A Agência de Segurança Cibernética e de Infraestrutura (CISA) lançou uma ferramenta gratuita de código aberto para ajudar as equipes vermelhas e os testadores de penetração a conduzir com mais eficiência suas atividades de análise, visualização e relatórios. A plataforma poderia ajudar a harmonizar o trabalho necessário, mas muitas vezes chato, de comunicar resultados a clientes e gerência, disse a agência do Departamento de Segurança Interna dos EUA (DHS).
A ferramenta, apelidada de RedEye, ajuda a visualizar atividades de comando e controle, permitindo que as equipes reproduzam ações de avaliação em vez de analisar manualmente os arquivos de log para recriar eventos. A CISA, juntamente com o Laboratório Nacional do Noroeste do Pacífico (PNNL) do Departamento de Energia, criou a ferramenta para atender às suas próprias necessidades internas, mas decidiu publicar o software para ajudar outras equipes vermelhas e coletar feedback e apresentar solicitações da comunidade como um todo.
“O lançamento de código aberto foi centrado em contribuir para a comunidade global de segurança da informação”, disse um porta-voz da CISA ao Dark Reading. “A diversidade e a abertura de pensamento tornam os produtos melhores para todos, e obter feedback da comunidade e até mesmo ‘pull requests’ para contribuir com o projeto cria rampas atraentes para melhorias e ajuda a comunidade em geral.”
Várias organizações publicaram ferramentas de segurança significativas como software de código aberto no ano passado. Em agosto, a NetSPI lançou duas ferramentas de simulação adversária, PowerHuntShares e PowerHunt, para ajudar as empresas a detectar compartilhamentos de rede vulneráveis e gerenciar suas superfícies de ataque. Em novembro de 2021, o Google publicou seu software ClusterFuzzLite como código aberto, um programa que permite que especialistas em segurança de aplicativos executem vários recursos de difusão em seu software. A empresa lançou duas ferramentas relacionadas, OSS-Fuzz e ClusterFuzz, em 2016 e 2019, respectivamente.
Oprojeto RedEyepode ser uma benção para as equipes vermelhas, especialmente aquelas em empresas menores e agências que não têm o apoio de uma equipe de desenvolvimento para criar ferramentas internas, diz Charles Henderson, chefe global da equipe X-Force da IBM Security. Ao tornar as tarefas de relatório e comunicação de uma equipe vermelha mais eficientes, a ferramenta pode abrir mais tempo para fazer o máximo de equipes vermelhas possível, diz ele. Tarefas diárias, como agregação de dados, agrupamento de dados e trabalho na apresentação, levam muito tempo – tempo que poderia ser melhor gasto simulando ataques.
“Passamos muito tempo em segurança criando ferramentas que são realmente centradas em torno das partes ‘legais’ da segurança – as coisas que são apresentadas em conferências”, diz Henderson. “A verdade é que passamos muito tempo em segurança em funções auxiliares, como relatórios e agregação de dados, que são – por falta de um termo melhor – pouco sexy. Na medida em que pudermos começar a diminuir o desperdício de tempo associado a essas tarefas, então seremos muito melhores em segurança.”
Relatórios de ataques cibernéticos
O RedEye pode ajudar os membros da equipe vermelha e os executivos a entender os caminhos de ataque criando visualizações das entradas em arquivos de log. A ferramenta atualmente suporta logs do Cobalt Strike, mas será expandida para suportar a telemetria de outros conjuntos de ferramentas da equipe vermelha, disse a CISA. O objetivo é permitir que os analistas da equipe vermelha possam visualizar e entender melhor os caminhos de ataque tentados e bem-sucedidos usados durante os testes de penetração e exibir essas informações com clareza.
“Essa ferramenta (…) permite que um operador avalie e exiba dados complexos, avalie estratégias de mitigação e permita a tomada de decisões eficazes em resposta a uma avaliação da Red Team”, disse a CISA na documentação do projeto. “A ferramenta analisa logs, como os do Cobalt Strike, e apresenta os dados em um formato facilmente digerível. Os usuários podem então marcar e adicionar comentários às atividades exibidas dentro da ferramenta.”
A ferramenta será útil para empresas que utilizam equipes vermelhas internas, bem como serviços de teste de penetração como forma de padronizar os relatórios. A IBM cria suas próprias ferramentas para lidar com essas atividades, mas a empresa é uma “loja bastante avançada”, diz Henderson, da IBM Security. “Você ficaria surpreso com o quão poucas ferramentas existem para pessoas que podem não ter os recursos de desenvolvimento que temos.”
Se o RedEye se tornar popular, poderá ajudar a padronizar os formatos de relatório e os conjuntos de recursos para ferramentas de relatório e análise. No entanto, a CISA enfatiza que o uso da ferramenta não é uma exigência do governo nem se destina a ser.
“Embora a CISA esteja animada para que a comunidade tenha a oportunidade de usar essa ferramenta em seus próprios compromissos, confiamos que cada equipe vermelha usará as ferramentas que atendam ao seu caso de uso específico conforme julgarem apropriado”, disse o porta-voz da agência. “O RedEye pode ajudar a aumentar a maneira como relatórios e evidências ofensivas são apresentados aos clientes / clientes, mas não se destina a impulsionar o alinhamento universal em torno de um padrão comum.”
Não é outra ferramenta para hackers nefastos
Ferramentas de simulação de ataque adversário, como Cobalt Strike e Brute Ratel, cresceram em popularidade, não apenas com os defensores, mas também com os atacantes. Embora muitas ferramentas criadas para ajudar equipes vermelhas e testadores de penetração sejam de uso duplo, igualmente benéficas para o atacante e o defensor, o RedEye realmente não se enquadra nessa categoria, diz Henderson, da IBM Security.
“Os criminosos ficaram muito melhores em eliminar os sumidouros de tempo em suas operações e se concentrar no retorno de seus investimentos, e esta é a primeira vez em muito tempo que uma ferramenta está saindo que está se concentrando em ganhos de eficiência para o defensor”, diz ele. “Acho que o benefício para as partes interessadas nos testes de segurança será muito mais significativo do que qualquer benefício que possa ser fornecido aos criminosos.”
O porta-voz da CISA disse que a CISA planeja adicionar um roteiro para o desenvolvimento da ferramenta ao repositório do GitHub no futuro e especificar quais ferramentas de simulação adversária planeja suportar.
Fonte: DarkReading
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
