Sabia que o Purple Team é o “meio de campo” entre os Red e Blue Teams e que agrega muito valor à Segurança da Informação da sua organização?

Não importa o segmento da sua organização e nem mesmo o tamanho: uma das maneiras mais eficazes de descobrir vulnerabilidades de infraestrutura e impedir possíveis ameaças cibernéticas é contar com a experiência das equipes vermelhas e azuis ou Red Teams and Blue Teams.

O Red Team realiza teste de penetração (pen testing) e avaliações de vulnerabilidade (Scan Vulnerability) enquanto o Blue Team responde a incidentes enquanto constrói e mantém as defesas da organização. Como o Red Team tem a responsabilidade de desafiar as defesas do Blue Team, é inteligente pensar em um ele entre eles, mesmo com diferenças de atividades, mas que seja disputa sadia com um objetivo definido. Então surgiu o Purple Team, que é forma de fechar essa conta e trazer benefícios para as organizações.

Embora os Purple Teams não sejam tão famosos, e nem sejam tão amplamente empregados e não existam há tanto tempo quanto os Red e Blue Teams, cada vez mais as organizações estão se afastando da metodologia antiquada “equipe vermelha versus equipe azul” e adotando a cooperação mútua entre as duas. E assim como o vermelho e o azul misturados formam o roxo, as equipes roxas estão lá para ajudar os dois a trabalhar de forma coesa, com o objetivo final de aumentar a segurança de uma organização.

A literatura sobre os Red e Blue Teams é extensa e nessa matéria vamos falar um pouco mais do conceito dos Purple Teams: o que são, benefícios que agregarão Segurança da Informação, aplicativos e sistemas e as boas práticas recomendadas para a sua prática.

O que é um Purple Team?

O que é um Purple Team?
O Purple Team é projetado como uma ponte de feedback entre os Red e Blue Teams

Antes da definição do Purple Team, vamos fazer uma revisão rápida do que são e o que fazem os Red e Blue Teams.

Os Red e Blue Teams têm objetivos antagônicos, porém com um objetivo em comum, que é a melhora contínua da segurança da informação da organização. Os Reds efetuam os ataques enquanto os Blues constroem as defesas.

Os Reds devem pensar como se fosse um atacante, tem que testar as defesas da organização usando metodologias e táticas para invadir ou tentar invadir um sistema, descobrir fraquezas e vulnerabilidades na segurança da infraestrutura, lançar exploits, testar a probabilidade de erro humano e compartilhar suas descobertas. Eles geralmente são um grupo externo de profissionais de segurança, os conhecidos white hats ou os hackers do bem, que são contratados por uma organização por sua abordagem semelhante ao adversário para desafiar continuamente os procedimentos, políticas e sistemas de segurança da organização.

Algumas tarefas comuns da equipe vermelha:

  • Teste de penetração
  • Avaliação de vulnerabilidade
  • Engenharia social

Os Blues por sua vez, são projetados para desenvolver medidas defensivas para conter as atividades dos Reds e, em última instância, o trabalho dos adversários reais. Eles também precisam ter conhecimento sobre ameaças em potencial e métodos de ataque para continuar a desenvolver mecanismos de defesa mais fortes e melhorar a resposta a incidentes.

As tarefas comuns da equipe azul são:

  • Análise de dados de inteligência de risco
  • Resposta ao incidente
  • Monitoramento de segurança
  • Engenharia reversa

Enquanto os Reds tentam quebrar as defesas colocadas pelos Blues, e como o sucesso é medido pelo número de vulnerabilidades que eles descobrem, eles raramente têm um motivo para ajudar o time azul. Isso acontece apesar do objetivo comum de melhorar a segurança organizacional e de todo o potencial de seus testes e avaliações combinados.

Essa falta de colaboração é comum em organizações com um Blue Team interna e um Red Team externo, mas não é raro encontrar esse tipo de desconexão mesmo em organizações com ambas as equipes internas.

Em um cenário comum, o Red Team terminará seus testes e enviará um relatório de vulnerabilidade que irá para o Blue Team, que por sua vez trabalhará na correção. Este ciclo de feedback é indireto e passivo e pode demorar um pouco para ser concluído.

É aí que entra o Purple Team. O Purple Team é projetado como uma ponte de feedback entre os Red e Blue Teams, modificando sua abordagem para ser mais proativa, direta e, no final, mais eficaz em termos de postura geral de segurança de uma organização. Não precisa ser um grupo novo, separado ou “terceiro” de especialistas; é mais uma metodologia. É muito interessante pensar nisso como uma prática de segurança que permite o compartilhamento de dados de inteligência entre os dois, suportando feedback em tempo real e comunicando seus insights um ao outro.

Vamos a um exemplo de funcionamento de um Purple Team: em vez de realizar um pen test anual, o Red Team envia o relatório, o Blue Team responde com a correção e eles colaboram. O Red Team aconselha sobre como priorizar o gerenciamento de vulnerabilidade e correção de falhas críticas, enquanto o Blue Team monitora o Red Team e compartilha insights sobre as atividades e testes do Red Team, em um esforço para descobrir fraquezas mais profundas no sistema.

Esta abordagem fortalecerá ambos os lados. O Blue Team fica mais informado sobre como priorizar, medir e melhorar sua capacidade de detectar ameaças e ataques, e o Red Team aprende mais sobre tecnologias e mecanismos usados ​​na defesa. Isso pode levar à descoberta de vetores de ataque mais avançados e à compreensão de métodos de ataque mais sofisticados.

Como minha organização pode se beneficiar de uma equipe roxa?

o primeiro incentivo é a comunicação forte e regular entre o ataque e a defesa.

Agora que vimos o que é o Purple Team, vamos ver como sua organização pode se beneficiar com a adoção desta metodologia de segurança específica.

Detecção de vulnerabilidade mais eficaz

Às vezes, uma violação pode ocorrer com o invasor contornando todas as defesas e o Blue Team nem percebe que isso está acontecendo. Isso não indica necessariamente uma falta de habilidade ou tecnologia por parte do Blue Team, mas sim a complexidade das técnicas do atacante ou a sofisticação de seus vetores de ataque.

O Purple Team vem de encontro à necessidade de eliminar essa possibilidade. Os Red e Blue Teams trabalhando juntos significam se engajar na transferência constante de conhecimento e simular cenários de ataque da vida real. Dessa forma, o Red Team irá aprimorar o processo de gerenciamento de vulnerabilidade da organização enquanto o Blue Team entra na mentalidade dos atacantes, para desenvolver melhores programas de resposta a incidentes e processos de detecção de vulnerabilidade.

Cultura de segurança cibernética mais saudável

Como foi dito antes, o objetivo dos Red e Blue Teams é melhorar as defesas de segurança de uma organização, assim como é objetivo da organização promover uma cultura de segurança cibernética empresarial saudável. Com o Purple Team, o primeiro incentivo é a comunicação forte e regular entre o ataque e a defesa, um fluxo constante de informações e um trabalho simbiótico.

Novamente, o Purple Team não precisa ser uma equipe recém-formada, ela pode funcionar como um exercício entre as duas equipes existentes. O importante é incentivar a comunicação e a colaboração entre os membros da equipe, para promover a melhoria constante da cultura de segurança cibernética da organização.

Finalmente, uma melhor postura de segurança

O benefício final e mais importante é uma melhor postura de segurança para sua organização. Sem a comunicação constante dos Purple Teams, auditorias regulares de segurança, novas técnicas de defesa, busca das ameaças, gerenciamento de vulnerabilidade e desenvolvimento de infraestrutura e políticas de segurança aprimoradas, as organizações não teriam chance contra agentes mal-intencionados. Afinal, cada equipe, independentemente da cor, está lá para ajudá-lo a se preparar melhor para qualquer ameaça cibernética que surgir em seu caminho.

Melhores práticas recomendadas para o Purple Team

Se você está procurando melhorar as práticas dos Red e Blue Teams implementando o Purple Team, aqui estão algumas recomendações:

Pessoa certa na função certa

Colaboração e comunicação são essenciais, e embora seja importante para ambas as equipes compartilharem suas descobertas e ajudarem-se mutuamente, você nunca deve esperar que os membros do Red Team se envolvam no processo completo de gerenciamento de vulnerabilidade nem responsabilizem o Blue Team como hackers especialistas.

Estabelecer funções e expectativas claras para cada equipe, enquanto mantém a comunicação aberta, garante a metodologia do Purple Team bem-sucedida.

Cumpra com o que foi planejado, mas não engesse o processo

Sempre planeje com antecedência antes de mergulhar no Purple Team. Para obter o máximo benefício do exercício, comece definindo objetivos. Você está trabalhando para melhorar os alertas de segurança ou as políticas e processos de segurança? Você está verificando se seus funcionários podem se proteger contra a engenharia social?

Além disso, é importante saber por que você está preocupado com o agrupamento roxo: algo aconteceu durante um pen test, auditoria de segurança ou avaliação de vulnerabilidade que você deseja corrigir ou revisar?

O plano não precisa ser modificado na sua essência. Sempre permita a flexibilidade, pois as equipes podem detectar fraquezas em uma área que você nunca considerou ou criar um modelo de caça a ameaças que não foi planejado. Mas estabeleça objetivos e metas para ambas as equipes que possam ser medidos no final do exercício, para que sua eficácia possa ser facilmente avaliada.

Acompanhe, revise, acompanhe, revise ... o processo

GDPR – LGPD
No Brasil a LGPD foi sancionada em agosto de 2020.

Antes de implementar essas correções de segurança, revise e verifique. Melhor ainda, acompanhe cada etapa do caminho, avalie cada tarefa antes de passar para a próxima e sempre faça o acompanhamento.

Repassar cada mitigação e correção repetidamente permitirá que cada lado aprenda mais um com o outro, ajudará a fechar quaisquer lacunas e permitirá diretrizes de correção priorizadas. Isso preocupará o Red Team com menos fraquezas repetitivas e guiará o Blue Team na busca por ameaças mais complexas.

Resumindo

Como vimos, o Purple Team é menos sobre um novo “grupo” que difere dos Red e Blue Teams tradicionais do que estabelecer uma comunicação saudável entre os dois, em um esforço para compartilhar conhecimento e estar mais bem preparado para ameaças.

Com os invasores cada vez mais furtivos, desenvolvendo novas técnicas e apresentando desafios de segurança mais sérios para todas as organizações, é importante que todas as partes trabalhem juntas para garantir a segurança de uma organização.

Controladores de dados e processadores (dois níveis de gerenciamento de dados definidos pelo GDPR/LGPD) possuem obrigação legal de estabelecer uma avaliação objetiva dos impactos da proteção de dados e quantificar seus riscos.

É necessária a implementação de ferramentas apropriadas, tecnologia e controles de processos para a demonstração de que tudo se encontra em conformidade com as regras do GDPR/LGPD. Controladores de dados precisam também conduzir testes, avaliações e atualizações de controles regulares para a segurança permanente do processamento de dados, uma vez que os mesmos se definem como empresas cujo negócio principal é obter, armazenar e vender/compartilhar dados.

Enquanto NYDFS500 é visto como a regulamentação mais explícita de proteção e notificação de dados, a GDPR/LGPD é vista como mais ampla. Todas as empresas que compram, possuem, processam e/ou conduzem transações com Informações de Identificação Pessoal (PII) de ou sobre cidadão da EU/Brasil precisam estar em conformidade com o GDPR/LGPD, não importando a área sua de atuação.

Entre em contato com os nossos especialistas em segurança da informação

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages