Em jogos famosos como Halo ou Gears of War, é possível encontrar um modo Capture the Flag em que há duas equipes, uma protegendo uma bandeira e a outra tentando roubá-la do oponente.

Esse tipo de competição também é usado pelas organizações para identificar se elas têm capacidade suficiente para detectar, responder e atenuar qualquer ataque externo.

Nessas competições aplicadas à cibersegurança, a Equipe Vermelha e a Equipe Azul desempenham um papel crucial na proteção das informações e dos ativos envolvidos, identificando os espaços que estão expostos à Internet e que podem ser explorados por cibercriminosos.

  • Funções de uma Equipe Vermelha

É a equipe encarregada de testar a eficácia dos controles, das políticas e das boas práticas de segurança implementadas em uma instituição, tanto para os ativos tecnológicos quanto para o pessoal, onde, emulando o comportamento, as táticas, as técnicas e os procedimentos dos cibercriminosos, é possível conhecer a situação em que se encontra um governo ou uma empresa.

  • Funções de uma Equipe Azul

Como contraparte da Equipe Vermelha, esse grupo é responsável por defender a instituição de qualquer ataque cibernético, eliminando ou reduzindo os riscos de segurança, bem como a forma de responder a qualquer incidente de cibersegurança.

Para isso, a Equipe Azul se encarrega de coletar dados para documentação, seja por meio de Estruturas ou Threat Intelligence, bem como de realizar uma avaliação de risco para cada ativo tecnológico.

Outra função é realizar verificações periódicas de cada um dos sistemas, por exemplo, auditorias dos sistemas de nomes de domínio ou DNS, identificação de vulnerabilidades na rede interna ou externa, captura de tráfego e análise dos sistemas operacionais no caso de um incidente.

Para realizar cada uma dessas tarefas, a Equipe Azul usa ferramentas de código aberto, sendo que algumas das mais relevantes são mencionadas a seguir.

Ferramentas de análise de rede

Arkime

O Arkime é um sistema de captura e pesquisa de pacotes indexado, de código aberto e em grande escala.

O que torna essa ferramenta tão útil é que ela oferece uma interface da Web intuitiva e fácil de usar para navegar, pesquisar e exportar PCAPs. Além disso, ela tem uma API que permite que você baixe e consuma diretamente dados PCAP e dados de sessão no formato JSON.

Outro recurso é que ele armazena e exporta todos os pacotes no formato PCAP padrão, o que permite que o sistema seja integrado a ferramentas especializadas de captura de tráfego, como o Wireshark, durante o fluxo de trabalho de análise.

Ele foi projetado para ser implantado em muitos sistemas e pode ser dimensionado para lidar com dezenas de gigabits/segundo de tráfego. O tratamento de grandes quantidades de dados pelo PCAP baseia-se no espaço em disco disponível no sensor e na escala do cluster do Elasticsearch. Ambos os recursos podem ser aumentados a qualquer momento e estão sob o controle total de quem os gerencia.

Arkime
Fonte: Arkime.

Snort

Essa ferramenta é um sistema de prevenção de intrusões (IPS) que usa um conjunto de regras que ajudam a definir a atividade de rede mal-intencionada e permite encontrar pacotes correspondentes e gerar alertas para os administradores.

A página inicial do Snort indica que ele tem três usos principais:

  • Detecção de pacotes;
  • Registro de pacotes (útil para depurar o tráfego de rede);
  • Sistema de prevenção de intrusão de rede (IPS).

Para a detecção de intrusões e atividades mal-intencionadas na rede, o Snort tem três conjuntos de regras globais, o que o torna muito útil para a Equipe Azul:

  • Regras para usuários da comunidade: aquelas que estão disponíveis para qualquer usuário sem nenhum custo e registro;
  • Regras para usuários registrados: ao se registrar no Snort, o usuário pode acessar um conjunto de regras otimizadas para identificar ameaças muito mais específicas;
  • Regras para usuários inscritos: Esse conjunto de regras não só permite a identificação e a otimização mais precisas de ameaças, mas também a capacidade de receber atualizações de ameaças.
Snort
Fonte: Snort.

Ferramentas de gerenciamento de incidentes

TheHive

É uma plataforma dimensionável de resposta a incidentes de segurança, fortemente integrada à MISP (Malware Information Sharing Platform), projetada para facilitar as tarefas de SOCs, CSIRTs, CERTs e qualquer profissional de segurança da informação que enfrente incidentes de segurança que precisem ser investigados e resolvidos rapidamente.

Há três recursos na filosofia dessa ferramenta que a tornam tão relevante:

  • Colaboração: ao integrar várias investigações de analistas de SOC e CERT em tempo real relacionadas a casos novos ou existentes, você pode integrar tarefas e observáveis disponíveis para todos os membros, além de notificações especiais para novos eventos e alertas MISP, relatórios de e-mail e SIEM.
  • Elaboração: criação de casos e tarefas associadas usando um mecanismo de modelo simples, mas eficaz, já que métricas e campos personalizados podem ser adicionados por meio de um painel, e arquivos importantes contendo malware ou dados suspeitos podem ser marcados.
  • Ação: adicione um, centenas ou milhares de observáveis a cada caso criado, incluindo a opção de importá-los diretamente de um evento MISP ou de qualquer alerta enviado à plataforma, bem como classificação e filtros personalizáveis.
The-hive
Fonte: TheHive.

GRR Rapid Response

É uma estrutura de resposta a incidentes focada na análise forense remota ao vivo. Seu objetivo é oferecer suporte a investigações forenses de forma rápida e dimensionável para permitir que os analistas classifiquem rapidamente os ataques e realizem análises remotamente.

Essa estrutura consiste em duas partes: um cliente e um servidor.

O cliente GRR é implantado em sistemas que você pode querer investigar. Em cada um desses sistemas, uma vez implantado, o cliente GRR pesquisa periodicamente os servidores front-end GRR para verificar se eles estão funcionando. "Trabalhar" significa executar uma ação específica: fazer download de um arquivo, listar um diretório etc.

A infraestrutura do servidor GRR consiste em vários componentes (front-ends, workers, servidores UI, Fleetspeak) e fornece uma GUI baseada na Web e um ponto de extremidade de API que permite aos analistas programar ações em clientes e visualizar e processar os dados coletados.

GRR-Rapid-Response
Fonte: GRR Rapid Response.

Ferramentas para análise de sistemas operacionais

HELK

O Hunting ELK é uma plataforma de pesquisa de código aberto com recursos analíticos avançados, como SQL declarativo, gráficos, streaming estruturado e até mesmo aprendizado de máquina por meio de notebooks Jupyter e Apache Spark sobre uma pilha ELK. Sua finalidade é a pesquisa, mas, devido ao seu design flexível e aos componentes principais, pode ser implantada em ambientes maiores com as configurações certas e uma infraestrutura dimensionável.

Objetivo

  • Fornecer uma plataforma de pesquisa de código aberto para a comunidade e compartilhar os conceitos básicos de Threat Hunting;
  • Acelerar o tempo necessário para implementar uma plataforma de caça;
  • Melhorar o teste e o desenvolvimento de casos de uso de caça de maneira mais fácil e econômica;
  • Permitir recursos de ciência de dados durante a análise de dados por meio do Apache Spark, GraphFrames e Jupyter Notebooks.
Helk
Fonte: HELK.

Volatility

A estrutura Volatility é uma coleção de ferramentas totalmente aberta, implementada em Python sob a Licença Pública Geral GNU, para extrair artefatos digitais de amostras de memória volátil (RAM). Seu uso é frequentemente aplicado na resposta a incidentes e na análise de malware executado na RAM.

As técnicas de extração são executadas de forma totalmente independente do sistema sob investigação, fornecendo visibilidade do estado de execução do artefato digital como ele está no sistema original.

Volatility
Fonte: Volatility.

Conclusão

A função da Equipe Azul na área de cibersegurança é de extrema importância para garantir a integridade, a confidencialidade e a disponibilidade dos ativos de informação, pois seu foco principal está na defesa e na proteção contra ameaças cibernéticas, no monitoramento ativo de redes e sistemas, na detecção precoce de invasões, na resposta rápida a incidentes e na implementação de estratégias proativas para evitar ataques.

A colaboração conjunta entre a Equipe Azul e outras equipes, como a Equipe Vermelha (que simula ataques para avaliar a eficácia das defesas) e a Equipe Roxa (que facilita a comunicação entre as duas para melhorar a postura de segurança), é essencial. Essa abordagem colaborativa permite uma avaliação mais abrangente da postura de segurança de uma instituição e facilita o aprimoramento contínuo.

Além disso, a Equipe Azul desempenha um papel fundamental na conformidade e na regulamentação da cibersegurança, o que é especialmente importante em setores altamente regulamentados, como saúde e finanças.