Atualmente as ameaças cibernéticas estão cada vez mais sofisticadas e trazendo muitas dores de cabeça, principalmente nos dias de hoje que vivemos em uma grande guerra cibernética.
Por isso, muitas empresas estão em busca de proteção de dados e no compliance com diversas regulamentações e leis, sendo assim, muitos procuram analisar o nível de segurança de suas organizações através de uma analise de vulnerabilidade e PenTest. Porém, esses métodos podem ir mais longe ainda, principalmente com o AEPs (Adversary Emulation Plans).
É claro que muitos aqui devem saber o que é um PenTest e como ele funciona, mas caso ainda tenha dúvidas irei resumir para ser mais direto ao ponto.
O que é PenTest?
PenTest (Penetration Testing) ou Teste de invasão tem como objetivo, simular um ataque cibernético na infraestrutura de uma organização, seja uma infraestrutura de rede, aplicação, sistemas e até mesmo usuários finais, para determinar se os controles de segurança foram bem implementados, as politicas de segurança estão de acordo e se as tecnologias estão seguras ou vulneráveis
Tipos de PenTest
Black Box: O profissional não possui conhecimentos do ambiente, assim será necessário procurar a melhor forma de comprometer um ambiente;
Os testes são classificados em dois tipos:
- Blind Testing: Este teste verifica se um criminoso pode lançar um ataque com informações severamente limitadas, geralmente os pentesters só recebem o nome da empresa;
- Double-Blind Testing: Nesse método, apenas um ou dois funcionários da organização têm conhecimento da realização do teste. Assim o Double-Blind Testing verifica a eficácia do monitoramento de segurança da organização, identificação de incidentes e o processos de resposta;
White Box: Você já possui conhecimentos de toda à infraestrutura da organização, o seu objetivo é apenas testar as vulnerabilidades e descobrir potências brechas também;
Gray Box: Já combina as duas analise, você vai ter algumas informações essenciais para atuar, geralmente esses acessos consistem só o acesso a rede e assim realizar os testes;
Esse é o conceito básico sobre um PenTest, caso ainda queira entender melhor o assunto aqui no meu LinkedIn tem bastante artigos e com materiais de estudos para se aprofundar.
Adversary Emulation
O objetivo do Adversary Emulation é que os profissionais de Red Team imite uma ameaça conhecida para validar o grau de impacto que uma determinada organização teria, caso um grupo famoso de Cibercriminosos resolve-se atacar sua empresa, além de combinar os aspectos de Threat Intelligence para entender como a equipe de Red Team atuou para atacar, mesclando o Blue Team para validar se os principais controles estão bem implementados.
Um Adversary Emulation vai muito além de um PenTest tradicional que testa apenas se controles e as medidas de segurança estão bem implementadas, indo além disso, misturando TTPs (Taticas, Técnicas e Procedimentos), para isso o Mitre Att&ck auxilia demais.
Adversary Emulation vs PenTest
Como antes eu havia dito, enquanto o PenTest valida se os controles de segurança foram bem implementados, o Adversary Emulation já trabalha de maneira diferente, com um foco em analisar e determinar se aquela organização está pronta para um ataque ou não.
Então, saiba que um PenTest ele já difere e bastante de um Adversary Emulation, pois o seu foco é determinar se a organização está seguindo as rotinas de segurança corretamente, seja a segurança de aplicação, segurança de redes, segurança física e etc.
Adversary Emulation Plan
Determinar um plano AEP é essencial se você deseja oferecer esse tipo de serviço ou queira capacitar seu time de Red Team para atuar nesse segmento. Por isso, minha recomendação é que você se aprofunde bastante no Mitre Att&ck e claro, invista bastante em Threat Intelligence, pois esses dois são os pilares para entender como as ameaças estão se aprimorando e como remediar uma situação de invasão.
Adversary Emulation Plan na prática
Uma ferramenta bastante útil para você fazer analise comportamental e verificar se os monitoramentos estão funcionando devidamente é o https://github.com/redcanaryco/atomic-red-team (Atomic Red Team), ele tem alguns TTPs do Mitre Att&ck mapeados que pode ser útil para fazer um AEPs. Exemplo de teste: https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1135/T1135.md
Você também pode analisar os grupos de ameaças do Mitre Att&ck para auxiliar no seu AEP, pois são TTPs que profissionais da área de segurança da informação detectam de grupos famosos e reportam para o Mitre, mostrando as formas de atuação e técnicas que eles utilizam para comprometer seus alvos. Link: https://attack.mitre.org/groups/
Além disso, entender como funciona a estrutura do Mitre Att&ck vai beneficiar bastante para você elaborar um AEP mesclando vários métodos de ataques, claro que isso demanda um trabalho, mas é compensatório depois. Por isso, eu recomendo o curso da https://attackiq.com/
Esse é um exemplo de AEP bastante interessante, mas claro que tudo é mais profundo e o Mitre Att&ck é a solução perfeita para isso, por isso a minha recomendação é se aprofundar nela, pois com certeza é uma grande parceira.
Imagine Mr. Robot na vida real, um grande ataque que pode resultar em perdas imensuráveis em todos os sentidos, com certeza a qualificação da sua equipe de Red Team é primordial, além de um trabalho em conjunto com as áreas de Blue Team e Inteligência da empresa.
Com certeza falar de de AEP é bastante profundo, principalmente quando se trata do Mitre Att&ck, mas quem sabe não saia um material mais detalhado 😉
Recomendo fortemente esse artigo para entender mais ainda sobre AEPs:
https://medium.com/mitre-attack/getting-started-with-attack-red-29f074ccf7e3
E claro, não posso deixar vocês sem materiais para se aprofundar no assunto!
https://github.com/mitre/caldera (Framework de AEP)
https://www.cybereason.com/blog/what-are-adversary-emulation-plans
https://pentestit.com/adversary-emulation-tools-list/
https://www.sans.org/cyber-security-courses/red-team-exercises-adversary-emulation/
https://www.crowdstrike.com/services/am-i-ready/adversary-emulation-exercise/
ibm.com/security/services/adversary-simulation-services
https://depthsecurity.com/assessments/adversary-emulation
https://www.elastic.co/pdf/how-to-use-mitre-attack
https://i.blackhat.com/USA-19/Wednesday/us-19-Nickels-MITRE-ATTACK-The-Play-At-Home-Edition.pdf
https://www.blackhat.com/docs/us-17/thursday/us-17-Bianco-Go-To-Hunt-Then-Sleep.pdf
https://www.blackhat.com/presentations/bh-dc-07/Barnum/Paper/bh-dc-07-Barnum-WP.pdf
Views: 6281