Atualmente as ameaças cibernéticas estão cada vez mais sofisticadas e trazendo muitas dores de cabeça, principalmente nos dias de hoje que vivemos em uma grande guerra cibernética.

Por isso, muitas empresas estão em busca de proteção de dados e no compliance com diversas regulamentações e leis, sendo assim, muitos procuram analisar o nível de segurança de suas organizações através de uma analise de vulnerabilidade e PenTest. Porém, esses métodos podem ir mais longe ainda, principalmente com o AEPs (Adversary Emulation Plans).

É claro que muitos aqui devem saber o que é um PenTest e como ele funciona, mas caso ainda tenha dúvidas irei resumir para ser mais direto ao ponto.

O que é PenTest?

PenTest (Penetration Testing) ou Teste de invasão tem como objetivo, simular um ataque cibernético na infraestrutura de uma organização, seja uma infraestrutura de rede, aplicação, sistemas e até mesmo usuários finais, para determinar se os controles de segurança foram bem implementados, as politicas de segurança estão de acordo e se as tecnologias estão seguras ou vulneráveis

Tipos de PenTest

Black Box: O profissional não possui conhecimentos do ambiente, assim será necessário procurar a melhor forma de comprometer um ambiente;

Os testes são classificados em dois tipos:

  • Blind Testing: Este teste verifica se um criminoso pode lançar um ataque com informações severamente limitadas, geralmente os pentesters só recebem o nome da empresa;
  • Double-Blind Testing: Nesse método, apenas um ou dois funcionários da organização têm conhecimento da realização do teste. Assim o Double-Blind Testing verifica a eficácia do monitoramento de segurança da organização, identificação de incidentes e o processos de resposta;

White Box: Você já possui conhecimentos de toda à infraestrutura da organização, o seu objetivo é apenas testar as vulnerabilidades e descobrir potências brechas também;

Gray Box: Já combina as duas analise, você vai ter algumas informações essenciais para atuar, geralmente esses acessos consistem só o acesso a rede e assim realizar os testes;

Esse é o conceito básico sobre um PenTest, caso ainda queira entender melhor o assunto aqui no meu LinkedIn tem bastante artigos e com materiais de estudos para se aprofundar.

Adversary Emulation

O objetivo do Adversary Emulation é que os profissionais de Red Team imite uma ameaça conhecida para validar o grau de impacto que uma determinada organização teria, caso um grupo famoso de Cibercriminosos resolve-se atacar sua empresa, além de combinar os aspectos de Threat Intelligence para entender como a equipe de Red Team atuou para atacar, mesclando o Blue Team para validar se os principais controles estão bem implementados.

Um Adversary Emulation vai muito além de um PenTest tradicional que testa apenas se controles e as medidas de segurança estão bem implementadas, indo além disso, misturando TTPs (Taticas, Técnicas e Procedimentos), para isso o Mitre Att&ck auxilia demais.

Não foi fornecido texto alternativo para esta imagem

Adversary Emulation vs PenTest

Como antes eu havia dito, enquanto o PenTest valida se os controles de segurança foram bem implementados, o Adversary Emulation já trabalha de maneira diferente, com um foco em analisar e determinar se aquela organização está pronta para um ataque ou não.

Então, saiba que um PenTest ele já difere e bastante de um Adversary Emulation, pois o seu foco é determinar se a organização está seguindo as rotinas de segurança corretamente, seja a segurança de aplicação, segurança de redes, segurança física e etc.

Adversary Emulation Plan

Determinar um plano AEP é essencial se você deseja oferecer esse tipo de serviço ou queira capacitar seu time de Red Team para atuar nesse segmento. Por isso, minha recomendação é que você se aprofunde bastante no Mitre Att&ck e claro, invista bastante em Threat Intelligence, pois esses dois são os pilares para entender como as ameaças estão se aprimorando e como remediar uma situação de invasão.

Adversary Emulation Plan na prática

Uma ferramenta bastante útil para você fazer analise comportamental e verificar se os monitoramentos estão funcionando devidamente é o https://github.com/redcanaryco/atomic-red-team (Atomic Red Team), ele tem alguns TTPs do Mitre Att&ck mapeados que pode ser útil para fazer um AEPs. Exemplo de teste: https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1135/T1135.md

Você também pode analisar os grupos de ameaças do Mitre Att&ck para auxiliar no seu AEP, pois são TTPs que profissionais da área de segurança da informação detectam de grupos famosos e reportam para o Mitre, mostrando as formas de atuação e técnicas que eles utilizam para comprometer seus alvos. Link: https://attack.mitre.org/groups/

Além disso, entender como funciona a estrutura do Mitre Att&ck vai beneficiar bastante para você elaborar um AEP mesclando vários métodos de ataques, claro que isso demanda um trabalho, mas é compensatório depois. Por isso, eu recomendo o curso da https://attackiq.com/

Não foi fornecido texto alternativo para esta imagem

Esse é um exemplo de AEP bastante interessante, mas claro que tudo é mais profundo e o Mitre Att&ck é a solução perfeita para isso, por isso a minha recomendação é se aprofundar nela, pois com certeza é uma grande parceira.

Imagine Mr. Robot na vida real, um grande ataque que pode resultar em perdas imensuráveis em todos os sentidos, com certeza a qualificação da sua equipe de Red Team é primordial, além de um trabalho em conjunto com as áreas de Blue Team e Inteligência da empresa.

Com certeza falar de de AEP é bastante profundo, principalmente quando se trata do Mitre Att&ck, mas quem sabe não saia um material mais detalhado 😉

Recomendo fortemente esse artigo para entender mais ainda sobre AEPs:

https://medium.com/mitre-attack/getting-started-with-attack-red-29f074ccf7e3

E claro, não posso deixar vocês sem materiais para se aprofundar no assunto!

https://github.com/mitre/caldera (Framework de AEP)

https://www.cybereason.com/blog/what-are-adversary-emulation-plans

https://pentestit.com/adversary-emulation-tools-list/

https://www.sans.org/cyber-security-courses/red-team-exercises-adversary-emulation/

https://www.crowdstrike.com/services/am-i-ready/adversary-emulation-exercise/

https://portswigger.net/daily-swig/attpwn-adversary-emulation-tool-allows-pen-testers-to-identify-security-holes-before-attackers-do

ibm.com/security/services/adversary-simulation-services

https://depthsecurity.com/assessments/adversary-emulation

https://www.mitre.org/sites/default/files/publications/mitre-getting-started-with-attack-october-2019.pdf

https://www.mitre.org/sites/default/files/publications/pr-18-0944-11-mitre-attack-design-and-philosophy.pdf

https://www.mitre.org/sites/default/files/publications/16-3713-finding-cyber-threats%20with%20att%26ck-based-analytics.pdf

https://www.elastic.co/pdf/how-to-use-mitre-attack

https://i.blackhat.com/USA-19/Wednesday/us-19-Nickels-MITRE-ATTACK-The-Play-At-Home-Edition.pdf

https://www.blackhat.com/docs/us-17/thursday/us-17-Bianco-Go-To-Hunt-Then-Sleep.pdf

https://www.blackhat.com/presentations/bh-dc-07/Barnum/Paper/bh-dc-07-Barnum-WP.pdf

https://www.blackhat.com/docs/eu-17/materials/eu-17-Miller-CALDERA-Automating-Adversary-Emulation.pdf

https://i.blackhat.com/USA-19/Thursday/us-19-Smith-Fantastic-Red-Team-Attacks-And-How-To-Find-Them.pdf

https://www.blackhat.com/docs/webcast/2018-08-23-handling-vast-amounts-of-threat-intel-via-automation-by-anomali.pdf

Autor

  • 8 years of academic and professional experience, Cyber Security Analyst, Cyber and Information Security Consultant, Information Security, Ethical Hacking and PenTester, OWASP Member and Researcher, Cybrary Teacher Assistant, Microsoft Instructor, Web Developer, Bug Hunter by HackerOne and OBB, Python Developer, has over +440 technology courses and +42 certifications, SANS Member, CIS Member and Research, Infosec Competence Leader in Security Awareness, Cyber Security Mentor, Writer Professional in Blog and Magazines, Exploit Developer, EC-COUNCIL Voluntary Blog Writer and IT Lover.

Hits: 4774