Atualmente as ameaças cibernéticas estão cada vez mais sofisticadas e trazendo muitas dores de cabeça, principalmente nos dias de hoje que vivemos em uma grande guerra cibernética.

Por isso, muitas empresas estão em busca de proteção de dados e no compliance com diversas regulamentações e leis, sendo assim, muitos procuram analisar o nível de segurança de suas organizações através de uma analise de vulnerabilidade e PenTest. Porém, esses métodos podem ir mais longe ainda, principalmente com o AEPs (Adversary Emulation Plans).

É claro que muitos aqui devem saber o que é um PenTest e como ele funciona, mas caso ainda tenha dúvidas irei resumir para ser mais direto ao ponto.

O que é PenTest?

PenTest (Penetration Testing) ou Teste de invasão tem como objetivo, simular um ataque cibernético na infraestrutura de uma organização, seja uma infraestrutura de rede, aplicação, sistemas e até mesmo usuários finais, para determinar se os controles de segurança foram bem implementados, as politicas de segurança estão de acordo e se as tecnologias estão seguras ou vulneráveis

Tipos de PenTest

Black Box: O profissional não possui conhecimentos do ambiente, assim será necessário procurar a melhor forma de comprometer um ambiente;

Os testes são classificados em dois tipos:

  • Blind Testing: Este teste verifica se um criminoso pode lançar um ataque com informações severamente limitadas, geralmente os pentesters só recebem o nome da empresa;
  • Double-Blind Testing: Nesse método, apenas um ou dois funcionários da organização têm conhecimento da realização do teste. Assim o Double-Blind Testing verifica a eficácia do monitoramento de segurança da organização, identificação de incidentes e o processos de resposta;

White Box: Você já possui conhecimentos de toda à infraestrutura da organização, o seu objetivo é apenas testar as vulnerabilidades e descobrir potências brechas também;

Gray Box: Já combina as duas analise, você vai ter algumas informações essenciais para atuar, geralmente esses acessos consistem só o acesso a rede e assim realizar os testes;

Esse é o conceito básico sobre um PenTest, caso ainda queira entender melhor o assunto aqui no meu LinkedIn tem bastante artigos e com materiais de estudos para se aprofundar.

Adversary Emulation

O objetivo do Adversary Emulation é que os profissionais de Red Team imite uma ameaça conhecida para validar o grau de impacto que uma determinada organização teria, caso um grupo famoso de Cibercriminosos resolve-se atacar sua empresa, além de combinar os aspectos de Threat Intelligence para entender como a equipe de Red Team atuou para atacar, mesclando o Blue Team para validar se os principais controles estão bem implementados.

Um Adversary Emulation vai muito além de um PenTest tradicional que testa apenas se controles e as medidas de segurança estão bem implementadas, indo além disso, misturando TTPs (Taticas, Técnicas e Procedimentos), para isso o Mitre Att&ck auxilia demais.

Não foi fornecido texto alternativo para esta imagem

Adversary Emulation vs PenTest

Como antes eu havia dito, enquanto o PenTest valida se os controles de segurança foram bem implementados, o Adversary Emulation já trabalha de maneira diferente, com um foco em analisar e determinar se aquela organização está pronta para um ataque ou não.

Então, saiba que um PenTest ele já difere e bastante de um Adversary Emulation, pois o seu foco é determinar se a organização está seguindo as rotinas de segurança corretamente, seja a segurança de aplicação, segurança de redes, segurança física e etc.

Adversary Emulation Plan

Determinar um plano AEP é essencial se você deseja oferecer esse tipo de serviço ou queira capacitar seu time de Red Team para atuar nesse segmento. Por isso, minha recomendação é que você se aprofunde bastante no Mitre Att&ck e claro, invista bastante em Threat Intelligence, pois esses dois são os pilares para entender como as ameaças estão se aprimorando e como remediar uma situação de invasão.

Adversary Emulation Plan na prática

Uma ferramenta bastante útil para você fazer analise comportamental e verificar se os monitoramentos estão funcionando devidamente é o https://github.com/redcanaryco/atomic-red-team (Atomic Red Team), ele tem alguns TTPs do Mitre Att&ck mapeados que pode ser útil para fazer um AEPs. Exemplo de teste: https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1135/T1135.md

Você também pode analisar os grupos de ameaças do Mitre Att&ck para auxiliar no seu AEP, pois são TTPs que profissionais da área de segurança da informação detectam de grupos famosos e reportam para o Mitre, mostrando as formas de atuação e técnicas que eles utilizam para comprometer seus alvos. Link: https://attack.mitre.org/groups/

Além disso, entender como funciona a estrutura do Mitre Att&ck vai beneficiar bastante para você elaborar um AEP mesclando vários métodos de ataques, claro que isso demanda um trabalho, mas é compensatório depois. Por isso, eu recomendo o curso da https://attackiq.com/

Não foi fornecido texto alternativo para esta imagem

Esse é um exemplo de AEP bastante interessante, mas claro que tudo é mais profundo e o Mitre Att&ck é a solução perfeita para isso, por isso a minha recomendação é se aprofundar nela, pois com certeza é uma grande parceira.

Imagine Mr. Robot na vida real, um grande ataque que pode resultar em perdas imensuráveis em todos os sentidos, com certeza a qualificação da sua equipe de Red Team é primordial, além de um trabalho em conjunto com as áreas de Blue Team e Inteligência da empresa.

Com certeza falar de de AEP é bastante profundo, principalmente quando se trata do Mitre Att&ck, mas quem sabe não saia um material mais detalhado 😉

Recomendo fortemente esse artigo para entender mais ainda sobre AEPs:

https://medium.com/mitre-attack/getting-started-with-attack-red-29f074ccf7e3

E claro, não posso deixar vocês sem materiais para se aprofundar no assunto!

https://github.com/mitre/caldera (Framework de AEP)

https://www.cybereason.com/blog/what-are-adversary-emulation-plans

https://pentestit.com/adversary-emulation-tools-list/

https://www.sans.org/cyber-security-courses/red-team-exercises-adversary-emulation/

https://www.crowdstrike.com/services/am-i-ready/adversary-emulation-exercise/

https://portswigger.net/daily-swig/attpwn-adversary-emulation-tool-allows-pen-testers-to-identify-security-holes-before-attackers-do

ibm.com/security/services/adversary-simulation-services

https://depthsecurity.com/assessments/adversary-emulation

https://www.mitre.org/sites/default/files/publications/mitre-getting-started-with-attack-october-2019.pdf

https://www.mitre.org/sites/default/files/publications/pr-18-0944-11-mitre-attack-design-and-philosophy.pdf

https://www.mitre.org/sites/default/files/publications/16-3713-finding-cyber-threats%20with%20att%26ck-based-analytics.pdf

https://www.elastic.co/pdf/how-to-use-mitre-attack

https://i.blackhat.com/USA-19/Wednesday/us-19-Nickels-MITRE-ATTACK-The-Play-At-Home-Edition.pdf

https://www.blackhat.com/docs/us-17/thursday/us-17-Bianco-Go-To-Hunt-Then-Sleep.pdf

https://www.blackhat.com/presentations/bh-dc-07/Barnum/Paper/bh-dc-07-Barnum-WP.pdf

https://www.blackhat.com/docs/eu-17/materials/eu-17-Miller-CALDERA-Automating-Adversary-Emulation.pdf

https://i.blackhat.com/USA-19/Thursday/us-19-Smith-Fantastic-Red-Team-Attacks-And-How-To-Find-Them.pdf

https://www.blackhat.com/docs/webcast/2018-08-23-handling-vast-amounts-of-threat-intel-via-automation-by-anomali.pdf

Visits: 6114