Red Team e Blue Team duelam e quem ganha é a economia digital do Brasil, por Thiago de Souza Lima e Beethovem Dias*
/ O ano começa e a luta contra os ataques digitais focados em aplicações, também. O Relatório Anual do Estado dos Serviços das Aplicações LATAM, pesquisa da F5 Networks realizada em 2020 com 198 executivos de ICT Security do Brasil, México, Argentina, Colômbia e Chile mostra que a transformação digital é uma realidade na nossa região: 87% das empresas digitalizam seus processos com o apoio de aplicações de negócios. O outro lado dessa moeda é inevitável: 81% dos líderes de tecnologia entrevistados afirmaram que sua maior prioridade é garantir a segurança desses sistemas críticos. As aplicações estão no centro da economia digital brasileira e são o grande alvo das gangues digitais.
Com base nessas informações, podemos projetar que, em 2021, a especialização da equipe de segurança atingirá outro patamar: a organização de um Red Team e de um Blue Team.
Duas verticais estão à frente nessa tendência: finanças e varejo. Bancos, corretoras e seguradoras têm culturas de segurança digital avançadas, o que explica a organização em formato de Red Team e Blue Team. O varejo, por outro lado, está num processo muito acelerado de digitalização, algo que a pandemia intensificou mais ainda. A preocupação com a defesa de suas plataformas B2C e, muito especialmente, com a proteção de dados pessoais de clientes e colaboradores (o foco da LGPD), está levando esse segmento a investir na formação de Red Teams e Blue Teams.
Cargos, certificações e salários do Red Team e do Blue Team
O Red Team é formado por profissionais de segurança que atuam como atacantes, trabalhando 24×7 para simular os mais criativos e inesperados ataques contra as aplicações de negócios da empresa para a qual trabalham. Uma das certificações mais valorizadas pelo mercado para o Red Team é a CEH (Certified Ethical Hacker).
Eis aqui alguns cargos do Red Team:
- Penetration tester
- Vulnerability analyst
- Ethical hacker
O Red Team busca identificar as vulnerabilidades do ambiente digital da empresa usuária, questionando a política de segurança e as defesas construídas e atualizadas pelo Blue Team.
O Blue Team, por outro lado, é uma equipe mais tradicional, formada por profissionais com certificações como CIH (Certified Incident Handler), entre outros títulos. Nessa equipe, alguns dos cargos mais frequentes nas empresas são:
- Cybersecurity Analyst
- Cybersecurity Specialist
- Cybersecurity Engineer
Pesquisa da consultoria em RH e treinamento QuickStart, dos EUA, indica que profissionais em um dos cargos do Red Team – Penetration Tester – ganham, ao ano, valores a partir de 55 mil dólares (cerca de R$ 250.000,00 ao ano). Segundo outra consultoria norte-americana de RH e treinamento, a Intellectual Point, o cargo “Information Security Analyst” (ISA) – posição típica do Blue Team – está na mesma faixa de rendimentos. Esses valores variam de acordo com os anos de experiência e a formação dos profissionais do Blue Team e do Red Team.
A soma das inteligências Red Team e Blue Team entrega, para a empresa usuária, uma visão holística e viva sobre a real capacidade de proteção dos ambientes corporativos. Os dois times respondem ao Chief Information Security Officer (CISO) e atuam de forma complementar. Do lado do Red Team trata-se de pensar como um criminoso digital e investigar novas tecnologias de forma a usá-las para invadir as aplicações de missão crítica da empresa.
Para o Blue Team, a missão, ao contrário, é dominar as disciplinas de cyber segurança e explorar ao máximo soluções como Web Application Firewalls, defesas contra ataques volumétricos DDoS e, mais recentemente, plataformas avançadas de detecção de fraudes.
Injeção SQL e roubo de contas de usuários
Tanto o Blue Team como o Red Team estão, na prática, trabalhando a favor da proteção das aplicações das empresas onde trabalham. Trata-se de um grande desafio.
Segundo o levantamento feito pela fundação OWASP (Open Web Application Security Project) em 2017, as aplicações Web são especialmente vulneráveis a duas estratégias dos criminosos digitais. Por meio do uso de robôs, realiza-se a injeção de código SQL nos formulários ou campo de busca de informações da página Web da empresa. Esse código espúrio pode ser interpretado pela aplicação como uma consulta válida, o que abre o acesso a dados da empresa usuária e de seus clientes aos criminosos digitais.
A segunda estratégia mais comum de ataques às aplicações é a quebra de autenticação ou roubo de contas de usuários. Nesse caso, o criminoso digital se apodera ou compromete autenticações de acesso à aplicação realizadas por meio de chaves, senhas, tokens etc. O objetivo final é dominar contas de usuários e realizar acessos indevidos a partir daí.
IA e Machine Learning são adotados pelo Blue Team e pelo Red Team
Nessas duas estratégias de vazamento de dados, o volume e a sofisticação dos ataques são de tal porte que somente com o uso de tecnologias de Inteligência Artificial (IA) e Machine Learning na nuvem (o que garante escalabilidade) é possível fazer frente às ameaças. Ameaças, aliás, que são cada vez mais baseadas nessas mesmas tecnologias e em recursos de nuvem organizados pelos criminosos em Bots.
A soma dos talentos dos dois times com IA e Machine Learning gera resultados tangíveis:
1 – O uso dessas capacidades permite a identificação das fragilidades do código da aplicação, procurando bugs, malware e comportamentos fora do padrão.
2 – Fica mais fácil monitorar os logs gerados por acessos e atualizações – inclusive via APIs – na aplicação. Quanto mais tempo os logs deixarem de ser monitorados, maior será o período da invasão.
3 – A partir da análise de padrões, passa a ser possível identificar tentativas de fraudes e evitar ataques baseados em engenharia social.
4 – Por meio de análise preditiva, delineia-se possíveis cenários de ataques causados por vulnerabilidades no ambiente.
Em 2021, a importância dos negócios digitais brasileiros será tal que, em alguns casos, o CISO e seus times terão de implementar soluções de segurança instantâneas, com recursos de IA e Machine Learning na forma de serviços. Quando a oferta do serviço de segurança na nuvem é baseada em PoPs implementados no Brasil, acelera-se ainda mais essa entrega, garantindo a performance das aplicações Web (baixa latência).
O Blue Team e o Red Team trazem para dentro de casa as disputas da arena planetária de cyber segurança. Em 2021, esses times aprofundarão ainda mais o uso de IA e Machine Learning na nuvem para identificar vulnerabilidades e bloquear ameaças. Ao final desse duelo, quem ganha é a empresa, é o Brasil.
*Thiago de Souza Lima e Beethovem Dias são Solutions Engineers da F5 Brasil