A resposta é sim. Assim como um exército pode preparar as melhores defesas quando conhece o plano de ataque do inimigo, quando uma empresa tenta hackear sua própria rede, isso a coloca um passo à frente dos “bandidos”.

Esse tipo de defesa legítima é chamado de hacking ético e usa exatamente as mesmas técnicas e tecnologias que os hackers mal intencionados usam, para ajudar as empresas a melhorar a segurança onde mais precisam.

As ameaças à segurança cibernética são a principal preocupação da maioria das empresas atualmente. Segundo a pesquisa The Future of Cybercrime & Security: Financial and Corporate Threats & Mitigation, desenvolvida pela Juniper Research, os custos relacionados aos ataques cibernéticos que acontecerão em 2019 são estimados em US$ 2 trilhões em todo o mundo. É um problema sem solução, mas defesas inteligentes podem evoluir junto com a inteligência dos criminosos. Entender a cabeça dos hackers está provando ser um dos ângulos mais valiosos na abordagem da segurança cibernética e o hacking ético é a melhor maneira de colocar isso em ação.

Então, como as violações e simulações de ataque realmente funcionam? Como é possível executar ataques reais sem risco aos dados de produção? Como podemos validar a eficácia dos controles de segurança com simulações 100% seguras?

Duas abordagens de arquitetura

Existem duas abordagens de arquitetura indicada por fornecedores de simuladores de violação e de ataque:

A primeira abordagem usa um manual de métodos de violação (playbook) com detalhes ao nível modular / atômico. Esses métodos são executados em simuladores de rede, endpoints e cloud. Os simuladores de rede e cloud são imagens OVA  executadas em máquinas virtuais, enquanto os simuladores de endpoints são softwares executados em sistemas Mac, Windows e Linux.

Acreditamos que essa abordagem seja a mais eficaz. A execução contínua de um playbook de violação permite que você experimente uma variedade de combinações e variantes que um invasor pode usar.

À medida que novos métodos são adicionados, novas execuções são realizadas de forma contínua e automática. Como esse modelo de arquitetura permite simular a infiltração, o movimento lateral e a exfiltração, podemos visualizar os vários estágios de um ataque (cyber kill chain), para que as equipes de segurança possam observar qual é a melhor maneira de defesa.

A segunda abordagem usa PCAPs para simulações. Um PCAP, package capture ou captura de pacotes, é uma interface de programação de aplicativos (API) para capturar tráfego de rede.

Nesse modelo, os PCAPs são reproduzidos em simuladores, de maneira semelhante às simulações modulares do método de violação. No entanto, uma abordagem baseada em PCAP para violação e simulação de ataque é rígida e inflexível por vários motivos.

Um PCAP é limitado a um cenário de ataque conhecido e, portanto, as incógnitas desconhecidas, conforme descrito acima, não podem ser validadas continuamente.

Dessa forma, você estará testando com base no que acha necessário, não no que os invasores podem realizar. Além disso, por definição, as capturas de pacote contêm apenas tráfego de rede, o que limita a simulação a métodos de violação de rede.

Essas simulações são seguras?

Em simuladores de rede e nuvem, os métodos de violação são executados entre dois simuladores. Imagine um exemplo muito simples de um NGFW (Next Generation Firewall  ou firewall de próxima geração) segmentando duas partes do ambiente de uma organização: produção e corporativo. Um simulador é colocado em produção e o outro em corporativo. Podemos tentar transferir uma carga maliciosa de um simulador para o outro. É completamente seguro, mas o NGFW deve acionar políticas adequadas de prevenção de ameaças.

Em simuladores para endpoints baseados em hosts, também podemos executar ações como inserir malware no disco, alterar as configurações de registro ou gravar no sistema de arquivos.

Reiteramos que as simulações são seguras, porque o malware não é executado ou, se realizar uma ação como a alteração de um registro, as ações serão imediatamente revertidas quando as simulações forem concluídas. Entretanto, a solução de segurança de endpoint deveria ter interrompido essas ações ou acionado alertas de detecção.

Podemos simular exploits?

Sim. É possível simular exploits enviando pacotes maliciosos que o exploit real teria enviado, mas contendo o impacto nossos próprios simuladores e não no dispositivo real ou no software que ele pretendia explorar. Um dispositivo de segurança como um IPS ou IDS ainda reconhecerá os pacotes de exploração como maliciosos, mas nenhum dano é causado à organização.

O que é mais importante em uma simulação de violação ou de ataque?

Acreditamos que uma simulação de violação e ataque deve observar o seguinte:

Usar técnicas de ataque real. Apesar de essa atividade incluir a palavra “simulação”, a única coisa que deve ser simulada são os dados corporativos. A simulação de violação e ataque deve sempre usar métodos reais de ataque para validar controles de segurança, tanto aqueles já utilizados por invasores reais, quanto novos métodos que estão por vir.

Simular continuamente. Assim como os invasores estão desafiando nossos controles todos os dias, precisamos fazer o mesmo, de forma contínua e automática. Isso significa que as simulações devem ter um playbook relevante e atualizado de acordo com os novos métodos de violação, que precisam ser executados todos os dias.

Atuar de forma segura. Uma coisa é certa: temos muitas opções para validar a segurança hoje, que são altamente impactantes para um usuário ou um ambiente, incluindo testes de penetração e formação de red teams . Para validar corretamente seus verdadeiros riscos, as simulações devem ser executadas em um ambiente real de produção. Isso só vai acontecer se as simulações tiverem o nível adequado de segurança.

Manter a disponibilidade dos serviços. É fundamental que a solução escolhida para as simulações possibilite a avaliação de riscos e a descoberta de vulnerabilidades em ambientes de produção, sem afetar a disponibilidade dos serviços ou a experiência do usuário.

A automação e a repetição contínua de testes de ataque aumentam imediatamente a produtividade de uma equipe de segurança. Mudar para um modelo de prevenção de riscos mais proativo pode oferecer informações valiosas, que os gestores de segurança e risco podem usar para reduzir seus perfis de risco.

Em longo prazo, relatórios históricos e os testes repetidos de forma contínua podem apontar para focos específicos de atenção. Cenários personalizados de ataques permitem que as organizações trabalhem na prevenção de ameaças mais prováveis e refinem a avaliação da postura de segurança de seus ativos críticos.

1Um arquivo OVA é um dispositivo virtual usado por aplicativos de virtualização, como o VMware Workstation e o Oracle VM Virtualbox.

2Next Generation Firewall (NGFW) faz parte da terceira geração de tecnologia de firewall que pode ser implementada em hardware ou software e é capaz de detectar e bloquear ataques sofisticados, aplicando políticas de segurança nos níveis de aplicativo, porta e protocolo.

3Red Team é um grupo de hackers formado para simulação de ataques de múltiplas camadas e de escopo total, projetados para medir o quão bem as pessoas, as redes de uma empresa, os aplicativos e os controles de segurança física podem suportar um ataque de um adversário da vida real.