacantes do outro lado.
Apesar de ser uma tarefa das mais árduas, há caminhos. Podemos pensar um deles na evolução desses conceitos: o Purple Team, ou time roxo. Exatamente como indicado pelo nome, trata-se de uma fusão das atividades realizadas pelas equipes das outras duas cores. A ideia aqui é unir metodologias de ataque e defesa para prover uma robustez de segurança ainda maior e mais completa.
Mas como formar esse time? Para responder essa pergunta, precisamos entender que este é um processo que pode ser automatizado, o que também introduz o segundo conceito chave dessa discussão: BAS, ou Breach and Attack Simulation ("Simulação de invasão e ataque"). Trata-se, por meio da testagem e, como o próprio nome diz, simulação de ataques controlados, receber uma avaliação do desempenho da performance dos controles de segurança, o que gera uma plataforma de comunicação contínua entre as equipes, e permite que azuis e vermelhos, em conjunto, aprimorem controles e políticas de segurança de maneira mais eficiente.
Isso é feito testando diferentes cenários de ataque. Aqui, é removida a variável do erro humano, que, como bem sabemos, é um dos calcanhares de Aquiles do nosso setor. Com o "trabalho braçal" ficando para a máquina, que vai testar milhares de técnicas de ataque, as equipes de segurança podem focar nos resultados destes ataques controlados, ao invés de executar os ataques propriamente ditos.
Utilizando a mesma alegoria da corrida, para não deixarmos os cibercriminosos "dispararem", é preciso saber otimizar a forma como utilizamos as ferramentas ao nosso dispor. Por melhores que sejam os profissionais, não há como um ser humano testar continuamente milhares de cenários.
Podemos pensar no serviço de MDR também como paralelo. Nos primórdios, não existia SOAR (orquestração da resposta) que automatizasse completamente a resposta aos incidentes mais simples, e ajudasse na resposta aos mais complexos. O ser humano basicamente atuava sozinho. Com a maturidade, verificou-se que na prática responder tudo manualmente não funciona, pois os tempos de resposta ficam longos e perde-se a tempestividade.
Os testes de segurança ofensiva seguem pelo mesmo caminho do MDR, automatizando o que pode ser automatizado, deixando o ser humano para tarefas mais nobres, que é atuar sobre o resultado.
Portanto, automatizar processos promovendo a colaboração entre equipes é uma forma de fomentar a inovação e a criatividade, nossa maior arma numa disputa completamente desigual.
Leonardo Camata, Diretor de Inovação do SafeLabs.