Diferenças das diferentes equipas e métodos da segurança de informação.

Existe uma grande confusão sobre as diferentes equipas e métodos de segurança de informação; assim para começar vamos identificar cada um:

Azul

É a equipa que utiliza métodos para defender contra atacantes reais e equipas vermelhas. As equipas azuis, tem uma mentalidade de vigilância constante contra ataques, que é a missão e a perspectiva de uma verdadeira equipa azul.

Vermelha

É dedicada a testar a eficácia de um programa de segurança, simulando as ferramentas e técnicas de prováveis ​​invasores da maneira mais realista possível. A prática é semelhante, mas não idêntica, ao Teste de penetração (pentesting) e envolve a busca de um ou mais objectivos – geralmente executados como uma campanha.

Roxo

Deve garantir e maximizar a eficácia das equipas vermelha e azul. Eles fazem isso integrando as táticas e controles defensivos da equipa azul com as ameaças e vulnerabilidades encontradas pela equipa vermelha em uma única narrativa que maximiza ambas. Idealmente. Os elementos desta equipa têm conhecimentos bivalentes das equipas azuis e vermelhas e podem ainda servir de “ponte” entre as mesmas.

As equipas e metodologias da segurança de informação.
As equipas e metodologias da segurança de informação.

Amarelo

Método de desenvolvimento de ferramentas e aplicações.

Verde

Método de desenvolvimento vocacionado para ferramentas de protecção e defesa.

Laranja

Método de desenvolvimento vocacionado para ferramentas de penetração e ataque.

E como se organizam?

Como devem ter reparado ao ler, as últimas cores não têm referência a equipa, são sim, apenas métodos que devem ser integrados como função ou conhecimento adicional de outros. Assim:

  • Amarelo é o desenvolvedor/criador da equipa roxa,
  • Verde é o desenvolvedor/criador da equipa azul para defesa,
  • Laranja é o desenvolvedor/criador da equipa vermelha para ataque.

Apesar de pouco referente as mesmas são importantes, vamos ver uns exemplos:

É critico que um bom consultor sénior de roxo ou azul tenha capacidade de desenvolver plugins/monitores dos sistemas ou rede a monitorizar, de outro modo a sua capacidade de criação e adaptação a uma realidade sempre em mudança.

Do mesmo modo, também é critico para um consultor sénior roxo ou vermelho ter a capacidade de desenvolver ou modificar exploids que irão aproveitar novas vulnerabilidades detectadas ou modificadas.

A importância do amarelo (verde/laranja) é fundamental para existir a capacidade de perpetuação e adaptação para uma realidade sempre em mudança, de outro modo, fica-se apenas restrito a produtos comerciais e a metodologias do passado. Infelizmente essa é uma realidade comum.

E a Segurança de Informação?

Como já disse num artigo anterior, o futuro da segurança de informação é roxo. Pois o nível de decisões não se compadece com a visão restrita azul ou vermelha.

É claro que um elemento dessa equipa não pode ter uma visão restrita, assim a sua experiência profissional deve ser profunda a montante de modo a compreender o que se passa a jusante, ou seja, ter sido um administrador de sistemas e redes sólido, depois ter somado experiência de gestão de infraestrutura técnica e humana para no fim ter as decisões não restritivas.

Sendo a equipa e método roxo a aglutinação e a expansão de conhecimentos e experiência, a sua visão sobre a organização e global e não parcial como nos outros métodos ou equipas, ou seja, não fica restrito a utilização de ferramentas e métodos.

Podemos ver como exemplo: a equipa azul tem a tendência natural de priorizar as ferramentas de defesa (exemplo: firewalls, etc), mas o elemento roxo (que tem os conhecimentos de azul e vermelho) sabe dos limites, razão de custos e eficiência dos mesmos, e sabe que fazendo um teste de penetração utilizando phising o seu nível de sucesso é superior a 80%, ou seja, sem descurar a cibersegurança da equipa azul, se fizer boas politicas de segurança, boa sensibilização e formação e reduzir para metade o valor de sucesso de phishing, é aumentada a segurança da organização e é possível uma optimização da estrutura tecnológica de modo a aumentar a sua eficiência com redução de custos, pois a “frente de exposição” foi visivelmente reduzida.

Conclusão

Numa época em que o cibercrime aumenta consecutivamente mais de 50% anualmente e onde se estimou no ultimo mês de Abril poder ter crescido 300%, que a existência de ciberguerra (parte da evolução da espionagem) está já no plano estratégico, diplomático e militar das nações e onde os impactos ao negócio por falhas de continuidade e de reputação, é cada dia mais relevante e importante; é fundamental para as organizações e cidadãos não terem a mentalidade da realidade do século passado e se ajustarem a um mundo em permanente mudança.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *