Red Team vs Pentest: Uma abordagem proativa à Cibersegurança

Este tipo de testes permitem não apenas identificar vulnerabilidades antes que sejam exploradas por atacantes, mas também aprimora a capacidade das organizações de responder de forma eficaz a incidentes de segurança. Estes testes fornecem uma avaliação compreensiva das políticas de segurança, da robustez das defesas e da consciencialização dos utilizadores, elementos críticos para manter a integridade, disponibilidade e confidencialidade dos dados das organizações.

Red teaming simula ciberataques realistas para testar as defesas de uma organização. É um processo profundo e prático que vai além das típicas avaliações de vulnerabilidades, adotando as táticas, técnicas e procedimentos (TTPs) de reais agentes de ameaças. Os membros da equipa de red teaming pensam e agem como atacantes, identificando os pontos fracos e explorando-os tal como um verdadeiro atacante faria.

O objetivo principal do red teaming é ajudar as organizações a entender e melhorar a sua postura de segurança, bem como a detetar potenciais falhas. Isso é alcançado ao:

• Identificar vulnerabilidades em sistemas, aplicações e pessoas;
• Testar as capacidades de deteção do centro de operações de segurança (SOC);
• Melhorar os protocolos de resposta e resiliência contra ameaças do mundo real.

Pentest é uma avaliação metódica e autorizada de um sistema de modo a identificar e explorar vulnerabilidades.

O principal objetivo do Pentest é encontrar o maior número de vulnerabilidades num curto espaço de tempo. Este tipo de avaliação conduz à produção de um relatório onde são salientadas todas as falhas identificadas no âmbito previamente definido, bem como o impacto e as devidas medidas de mitigação. Este output visa auxiliar as organizações na compreensão e melhoria da sua estrutura de segurança, bem como na priorização da mitigação das vulnerabilidades identificadas.

Red Team vs Pentest

Agora que clarificámos a definição de ambas as tipologias de testes, é pertinente salientar as principais diferenças entre ambos para que possamos entender quais as valências de cada um:

• Preparação – Devido à complexidade do Red Team, a sua preparação é mais elaborada. Enquanto no Pentest apenas é necessário a configuração de uma máquina de ataque e algumas de ferramenta de suporte, no Red Team é necessário um conjunto de requisitos técnicos para que o mesmo seja executado com sucesso, tais como aquisição de domínios, configuração de infraestrutura (servidores phishing/smishing, servidor “Command and Control”), desenvolvimento de scripts, payloads maliciosas, etc.;
• Comunicação – No Pentest a comunicação entre equipa ofensiva e o cliente é bastante reduzida, tipicamente estas interações ocorrem no início e fim de cada projeto. No Red Team a comunicação tem que ser eficaz, sendo necessário haver um fluxo de comunicação quase diário entre a equipa de SOC e a equipa ofensiva. Sempre que há algum tipo de deteção por parte da equipa de SOC, o alerta deve ser partilhado com a equipa ofensiva para que a mesma esteja a par do que está a ser detetado ou não pelo SOC. É importante definir uma pessoa responsável para fazer a ponte entre as equipas;
• Janela Temporal – Um Pentest pode durar entre uma a duas semanas, dependendo do âmbito definido. Por outro lado, a duração de um Red Team pode variar entre os dois e os seis meses;
• Âmbito – Ambas as atividades incluem atividades complexas que podem trazer impacto para a organização, portanto é crucial que o âmbito esteja devidamente definido. Dito isto, o âmbito de um Pentest é geralmente mais curto do que um Red Team. O mesmo pode incluir uma aplicação web/mobile, infraestrutura externa ou sistemas/rede interna. No Red Team o âmbito é bem mais alargado, podendo incluir toda a infraestrutura externa e interna;
• Evasão – Tal como já foi referido anteriormente, o objetivo principal do Pentest é encontrar o maior número de vulnerabilidades num curto espaço de tempo, portanto é muito comum o cliente retirar todas as ferramentas de segurança para que a equipa ofensiva consiga executar os devidos testes no sistema/aplicação. No entanto, um Red Team é suposto aferir não só a postura de segurança de aplicações e sistemas mas também de todos os processos existentes. De modo a ser o mais realista possível, todas as ferramentas de segurança são mantidas durante os testes e cabe à equipa ofensiva arranjar maneira de circundar os mesmos.

Escolher entre Red Teaming e Pentest depende dos objetivos da organização. Para organizações que precisam de validar a sua estratégia de segurança geral o Red Teaming seria o caminho. Por outro lado, se a prioridade é corrigir vulnerabilidades em sistemas específicos, o Pentest é a escolha mais acertada.

É importante ressalvar que um não substitui o outro, ambos se complementam e juntos fornecem uma visão robusta e holística da cibersegurança de uma organização. A efetiva combinação de Red Teaming e Pentest pode garantir a melhor proteção contra ameaças cibernéticas.

Tanto o Red Teaming como o Pentest são componentes fundamentais e complementares de uma estratégia de cibersegurança robusta. Ambos oferecem perspetivas valiosas e detalhadas sobre a postura de segurança de uma organização.

Ao escolher entre as duas abordagens, o contexto é o fator crucial e depende dos objetivos de segurança e necessidades específicas de cada organização. Porém, a adoção de ambos, Red Teaming e Pentest, numa estratégia de cibersegurança, proporcionará uma defesa mais abrangente e bem-sucedida contra possíveis ameaças cibernéticas.

Os pontos de vista e opiniões aqui expressos são os meus e não representam nem refletem necessariamente os pontos de vista e opiniões da KPMG em Portugal.