Mesmo com todos os anos de evolução na cibersegurança – ou, talvez POR CAUSA desta evolução – eu ainda vejo uma dificuldade em conceituar com clareza o que exatamente significam alguns termos, ou para que serve e como funciona uma determinada operação.
Definir e conceituar um certo time azul, por exemplo, e colocar esse time azul no seu devido lugar na estrutura de segurança ainda é motivo de confusão…
Na minha rotina tenho visto e ouvido diferentes percepções sobre o papel do Blue Team: “é o SOC”, “é parte do SOC”, “é o time que responde a incidentes”, etc. Tudo isso é verdade, em parte… EM PARTE. Não é, nem de longe, o todo.
Para dar uma ideia desse todo, vou dedicar este meu primeiro artigo para o blog para dar minha visão sobre o que Blue Team faz no fim das contas, e também colocá-lo em perspectiva em relação ao SOC e a outros times de segurança como o Red Team, e também o Purple Team.
O que faz o Blue Team (não é sobre apagar incêndio)
Uma ideia comum na definição dos Blue Teams é que eles são um time dedicado exclusivamente a botar a mão na massa diante de um incidente de segurança.
Na real Blue Team é sobre defesa proativa, o que inclui apagar um incêndio eventualmente, sim, mas também significa ser responsável por um ciclo contínuo de avaliação de riscos e busca por ameaças, mirando aprimorar a segurança constantemente, tudo isso com o “dedo no pulso” da segurança do negócio.
Isso pode ser resumido em uma busca pela antecipação… mitigar um incidente ANTES que ele ocorra.
Nessa busca o Blue Team conta com uma série de ferramentas e técnicas que incluem o Threat Hunting, exercícios de simulação, e precisa contar com a integração de outros stakeholders; entender entender particularidades de forma profunda é crucial para identificar seus pontos mais vulneráveis.
É um trabalho multifacetado, que abrange um leque de responsabilidades defensivas – da proteção da infraestrutura à conscientização humana. Vamos ver algumas das atribuições do Blue Team:
- Análise e gestão de vulnerabilidades: identificação de pontos vulneráveis à partir de análise e inteligência de ameaças e implantação de correções para essas vulnerabilidades
- Monitoramento contínuo de rede, sistemas e tráfego
- Auditorias de segurança
- Educação para a segurança
Dá pra perceber que em algumas dessas atribuições o Blue Team se aproxima bastante do conceito geral de um SOC (Security Operations Center) e isso é um fato; mas é um fato que pode gerar alguma confusão.
Já vi pessoas dizendo que o SOC é a estrutura responsável pelo monitoramento, enquanto o Blue Team responde. Uma ideia bem reducionista.
Blue Team é parte do SOC sim, mas não é uma estrutura separada.
A seguir, vamos ver outras interações do Blue Team, e como elas tornam o seu trabalho ainda mais relevante (do que só apagar incêndio).
Azuis x Vermelhos (mas também Azuis + Vermelhos)
Em oposição ao Blue Team, que tem como prática fundamental a segurança defensiva, o Red Team conta com profissionais que se dedicam à segurança ofensiva.
Como assim?
Em uma estrutura de segurança, os especialistas de um Red Team simulam o comportamento de atacantes: suas táticas, ferramentas e procedimentos. O objetivo é encontrar falhas e brechas na estratégia de segurança.
A interação entre esses dois times – adversário x defensor – em exercícios e competições permite corrigir vulnerabilidades antes que os atacantes consigam usá-las.
Nota: em alguns casos, essa interação pode dar origem a um Purple Team, que promove a colaboração (ao invés da competição) e o compartilhamento de informação entre o Blue e o Red Team. Isso é muito positivo, já que cria um ciclo de feedback contínuo.
Ok, mas me dê um exemplo prático do Blue Team em ação
Claro, vamos lá.
Eu já disse que Blue Team não é só sobre apagar incêndios, mas talvez uma das suas atribuições mais conhecidas e mais representativas da sua atuação seja a Resposta a Incidentes (RI) – AINDA QUE NÃO SEJA A ÚNICA.
Vamos falar um pouco sobre como o Blue Team reage a um incidente; melhor ainda, vamos dividir esse processo em 6 fases:
- Preparação: A fase inicial em que a equipe se antecipa a potenciais incidentes, identificando vulnerabilidades e criando planos de resposta. Isso inclui o “endurecimento” (hardening) dos sistemas e a revisão da defesa perimetral da rede.
- Identificação: A equipe detecta atividades suspeitas e valida o incidente, determinando sua natureza e gravidade.
- Contenção: Uma ação rápida e crucial para isolar a ameaça e evitar que ela se propague pela rede.
- Erradicação: A remoção da causa raiz da ameaça do ambiente, garantindo que o atacante não possa retornar.
- Recuperação: A restauração completa dos sistemas afetados, garantindo o retorno à operação normal.
- Lições Aprendidas: A análise pós-incidente, que documenta o que funcionou e o que pode ser melhorado. Esta etapa alimenta o ciclo, aprimorando a fase de preparação futura.
Para uma resposta rápida e certeira, o Blue Team conta com tecnologias que fazem parte da estrutura do SOC como o SIEM – que agrega logs, ou eventos no ambiente -, o EDR – que atua na ponta da estrutura (computadores, e outros dispositivos) e o SOAR – que automatiza tarefas e integra os fluxos de diferentes ferramentas. As informações coletadas por essas tecnologias alimentam playbooks, uma espécie de “livro de receitas” que reduz a carga manual do time.
Mas, veja, um dos papéis do Blue Team é sim mitigar danos e reduzir custos por incidente; mas também é garantir que a organização cumpra regulamentos de segurança e aumente sua maturidade e eficiência operacional tática, e muitas das vezes até estratégica. Também é propor ações que complementem a estratégia de segurança do negócio (um programa de conscientização, às vezes, é mais eficaz do que a aquisição de uma ferramenta). Tudo isso torna a empresa mais confiável perante o mercado e os consumidores, o que é uma baita responsabilidade.
Mas, nesse ponto eu preciso dizer que tudo isso é um cenário ideal!
Desafios e futuro dos Blue Team
Como em toda a cadeia de cibersegurança, o Blue Team passa por uma falta crônica de profissionais. E os que se dedicam à área ainda têm que lidar com a sobrecarga de alertas, um volume gigantesco de dados de alertas que podem levar a erros de interpretação.
Além disso, as táticas, técnicas e procedimentos dos atacantes evoluem rapidamente. O uso de IA por adversários para criar novos ataques e ameaças certamente não ajuda.
Mas se o Machine Learning e a IA são usados pelos adversários, eles também estão se tornando aliados dos SOC e do Blue Team.
Se eu tiver que fazer uma recomendação para quem já está (e para quem quer se aventurar) nessa área seria invista sua energia em descobrir como a IA pode ser uma ferramenta útil para você…
Porque o SOC está se transformando (e com ele Blue Teams, Red Teams..). Está deixando de ser reativo, manual, para ser mais autônomo no que importa. A máquina não vai ser sua substituta, vai ser sua aliada no combate ao cibercrime. Vai assumir as tarefas repetitivas e te ajudar a investigar, focar em ameaças mais complexas.
O futuro da cibersegurança é azul, meus amigos e amigas.
Líder com + 13 anos de experiência no mercado de Segurança da Informação, com formação em Gestão de Tecnologia e MBA em Cyber Security – Forensics, Ethical Hacking & DevSecOps.