Existe uma grande confusão sobre as diferentes equipas e métodos de segurança de informação; assim para começar vamos identificar cada um:
Azul
É a equipa que utiliza métodos para defender contra atacantes reais e equipas vermelhas. As equipas azuis, tem uma mentalidade de vigilância constante contra ataques, que é a missão e a perspectiva de uma verdadeira equipa azul.
Vermelha
É dedicada a testar a eficácia de um programa de segurança, simulando as ferramentas e técnicas de prováveis invasores da maneira mais realista possível. A prática é semelhante, mas não idêntica, ao Teste de penetração (pentesting) e envolve a busca de um ou mais objectivos – geralmente executados como uma campanha.
Roxo
Deve garantir e maximizar a eficácia das equipas vermelha e azul. Eles fazem isso integrando as táticas e controles defensivos da equipa azul com as ameaças e vulnerabilidades encontradas pela equipa vermelha em uma única narrativa que maximiza ambas. Idealmente. Os elementos desta equipa têm conhecimentos bivalentes das equipas azuis e vermelhas e podem ainda servir de “ponte” entre as mesmas.
Amarelo
Método de desenvolvimento de ferramentas e aplicações.
Verde
Método de desenvolvimento vocacionado para ferramentas de protecção e defesa.
Laranja
Método de desenvolvimento vocacionado para ferramentas de penetração e ataque.
E como se organizam?
Como devem ter reparado ao ler, as últimas cores não têm referência a equipa, são sim, apenas métodos que devem ser integrados como função ou conhecimento adicional de outros. Assim:
- Amarelo é o desenvolvedor/criador da equipa roxa,
- Verde é o desenvolvedor/criador da equipa azul para defesa,
- Laranja é o desenvolvedor/criador da equipa vermelha para ataque.
Apesar de pouco referente as mesmas são importantes, vamos ver uns exemplos:
É critico que um bom consultor sénior de roxo ou azul tenha capacidade de desenvolver plugins/monitores dos sistemas ou rede a monitorizar, de outro modo a sua capacidade de criação e adaptação a uma realidade sempre em mudança.
Do mesmo modo, também é critico para um consultor sénior roxo ou vermelho ter a capacidade de desenvolver ou modificar exploids que irão aproveitar novas vulnerabilidades detectadas ou modificadas.
A importância do amarelo (verde/laranja) é fundamental para existir a capacidade de perpetuação e adaptação para uma realidade sempre em mudança, de outro modo, fica-se apenas restrito a produtos comerciais e a metodologias do passado. Infelizmente essa é uma realidade comum.
E a Segurança de Informação?
Como já disse num artigo anterior, o futuro da segurança de informação é roxo. Pois o nível de decisões não se compadece com a visão restrita azul ou vermelha.
É claro que um elemento dessa equipa não pode ter uma visão restrita, assim a sua experiência profissional deve ser profunda a montante de modo a compreender o que se passa a jusante, ou seja, ter sido um administrador de sistemas e redes sólido, depois ter somado experiência de gestão de infraestrutura técnica e humana para no fim ter as decisões não restritivas.
Sendo a equipa e método roxo a aglutinação e a expansão de conhecimentos e experiência, a sua visão sobre a organização e global e não parcial como nos outros métodos ou equipas, ou seja, não fica restrito a utilização de ferramentas e métodos.
Podemos ver como exemplo: a equipa azul tem a tendência natural de priorizar as ferramentas de defesa (exemplo: firewalls, etc), mas o elemento roxo (que tem os conhecimentos de azul e vermelho) sabe dos limites, razão de custos e eficiência dos mesmos, e sabe que fazendo um teste de penetração utilizando phising o seu nível de sucesso é superior a 80%, ou seja, sem descurar a cibersegurança da equipa azul, se fizer boas politicas de segurança, boa sensibilização e formação e reduzir para metade o valor de sucesso de phishing, é aumentada a segurança da organização e é possível uma optimização da estrutura tecnológica de modo a aumentar a sua eficiência com redução de custos, pois a “frente de exposição” foi visivelmente reduzida.
Conclusão
Numa época em que o cibercrime aumenta consecutivamente mais de 50% anualmente e onde se estimou no ultimo mês de Abril poder ter crescido 300%, que a existência de ciberguerra (parte da evolução da espionagem) está já no plano estratégico, diplomático e militar das nações e onde os impactos ao negócio por falhas de continuidade e de reputação, é cada dia mais relevante e importante; é fundamental para as organizações e cidadãos não terem a mentalidade da realidade do século passado e se ajustarem a um mundo em permanente mudança.