S21sec: A transparência é a “chave” da Purple Team (com vídeo)

Luís Catarino, Offensive Security Manager da S21sec, abordou a estratégia de Purple Team nas organizações, identificando os seus desafios e vantagens.

A Purple Team “consiste numa abordagem colaborativa” entre a Red Team, cuja responsabilidade é a segurança ofensiva, e a Blue Team, que está encarregue da defesa, com o “objetivo principal” de “melhorar as capacidades de deteção e resposta”.

Luís Catarino destaca três fases da metodologia da Purple Team. A primeira remete para “uma fase pré-execução”, onde são definidos os pré-requisitos, regras de participação e objetivos e é desenvolvido um “test plan”, ou seja, um “script do ataque que vai ocorrer que é partilhado entre a equipa que ataca e a equipa que defende”.

A segunda fase remete para a execução do plano de teste, enquanto a última assenta na recolha das descobertas, no fornecimento de recomendações e no desenvolvimento de um report.

Desafios

O primeiro desafio da Purple Team é definir “qual é o momento mais apropriado” e a sua frequência, uma vez que “requer já uma elevada maturidade a nível de segurança”.

As Red e Blue Teams são os recursos necessários, indica Luís Catarino, reforçando a importância de “formar as equipas para que possam dar estas respostas e fechar este ciclo da melhor forma possível”.

Para o sucesso da Purple Team, a transparência é a “chave”, sublinha, sendo essencial “que exista uma comunicação em tempo real, eficaz e que exista uma visibilidade total dos ataques por parte da Red Team e das deteções por parte da Blue Team”.

Vantagens

Uma vantagem é ter “os incentivos alinhados”, refere. “Se o ataque não foi bem-sucedido, temos aqui uma oportunidade de melhoria para a equipa que vai atacar. Se tivermos um ataque bem-sucedido, temos uma oportunidade de melhoria para quem está a defender”.

Luís Catarino destaca ainda a melhoria da eficiência, bem como das métricas, permitindo ver “os ataques que foram detetados, os tempos de resposta, a informação forense disponível ou não disponível que temos nas nossas organizações”.

A IT Security Conference volta a 10 de outubro de 2024!