Para que a proteção de sistemas de uma empresa funcione, é preciso fazer a avaliação sobre sua segurança, e para que isso seja bem feito, depende da atuação de dois profissionais: os que trabalham fazendo ataques simulados para medir a força dos recursos de segurança existentes em uma organização, e os que identificam como proteger as áreas que precisam de melhoria e estão mais expostas a esses riscos. São eles que compõem as equipes conhecidas como Red Team e Blue Team, respectivamente.
Normalmente, o que vemos é que Red Team, a área de pesquisa ofensiva, é muito sedutora, sempre mostrada nos filmes ou na mídia, com hackers invadindo sistemas e conseguindo encontrar e explorar vulnerabilidades. O que sabemos é que esse trabalho é muito importante, sim, para ajudar as empresas a saberem onde estão suas possíveis falhas e, assim, protegê-las. É aí que a equipe de defesa, ou o Blue Team, entra. Mas nem sempre ouvimos falar tanto sobre a atuação desses profissionais. "Fazer um vírus que um antivírus não pega é muito fácil. Eu quero ver fazer um antivírus que pegue todos os vírus. Esse é o desafio real", diz Fernando Mercês, pesquisador na Trend Micro e fundador do Mente Binária.
A segurança ofensiva fica ainda mais "glamourizada" com a quantidade de programas de bug bounty, ou caçadores de recompensa, que hoje existem oferecidos por empresas que querem estimular pesquisadores a encontrar possíveis vulnerabilidades em seus sistemas em troca de uma boa quantia em dinheiro. Mas nem sempre quem vai participar possui tantas habilidades técnicas a ponto de encontrar falhas que realmente impactem o negócio de uma empresa.
"A importância desse trabalho [de pesquisa ofensiva] para as empresas depende muito do que o pesquisador quer fazer com o achado (vulnerabilidade)", diz Joaquim Espinhara, líder do time de Red Team & Adversarial Simulation na Tesserent. Para ele, a importância deste profissional para a segurança das empresas está sujeita à motivação do próprio pesquisador.
Espinhara destaca que alguns profissionais que procuram por vulnerabilidades em softwares, depois de provar que é possível explorá-lo, acabam vendendo-a para alguma empresa ou governo que vai usar para fins de espionagem, ao mesmo tempo que pesquisadores normalmente encontram uma falha em um site/aplicação de uma empresa e decidem reportá-la, seja por recompensa ou não. Tem ainda o perfil do pesquisador que coleciona falhas, mostrando-as aos amigos para ganhar os chamados "street credits" – ou seja, pontos por ter feito algo considerado legal ou impressionante.
Habilidades da pesquisa ofensiva – O conhecimento técnico que o pesquisador deve ter para buscar vulnerabilidades também depende do tipo de falha que ele está procurando, e onde está procurando, diz Espinhara. "Existem muitas classes diferentes de vulnerabilidades. Normalmente o que eu vejo no Brasil e na bolha do bug bounty são falhas relacionadas a aplicações web (SQL Injection, Cross-Site Scripting, File Include, etc)", destaca.
Ele ressalta que existem outras vertentes de pesquisa de falhas em sistemas operacionais e software nativos, ou mais recentemente pessoas que estão focadas em blockchain e smart contract security. Na sua visão, os programas de bug bounty são válidos para que pesquisadores tenham opções de rentabilizar o esforço em achar determinada vulnerabilidade. "Empresas deveriam (e até acontece) recompensar de acordo com o impacto da vulnerabilidade ao negócio", avalia Espinhara.
Mas ele pontua que este mercado, no Brasil, ainda não é tão atrativo, em especial por conta da desvalorização do real perante o dólar. "Normalmente as empresas pagam o bounty em dólar americano. Algumas já se adaptaram a isso no Brasil, mas ainda não é a maioria. Normalmente, quanto maior a recompensa em um programa de bug bounty maior será a quantidade de pesquisadores mais habilidosos/experientes reportando", diz.
Espinhara começou a atuar na área ofensiva há bastante tempo e já tem mais de 10 anos de experiência. "Assim como muita gente na área, eu fiz o caminho padrão: entrei na universidade (que não concluí), comecei a fazer alguns estágios e em um deles fiquei alocado na área de segurança de redes. Foi um caminho sem volta", conta.
Atacar só se for para defender – Espinhara pontua que existe uma má interpretação sobre o que é, de fato, o Red Team. "Conversando com alguns amigos que atuam nesta área de verdade no Brasil, eles me falam que o maior desafio é explicar que Red Team não é apenas um pentest com mais dias de execução", diz.
Para explicar a melhor definição para Red Team, Espinhara utiliza uma citação de Joe Vest and James Tubberville no livro Red Team Development and Operations: A practical guide: "Red Teaming é o processo de usar táticas, técnicas e procedimentos (TTPs) para emular uma ameaça do mundo real, com o objetivo de medir a eficácia das pessoas, processos e tecnologias usadas para defender um ambiente".
"O nosso trabalho é preparar o Blue Team para responder a ameaças reais. Ou seja, sem Blue Team não existe Red Team" – Joaquim Espinhara
Assim, ele avalia que um dos objetivos do Red Team é mostrar para o Blue Team a perspectiva de um atacante. "O Blue Team faz uma 'leitura' dessa simulação e se prepara para responder a ameaças iguais ou semelhantes em termos de TTPs", diz. "Red Team e Blue Team têm que trabalhar juntos. Por exemplo, aqui na empresa nós só realizamos exercícios de Red Team se o cliente tiver um Blue Team. O nosso trabalho é preparar o Blue Team para responder a ameaças reais. Ou seja, sem Blue Team não existe Red Team".
Essa também é a visão de Thiago Marques, Security Researcher na Microsoft. Segundo ele, as duas áreas trabalham juntas, apesar de alguns grupos manterem uma certa rixa. "O Red Tem dá muita informação de como proteger. Eu vejo como duas áreas que realmente se completam", avalia.
Ele pontua, contudo, que é comum ver pessoas mais interessadas pela área ofensiva, por ter uma idealização sobre conseguir invadir um sistema e quebrar proteções. "Já na parte defensiva, poucas pessoas veem o trabalho do pesquisador, e quando veem é porque você não conseguiu proteger", destaca Thiago. Na sua visão, o lado negativo é que existem muitas pessoas que se intitulam profissionais ofensivos, mas somente executam scripts.
Oportunidades na área defensiva – Thiago Marques diz que as oportunidades para quem quer atuar com pesquisa defensiva no Brasil são grandes. Isso porque muitas vezes empresas estrangeiras veem a necessidade de ter pessoas que entendam sobre o ecossistema brasileiro para monitorar e se defender de certos ataques. "Por anos o Brasil tem estado no topo de ameaças, principalmente financeiras, com malwares feitos aqui. E a dificuldade de empresas de fora é que tudo é feito em português. Isso gera uma barreira, porque um estranegito olha uma ameaça específica do Brasil e não consegue entender exatamente o que está acontecendo", conta.
"Há profissionais bem habilitados no mercado para realizar pesquisas defensivas, mas nem sempre eles são vistos" – Thiago Marques
Um exemplo é uma ameaça comum no Brasil que envolve boletos. "Um estrangeiro não sabe o que é um boleto. Essa necessidade tem feito com que muitas empresas queiram aumentar a visibilidade dentro da América Latina, buscando profissionais aqui para monitorar e entender esses ataques". Thiago destaca ainda que há profissionais bem habilitados no mercado para realizar pesquisas defensivas, mas nem sempre eles são vistos. "Tem bastante gente boa, que trabalha em qualquer empresa em qualquer lugar do mundo", pontua.
Segundo ele, para quem quer atuar na parte de defesa, primeiramente é preciso saber analisar malware, ou seja, ter a capacidade de analisar um arquivo. "Isso seria o principal. E para fazer a análise de malware é preciso ter uma noção básica de programação", diz, contando que ele mesmo sempre gostou de programar e começou a fazer isso usando macros do Word.
Desde 2007, Thiago é analista de malware, e no ano passado, ele começou a trabalhar na área de proteção da Microsoft, entendendo a forma com que os atacantes usam seus métodos de ataque, e identificando como alertar e bloquear esses ataques, até mesmo aprendendo e tentando prever movimentos que atacantes podem fazer no futuro. "Nunca trabalhei muito na parte ofensiva. Eu escolhi a defensiva porque eu gosto, mas já tive ofertas de trabalho para o Red Team", conta.
Thiago ressalta que para aproveitar as oportunidades que a área oferece, as pessoas precisam querer entender como as coisas funcionam. "Os ataques usam sistemas que ninguém está olhando, e é preciso conhecer isso para identificá-los. Ter uma boa base de conhecimento sobre sistema operacional e programação, saber como é o processo entre o que você escreveu até o resultado chegar na sua tela, entender esse fluxo leva tempo, e por isso muita gente acaba pulando essa etapa", diz.
Para ele, dedicar um tempo para entender as coisas básicas de funcionamento é essencial antes de focar no que você gosta. "A parte de defesa abrange análise de dados, engenharia reversa, depende muito. Mas ter uma base de como as coisas funcionam vai ajudar em qualquer área", complementa.
Comentários Recomendados
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.