Embora os métodos utilizados nos testes de penetração da Purple Team sejam os mesmos que utiliza um Red Team, os objetivos de negócios e os métodos de comunicação utilizados são consideravelmente diferentes. Embora o conceito pentest Purple Team seja novo, é um veículo cada vez mais importante para aumentar a estrutura e resiliência de segurança das organizações e reduzir os custos gerais.
As recompensas previstas pela realização de um teste bem-sucedido do Purple Team incluem maior conhecimento do Blue Team sobre ameaças e adversários, resposta e mitigação de ameaças, validação da resposta do manual às ameaças em movimento, confiança na resposta sofisticada a incidentes do atacante, identificação e enumeração de novas vulnerabilidades ou vetores de ataque e formação geral de equipas.
À medida que as empresas se tornam mais conscientes dos conceitos do Purple Team e desenvolvem uma compreensão maior dos recursos e benefícios internos do Blue Team, prevê-se que muitas organizações atualizem seus requisitos anuais de testes de penetração para incorporar o Pentest de Purple Team como uma pedra angular de seus negócios e segurança da informação geral estratégia de continuidade.
A soma do vermelho com o azul
As solicitações para testes de penetração (caixa preta, caixa cinza, caixa branca etc.) geralmente são iniciadas e obtidas por uma equipa principal de segurança da informação dentro de uma organização. Essa equipa (“Red team”) reporta o resultado de revisão de políticas de segurança e das tecnologias empregues. Quando se trata de testes de penetração, há grandes chances de que alguns membros sejam proficientes em técnicas comuns de hackers e entendam o impacto técnico das ameaças nos principais sistemas de negócios.
Estas pessoas que avaliam o relatório de um pentesting, NÃO são a “Blue Team”, mas podem e devem ajudar a orientar e às vezes fornecer suporte de terceira linha para o pessoal das operações de segurança (Blue Team), pois essa equipa é da linha de frente, vigiando os SIEM, revisando os logs, iniciando e respondendo aos incidentes de suporte e, geralmente, analisando cada ameaça detectada, conforme aparece durante o turno.
As Equipas Blue Team são focadas na defensiva e geralmente são proficientes em suas tarefas de segurança operacional. A natureza altamente focada de seu papel, no entanto, geralmente significa que eles não têm o que pode ser melhor descrito como uma “visão dos hackers” do ambiente ao qual estão encarregados de defender.
As abordagens tradicionais de teste de penetração costumam ser contraditórias. Red Team deve encontrar falhas, comprometer os sistemas e geralmente destacar as falhas na postura de segurança dos alvos. A Blue Team enfrenta a proposição perdida de ter que já ter garantido e remediado todas as falhas possíveis antes do teste, e então responde reactivamente a cada vulnerabilidade que perdeu – normalmente sem a compreensão das ferramentas ou técnicas que a Red Team utilizou em seu ataque. É de se admirar que as Blue Team detestem pentests tradicionais? Por que os consultores Red Team não se surpreendem ao saber que as mesmas ferramentas e vetores de ataque funcionam um ano depois contra os mesmos alvos?
Um Pentest da Purple Team deve ser encarado como uma amálgama dinâmica dos membros da Red Team e da Blue Team (os seu elementos devem ter obrigatoriamente conhecimentos e formação de Blue Team e Red Team) com o objetivo de superar obstáculos de comunicação, facilitar a transferência de conhecimento e geralmente armar a Blue Team com habilidades recém-praticadas contra um atacante mais sofisticado ou uma série de ataques. cenários.
Um pentest de Purple Team se for necessário, pode utilizar um reforço de elementos de Red Team.
Reunir duas equipes de segurança altamente qualificadas – uma em ataque e a outra em defesa – e tê-las não apenas trabalhando juntas, mas também para alcançar todos os objetivos declarados de um pentest da Purple Team, exige membros qualificados em ambas as metodologias, planeamento e liderança.
Considerações finais
A criação de uma Purple Team, é muito mais que a simples soma de elementos de Red Team e Blue Team. É antes a aglutinação de elementos, que podendo ter origem em qualquer especialização, dominam qualquer uma das metodologias.
Os elementos da Purple Team não são apenas profissionais de cibersegurança e de pentesting, são sim e para além disso, obrigatoriamente especialistas em segurança de informação, pois só assim existe a capacidade de total integração das técnicas tecnológicas, humanas e administrativas, cobrindo todo o espectro de uma organização e deste modo, determinar uma maior janela de vulnerabilidades e de mitigações.
Se o futuro da Segurança de Informação é Roxo? De certeza que sim.