Atacar para defender

Uma breve história sobre busca ativa por vulnerabilidades e como isso chegou no domínio cibernético

Embora seja frequentemente percebida como uma disciplina recente na Tecnologia da Informação, a segurança ofensiva fundamenta-se em conceitos estratégicos desenvolvidos ao longo de séculos. Para entender como chegamos às Técnicas Táticas e Procedimentos aplicados em ativos cibernéticos nos dias de hoje, vamos analisar o contexto histórico sobre a metodologia de busca ativa por fraquezas e vulnerabilidades.

Batizada somente nos anos 60, a tática de simulação de adversários e teste de defesa já era praticada no século 19. Com o objetivo de simular ataques e treinar tomadas de decisão sob pressão de líderes, componentes do exército prussiano desenvolveram o jogo de guerra chamado "Kriegsspiel". Os resultados com simulações realistas e arbitragem de comandantes experientes permitiam a análise de fraqueza nas estratégias de defesa e de ataques.

Antes disso, existem relatos de simulações militares de ataque para confirmação da defesa e identificação de brechas. Uma abordagem interessante e ofensiva foi a adotada pela igreja católica no ano de 1587. Para evitar contestações posteriores à canonização de um candidato, o Papa Sisto V estabeleceu o ofício do Advogado do Diabo. A função deste componente era contestar o processo e descobrir qualquer falha de caráter a fim de evitar a concessão do título de forma errônea.

Voltando aos anos 60, a simulação de adversário e aplicação de técnicas de ataque para identificar vulnerabilidades ganhou o nome de Red Team. Durante a Guerra Fria os exercícios de simulação das Forças Armadas dos Estados Unidos utilizavam a cor vermelha para representar a União Soviética e a cor azul para representar a defesa do país americano. A abordagem permanece até os dias de hoje incorrendo em casos notórios como as operações realizadas pela Red Cell (OP-06D) que chegaram a envolver até mesmo o sequestro do chefe de segurança civil Robert D. Sheridan em 1985.

A Tríade de Segurança no Domínio Corporativo

Como um projeto de comunicação e informação militar, o meio cibernético de redes interconectadas surgiu e evoluiu a partir de testes que envolviam a Segurança da Informação e a tríade fundamental de Confidencialidade, Integridade e Disponibilidade. Ou seja, para que seja efetivo um sistema de informação deve servir a sua finalidade de acordo com suas dimensões, transmitir a informação de forma correta e imutável pelo meio e garantir que esta informação não seja acessada de forma indevida de acordo com sua classificação.

No domínio público e corporativo, a simulação de ataques a sistemas tem como objetivo comprometer algum destes três aspectos, não só para proteção contra atacantes. Para garantir seu pleno funcionamento e identificar falhas de design, é preciso analisar de forma contextual e por outras perspectivas. É aí que se enquadra uma abordagem fora de um pensamento comum para identificar falhas no sistema que desenvolvedores e administradores não conseguem perceber. Neste patamar e no domínio da segurança, três tipos de abordagens podem ser destacadas.

• Scan de versões

Sistemas em sua maioria são homologados e geram documentações rígidas sobre configurações e atualizações que são desenvolvidas para implementar novas funcionalidades, corrigir falhas de funcionamento ou de segurança. Quando descoberta, uma falha de segurança ou configuração incorreta pode ser catalogada em bancos de dados públicos como a CVE ou CWE.

Um scan de versões se baseia na observabilidade das versões de sistemas utilizados em uma rede e correlação com estes registros, com a primitiva de que se o sistema executa um software de versão vulnerável, logo o sistema é vulnerável. Estes registros também seguem métodos de classificação, como a calculadora CVSS, que indica o potencial de dano da vulnerabilidade registrada.

• Pentest

Um teste de intrusão busca ir além, avaliando exposições de credenciais, configurações incorretas e serviços que podem ser um risco para a infraestrutura, aplicativo ou lógica de negócio. Este exercício segue padrões definidos por entidades internacionais a fim de garantir a aplicação do método e esgotamento de testes possíveis.

Os métodos variam de acordo com escopo e segmento de cada corporação, como por exemplo para garantir a confidencialidade dos dados de cartão de crédito, a entidade PCIDSS estipula pontos que devem ser testados e quais testes devem ser executados. Além de apenas obter resultados da invasão, um exercício de teste de intrusão costuma indicar correções necessárias para os pontos de entrada identificados na rede.

• Operações de Red Team

As operações de Red Team vão além de sistemas e miram pessoas, processos e rotinas com a finalidade de testar a resiliência da corporação da maneira mais próxima possível a que um atacante faria. O primeiro passo para um exercício de Red Team é modelar a ameaça, ou seja definir quem seria um atacante em potencial e porquê. Em seguida são executados ataques conhecidos documentados em base de conhecimento (ou não) como a ATT&CK do MITRE a partir das diversas perspectivas e avaliado o dano potencial que pode ser causado.

Assim como o mundo do cibercrime é segmentado, algumas operações podem ser executadas de forma isolada como por exemplo campanhas de Phishing para obter credenciais e verificar o nível de conscientização dos funcionários ou teste de stress para verificação da resiliência do sistema ou da rede e seus limites.