No mundo da segurança cibernética existem diversos times: Blue Team, Red Team, Purple Team, dentre outras nomenclaturas existentes no mercado.
O objetivo deste texto é contribuir e aprofundar o conhecimento na importância de se ter uma equipe de Blue Team, os benefícios de ter um time com este perfil atuando na linha de frente de defesa cibernética, da sua empresa.
Antes de nos aprofundarmos no texto, é de extrema importância tornar claro o que significa e principalmente as diferenças entre os termos hacker e cracker, frequentemente usados como se fossem ou tivessem o mesmo significado. Diferentemente do que muitas pessoas podem pensar, quem utiliza os seus conhecimentos de informática e tecnologia para coletar informações, descobrir senhas de acesso a redes e quebrar códigos de segurança em benefício próprio, não são hackers. Os responsáveis por tais práticas criminosas, na verdade, são crackers.
Embora este segundo termo não seja tão difundido quanto o primeiro, ele é o correto para se usar ao designar alguém que contraria a lei e age sempre em prol de seus próprios interesses ao cometer delitos virtuais. Os crackers costumam quebrar códigos de segurança de programas, o que faz com que eles se tornem “crackeados”. Já o termo “crack” é usado para se referir a alguma ferramenta (como aplicativos, links e programas) utilizada por crackers para obter acesso a chaves de registro e licenças de produtos pagos.
Os hackers dificilmente agem somente por benefício próprio. Quando invadem algum programa ou obtém alguma chave de segurança, eles sempre o fazem para trazer alguma informação que pode servir como conhecimento ou auxílio a terceiros, além de alertar empresas sobre vulnerabilidades em seus produtos. Embora a prática também seja um crime e os hackers sejam vistos como os únicos vilões da Internet, dificilmente eles terão como propósito a simples destruição do trabalho de outra pessoa ou a prática de pirataria.
Os hackers ou crackers estão com ações cada vez mais sofisticadas, ocasionando um aumento no número de ataques contra sistemas e redes corporativas. Nos dias atuais, contar com esse time de especialistas focados no monitoramento e resposta a possíveis incidentes é a melhor forma de garantir a proteção aos dados do negócio.
O Blue Team ou “Time Azul”, é o time que trabalha na defesa do ambiente. Garantindo o monitoramento 24x7x365 do ambiente de tecnologia do cliente, consequentemente a proteção de todo o negócio contra ataques cibernéticos.
O Blue Team também é conhecido como sendo o SOC (Security Operations Center) de uma empresa, um departamento que agrega profissionais de diversos níveis de conhecimento em segurança e tecnologia que trabalharão em regime 24x7x365 realizando monitoramento proativo e respondendo incidentes cibernéticos.
Esse time geralmente é dividido em profissionais de segurança de Nível 1, Nível 2 e Nível 3, cada qual com suas respectivas responsabilidades com base em diferentes skills.
Primeiro Nível – Geralmente formado por Analistas de Segurança Jr. com perfil generalista em segurança e tecnologia. Seu foco principal é o monitoramento proativo de alertas originados por um SIEM e outras ferramentas de segurança gerenciadas pelo SOC. Atua em tarefas de baixa complexidade escalando para o Segundo e Terceiro Níveis os incidentes ou possíveis incidentes identificados na triagem dos alertas.
Segundo Nível – Equipe formada por profissionais de nível Pleno/Sênior. Geralmente focados em algum nicho da área de segurança cibernética. São responsáveis principalmente pela análise e resposta do incidente. Esses profissionais também são responsáveis pela elaboração de Runbooks e Playbooks que apoiarão o Primeiro Nível na análise inicial e triagem dos alarmes.
Terceiro Nível – Equipe de especialistas em segurança cibernética. Profissionais focados na resposta ao incidente. Responsáveis pela condução de War Room com os clientes afetados em algum ataque cibernético, bem como em toda a documentação necessária no pós-incidente, incluindo recomendações com base nas melhores práticas de mercado.
O Blue Team identifica vulnerabilidades que podem ser exploradas facilmente por qualquer atacante que, consequentemente, afetarão o negócio. Busca recomendar melhorias para o ambiente dos clientes com base na análise das vulnerabilidades, definindo e mantendo estratégias de defesa para a segurança de redes e aplicações.
Dentre as atividades que são executadas podemos destacar:
· Identificação de diferentes tipos de ataques cibernéticos;
· Identificação de comportamentos suspeitos dentro da rede;
· Gerenciamento de diferentes ferramentas de segurança como WAF, Antivírus, Firewalls, SIEM,EDR;
· Assessment de Segurança indicando gaps e indicando melhores práticas para correção e adequação do ambiente;
· Criação, configuração e implementação regras de firewall e WAF;
· Definição e implementação do controle de acesso de dispositivos e usuários;
· Resposta à Incidentes Cibernéticos.
Como funciona na prática?
O Blue Team não é mais uma equipe de segurança dentro da organização, é a equipe que tem como missão garantir a segurança e dar uma rápida resposta a possíveis incidentes de segurança.
Inicialmente essa equipe realiza um Assessment no ambiente do cliente e analisam o que será monitorado e documenta. De posse dessas informações realiza uma série de recomendações com objetivo de melhorar a segurança.
Os profissionais do Blue Team monitoram, triam, registram e acionam o cliente em caso de incidentes confirmados para que se inicie a resposta do incidente. Em caso de incidentes é extremamente importante que esse time atue de forma rápida para que o impacto na operação do cliente seja o menor possível.
Além dos profissionais que já mencionamos aqui, também temos a figura do Especialista ou Analista de SIEM. Este é um profissional especializado na implementação e sustentação de ferramentas de correlação de eventos de segurança. O SIEM recebe logs de diversos dispositivos e aplicações, correlacionando-os e gerando alarmes efetivamente importantes de possíveis ações maliciosas que devem ser investigados pelo Blue Team com objetivo de determinar ou não de um incidente.
Na implementação de um SOC, essa é uma ferramenta importante e podemos dizer que é a principal para a operação, pois é através dela que o Blue Team atuará na triagem e análise de eventos maliciosos. Mas não basta apenas colocar o SIEM no ar, é de suma importância a configuração de regras customizadas para cada ambiente, garantindo assim um monitoramento eficiente e direcionado a cada tipo de negócio.
Esse processo é iniciado com um plano defensivo, onde são identificados os ativos críticos ou as chamadas “joias da coroa”. Após essa identificação é formalizado um documento relatando a importância desses ativos para o negócio, as regras configuradas e seus gatilhos para a geração de alarmes indicando possíveis ações maliciosas contra sua infraestrutura.
Com base nisso, a equipe de Blue Team além de monitorar e responder os incidentes de segurança, também realiza verificações regulares para identificar se todos os dispositivos estão enviando logs corretamente para o SIEM, se os alarmes estão sendo gerados com os dados realmente importantes para identificar qualquer tipo de anomalia e apoiar o cliente no estabelecimento de medidas de segurança adequadas ao seu ambiente.
Daniel Ledier, consultor de Segurança da Informação na Redbelt Security