Entenda o que são e quais as funções das principais equipes que atuam no universo da cibersegurança.
O investimento que empresas e organizações de todas as regiões do planeta vêm atribuindo à segurança cibernética já é uma realidade dos dias atuais – e que tende a crescer ainda mais nos próximos anos. Pesquisas realizadas por instituições renomadas mundialmente (como as feitas pela Veracode, World Economic Forum, Ponemon Institute e ICS² apontam para as urgências e riscos que o universo da cibersegurança apresenta para a sociedade.
Nesse sentido, é imprescindível que as equipes de segurança digital sejam bem estruturadas para que as chances das ameaças digitais sejam minimizadas, e as competências para resolvê-las sejam aprimoradas. Em um mundo onde o virtual adquire maiores proporções a cada dia, estar atualizado e reforçar a defesa de redes, sistemas e dados não é apenas uma opção, mas uma necessidade.
Pensando nisso, montar uma estrutura de segurança cibernética eficaz demanda que diferentes times, ou equipes, a integrem. Esses times requerem funções, certificações e atividades específicas que, somadas, extraem o potencial máximo para a segurança dos seus negócios. Além disso, as definições das equipes de segurança são importantes para que os profissionais da área consigam se especializar e delimitar os passos adequados dentro da carreira desejada. Entre tais equipes, as mais conhecidas são o blue team e red team.
Mas você conhece as principais diferenças entre elas?
Red Team – Explore as vulnerabilidades
Quando falamos em red team, ou “time vermelho”, nos referimos aos grupos especializados na penetração de sistemas. Em suma, é a equipe dedicada ao “Offensive Security”, ou seja, à invasão de sistemas para que melhorias e aprimoramentos possam ser desenvolvidos.
Os integrantes deste time buscam testar a eficácia de um programa de segurança através de simulações realistas de ataques, a fim de extrair relatórios e expor possíveis vulnerabilidades. Ou seja, o profissional de red team (conhecido também como pentester ou hacker ético) é aquele especialista altamente qualificado que imitará técnicas de métodos de invasão do mundo real para que a defesa da rede ou sistema possa ser aprimorada.
O Red Team tem a função de avaliar a segurança atual das infraestruturas, tecnologias e aplicações corporativas, além da prontidão dos times de Segurança Defensiva. Os profissionais de Red Team são também conhecidos como Pentesters (de Penetration Testers), que são os profissionais que vão buscar vulnerabilidades conhecidas e testar novas combinações de ataques e de engenharia social para obter acesso aos sistemas ou à infraestrutura, servidores e aplicações.
Almir Meira Alves, Diretor Acadêmico da CECyber (Center of Excellence in Cybersecurity)
Duas técnicas frequentemente utilizadas pela equipe vermelha são as tentativas de phishing padrão dirigidas a funcionários, e o uso da engenharia social para falsificar a identidade de colaboradores com o objetivo de obter acesso de administrador.
Uma prática comum entre as empresas é a de contratar profissionais terceirizados para formarem um red team – especialistas capacitados para explorar as vulnerabilidades de segurança, mas sem saber das defesas embutidas na infraestrutura da organização.
Blue Team – Previna, detecte, avalie e corrija as ameaças
Se o red team está intimamente relacionado ao ataque, o blue team assume o papel defensivo no universo cibernético. Também conhecido como “time azul”, ela é a equipe dedicada à defesa de qualquer tipo de ameaça de uma empresa ou organização. Por isso, realizam coleta de dados, análises dos dados, sistemas, redes e servidores que devem ser protegidos, além de produzirem avaliações de riscos, ou seja, as possíveis vulnerabilidades suscetíveis às ameaças cibernéticas. A partir de tais ações, os profissionais dessa categoria desenvolvem e implementam políticas e planos de ações para reduzir as probabilidades de um eventual ataque.
Ainda que muitos acreditem que a prevenção seja a função principal da equipe defensiva, a detecção e recuperação de uma invasão são igualmente fundamentais. Isso significa que esses profissionais são os responsáveis por lidarem com as ameaças em tempo real durante uma invasão.
O Blue Team tem a função de proteger as infraestruturas, tecnologias e aplicações corporativas e ter a prontidão necessária para prevenir, identificar, conter, responder e mitigar qualquer tentativa de acesso indevido ou ataque cibernético. Para fazer isso, esses profissionais devem ser capazes de operar o ferramental de segurança e interpretar qualquer informação que possa indicar uma tentativa ou a confirmação de acesso indevido aos sistemas e à infraestrutura da empresa.
Almir Meira Alves, Diretor Acadêmico da CECyber (Center of Excellence in Cybersecurity)
Um profissional de blue team precisa conhecer as táticas, técnicas e procedimentos maliciosos utilizados pelos invasores para construir estratégias de resposta em torno deles, bem como estar continuamente envolvido para fortalecer toda a infraestrutura virtual da empresa. É preciso também ter conhecimento para utilizar as ferramentas de Segurança Cibernética, como Firewall, IDS/IPS (Sistema de Detecção de Intrusão e Sistema de Prevenção de Intrusão), WAF (Web Application Firewall), Antivírus, DLP (Data Loss Prevention) e SIEM (Gerenciamento e Correlação de Eventos de Segurança). Analisar logs e registros, auditorias de segurança, testes DDoS e desenvolvimento de cenários de risco são algumas das atividades comuns do blue team.
Principais Certificações
As certificações desempenham um papel fundamental no mercado de cibersegurança. Segundo o relatório da Fortinet (2020), cerca de 82% das empresas que contratam profissionais de TI sofisticada e segurança cibernética preferem especialistas certificados. Portanto, além de deterem validade global, elas possuem um peso muito grande no momento de ingressar naquela empresa ou organização tão desejada.
Abaixo você confere as certificações mais relevantes para cada equipe:
- Red Team
Certified Ethical Hacker (CEH) – Exame da EC-Council centrado no teste de conhecimentos como ameaças à segurança da informação e vetores de ataque, detecção de ataques, prevenção de ataques, procedimentos e metodologias.
CompTIA PenTest+ – Exame responsável por avaliar todas as fases de penetração e gerenciamento de vulnerabilidades. A obtenção do certificado assegura que o profissional é capaz de planejar e definir o escopo de um compromisso de teste de penetração; entender os requisitos legais e de conformidade; executar a verificação de vulnerabilidade e teste de penetração usando ferramentas apropriadas e técnicas e, em seguida, analisar os resultados; produzir um relatório escrito contendo técnicas de remediação propostas, e de forma eficaz comunicar os resultados à equipe de gestão, fornecendo recomendações práticas.
Offensive Security Certified Professional (OSCP) – Trata-se de uma certificação direcionada àqueles que buscam carreira no Hacking Ético ou pentesting. Desenvolvida pela Offensive Security, o exame avaliará as habilidades do candidato em utilizar várias ferramentas para pentesting dentro do sistema operacional Kali Linux, ao mesmo tempo em que documentam quaisquer vulnerabilidades nos exercícios de laboratório. Os examinadores não estarão apenas preocupados com as habilidades técnicas, mas também com a comunicação profissional e as habilidades de documentação adequadas, que são um requisito para a maioria das funções de TI.
- Blue Team
CompTIA CySA+ – A certificação CySA+ da CompTIA aplica análises comportamentais a redes e dispositivos para prevenir, detectar e combater ameaças de segurança cibernética por meio de monitoramento contínuo da segurança. O candidato que busca tal certificação terá que demonstrar conseguir aproveitar as técnicas de inteligência e detecção de ameaças; analisar e interpretar dados; identificar e resolver vulnerabilidades; sugerir medidas preventivas e responder e se recuperar efetivamente de incidentes.
Certified Incident Handler (ECIH) – Emitido pela EC-Council, a certificação ECIH é um programa abrangente de nível especialista que transmite conhecimentos e habilidades que as organizações precisam para lidar efetivamente com as consequências pós-violação, reduzindo o impacto do incidente, tanto do ponto de vista financeiro quanto de reputação.
E as outras equipes?
Além dos tradicionais blue e red team, o purple team é bastante conhecido e vem ganhando um espaço cada vez maior entre empresas e organizações ao redor do mundo. O purple team, ou “time roxo”, é aquele responsável por garantir que as equipes vermelhas e azuis se mantenham em constante comunicação e colaboração. Logo, é o time que capta as estratégias e planos defensivos do Time Azul, e unifica com as informações sobre as ameaças e vulnerabilidades encontradas pelo Time Vermelho.
Dessa forma, os resultados obtidos de ambas as equipes são maximizados, e a segurança da organização obtém melhorias significativas. O purple team pode ser organizado como uma equipe própria, assim como o red e blue, ou como uma dinâmica/prática contínua das demais.
Nos últimos anos, três novos times foram integrados à Segurança da Informação, sendo eles: yellow, orange e green teams. Os membros do yellow team seriam aqueles responsáveis por projetarem softwares e sistemas de uma empresa ou organização, considerando-se a abordagem do desenvolvimento seguro de software. Logo, engenheiros de software e desenvolvedores de aplicativos, por exemplo, poderiam ser enquadrados como parte de um Time Amarelo.
O orange team, ou “time laranja”, seria a junção do yellow team com os conhecimentos do red team. Em outras palavras, é treinar o desenvolvedor com a mentalidade de um invasor, para que sejam formados melhores programadores, e os sistemas e aplicações desenvolvidos com protocolos de segurança mais robustos.
Por fim, o green team (“time verde”) une os conhecimentos do blue team com as atuações do yellow team. Com o feedback do Time Azul, é possível, nos momentos iniciais do desenvolvimento de uma aplicação ou sistema, identificar vulnerabilidades e elaborar estratégias que tornem o ativo mais seguro.
Conclusão
Para que uma infraestrutura de segurança cibernética seja eficiente e completa, preparada para as mais diversas ameaças digitais, é preciso que o blue team e o red team estejam organizados, trabalhando em conjunto e com o corpo técnico qualificado. E lembre-se: a segurança cibernética independe do tamanho ou setor de um negócio.
Todo mundo sabe que o Brasil tem muita oferta e produz excelentes hackers (do bem). É um trabalho bacana, muito interessante e importante. Mas é preciso focar em defesa cibernética. Por quê? Porque a dor está aqui. Todos esses ataques que a gente ouve falar toda semana… pois é, é na defesa cibernética que o bicho pega!
Paulo Mordehachvili – CEO/CECyber
Com o aumento exponencial de invasões virtuais nos últimos anos, estruturar boas equipes de cybersecurity se torna uma tarefa ainda mais necessária. Ainda que o Brasil seja conhecido por formar excelentes profissionais de red team, poucos são os cursos e materiais direcionados ao blue team, ainda que seja uma equipe com excelentes remunerações e oportunidades no mercado de trabalho.
O professor Almir Alves (CECyber) avalia ainda que “o Brasil não tem corpo técnico suficiente e com o nível de especialização adequado para ocupar todas as vagas da área. E isso gera uma oportunidade enorme para aqueles profissionais que já são de TI, Infraestrutura e Desenvolvimento de Software e que queiram migrar para a Segurança Cibernética. Também é o momento propício para os jovens profissionais que estão tomando a decisão de carreira dentro da tecnologia. A área tem muitas oportunidades e precisa de uma força de trabalho bem preparada.”
Pensando nisso, nós da CECyber oferecemos os treinamentos mais completos tanto para red team quanto para blue team, com cursos de alto padrão, em português e focados na prática, mas sem deixar de lado a importância da teoria, das certificações e do acadêmico. Venha com a gente para o mundo cyber e ajude a transformar o mundo em um lugar mais seguro!
Comments are closed.