Pentest x Red Team: Qual a diferença?
Alguma vez já se perguntou qual a diferença entre Pentest e Red Team?
Sabemos que as diferenças entre Pentest e Red Team existem, porém muitas vezes não conseguimos enxergá-las com clareza e muitos acabam referindo-se a estas abordagens de forma intercambiável, o que é um erro.
Neste artigo buscaremos compreender as características de cada uma das abordagens, evidenciar suas diferenças e buscar avaliar para qual contexto cada uma destas melhor se aplica.
A importância de testes de natureza ofensiva para as organizações
Não é de hoje que os danos causados por atores e grupos de atores maliciosos têm sido motivo de grande preocupação para empresas de todos os setores. Contudo, a evolução dos cibercriminosos, o despreparo das organizações e seus funcionários no tocante a segurança da informação, o crescimento exponencial das ameaças cibernéticas no período pandêmico e as medidas e sanções previstas na Lei Geral de Proteção de Dados (LGPD) acabam por tornar este um ponto ainda mais preocupante.
Abordagens de natureza ofensiva, como Pentest e Red Team, permitem que as organizações obtenham uma visão real das vulnerabilidades a que estão expostas e possibilitam que a mitigação destas falhas seja efetuada antes que um incidente real aconteça, evitando assim danos à imagem e prejuízos financeiros à organização.
O que é Pentest?
Um teste de intrusão, Pentest, é uma avaliação de segurança que visa identificar e explorar pontos vulneráveis em uma organização a partir de um escopo definido entre as partes. A definição deste escopo será criada levando em consideração as necessidades da organização e podem incluir desde redes, sistemas, aplicações Web, aplicações mobile à segurança física e engenharia social.
Um Pentester, por vezes chamado de Ethical Hacker, tem a responsabilidade de conduzir o teste em questão utilizando metodologias e Frameworks conhecidos e respeitados no mercado como PTES, NIST SP 800-115, OWASP, OSSTMM e ISSAF para garantir um alto nível de qualidade em seus resultados e utilizam um mix de técnicas manuais e automatizadas para identificar e explorar o máximo de vulnerabilidades possíveis dentro do escopo definido.
A ideia principal deste tipo de avaliação é testar os itens abrangidos no escopo através da óptica de um ator malicioso permitindo à organização testada identificar, de forma proativa, falhas de segurança e mitigá-las antes que um atacante tenha a oportunidade de o fazer. Ao fim de um Pentest a organização obtém uma visão abrangente dos vetores de ataque à que está exposta, vulnerabilidades encontradas em seus sistemas, severidade e impacto referentes a estas vulnerabilidades e recomendações para mitigação das mesmas.
E o que vem a ser um Red Team Assessment?
Um Red Team Assessment é uma abordagem muito mais ampla em comparação a um Pentest. A ideia por trás deste tipo de abordagem não é evidenciar o máximo de vulnerabilidades possíveis, mas sim encontrar e explorar as vulnerabilidades que tenham relação com um objetivo específico, por exemplo, exfiltração de dados confidenciais ou financeiros. Este tipo de teste busca avaliar os controles de segurança de uma organização, testar a equipe de segurança defensiva (Blue Team) e pôr à prova os procedimentos de resposta a incidentes adotados pela organização alvo.
Geralmente um Red Team Assessment possui um escopo mais abrangente, podendo utilizar qualquer técnica necessária, ou quase qualquer técnica necessária, para atingir o objetivo previamente estipulado simulando um atacante real.
Outro ponto importante a ser ressaltado está no tangente a duração de ambos os testes. Normalmente um Pentest possui duração entre 1 e 2 duas semanas, enquanto um Red Team Assessment possui duração média de 3 a 4 semanas podendo se estender a meses.
Diferenças entre Pentest e Red Team
Agora que possuímos uma visão geral sobre ambos os testes e conhecemos algumas de suas principais características podemos discorrer sobre suas principais diferenças.
Para melhor compreensão e visualização dessas diferenças, utilizei 4 (quatro) pontos que considero ser os principais fatores para compreendermos melhor as reais diferenças entre ambos. São eles: escopo, duração, tipo de adversário e maturidade.
Pentest:
- – Escopo: geralmente um Pentest tem seu escopo bem definido. Mesmo quando este é abrangente, ainda assim, temos alguns limites que dificilmente podem ser cruzados. Por exemplo, por padrão ataques relacionados a engenharia social e DoS (negação de serviço) encontram-se fora do escopo de um teste de intrusão.
- – Duração: a duração de um Pentest é relativamente curta se comparada a duração de uma avaliação de Red Team. Geralmente um Pentest tem sua duração girando em torno de uma a duas semanas, em casos pontuais podendo se alongar a um mês.
- – Tipo de adversário: tendo em mente as limitações de escopo e de tempo, é possível inferir que um Pentest emule um adversário eventual, que busca por vulnerabilidades conhecidas e que utiliza ferramentas e técnicas triviais.
Lembre-se, a ideia é identificar e explorar o máximo possível de vulnerabilidades dentro de um escopo pré-definido, diferente de um Red Team Assessment. - – Maturidade: para que um Pentest traga real valor a uma organização é necessário que esta possua um nível razoável de maturidade no que tange a segurança da informação.
Red Team:
- – Escopo: em uma abordagem Red Team o escopo é geralmente muito mais abrangente e com limites mais flexíveis tendo como ponto focal um objetivo em específico.
Como a ideia deste tipo de avaliação é simular uma ameaça real, como uma APT (Advanced Persistent Threat), incluir demasiadas limitações ao escopo poderia comprometer o objetivo vislumbrado. - – Duração: uma abordagem Red Team tem duração sensivelmente mais longa podendo ir de semanas ou meses à anos.
- – Tipo de adversário: o objetivo é comprometer os dados e a segurança de uma empresa tendo recursos, tempo e permissões para emular adversários reais.
- – Maturidade: ambos os testes requerem um certo nível de maturidade no que tange a segurança da informação de uma organização. É recomendado que a organização tenha um alto nível de maturidade e que já tenha realizado análises de vulnerabilidades e Pentests anteriormente para que um Red Team Assessment seja, de fato, levado em consideração.
Podemos dizer que Red Team seria um Pentest sem escopo?
Não necessariamente. Um Red Teaming Assessment não deve ser limitado a uma aplicação, sistema ou tecnologia e nem tampouco a uma única vertente de teste, como por exemplo um teste físico. Este deve simular um ataque de múltiplas camadas abrangendo então tecnologias, processos e pessoas e com um objetivo bem definido a ser cumprido.
Apesar de em muitos casos um Red Teaming ter, como chamamos, um “escopo total”, é possível que existam certos objetivos e restrições previamente estipulados entre as partes que possam vir a gerar algumas limitações das superfícies de ataque.
Resumo
Ambos os testes buscam emular atores maliciosos e tem por objetivo testar os controles de segurança adotados pela organização e a equipe de defesa (Blue Team). Além disto, para que a organização tire maior proveito destes, se faz necessário um nível razoável de maturidade no tangente à segurança informação por parte da mesma.
Observamos que um Pentest possui um período de duração relativamente curto se comparado a um Red Team Assessment e que normalmente possuem um escopo mais restritivo. No tocante a técnicas e ferramental vimos que, geralmente, um Pentest contará com o uso de ferramentas e técnicas conhecidas enquanto um Red Team Assessment terá tempo e recursos para inovar, podendo assim criar novas técnicas e ferramentas para alcançar seu objetivo.
Conclusão
Neste artigo pudemos entender e avaliar as principais diferenças entre Pentest e Red Team. Apesar das semelhanças notamos que os testes diferem em certos aspectos e objetivos e que visam organizações com diferentes níveis de maturidade.
Quer saber se sua organização está preparada para um teste de invasão ou um Red Team Assessment? Nós podemos te ajudar. A IBLISS conta com uma equipe de profissionais altamente qualificados que utilizam os principais frameworks e metodologias de mercado como NIST SP, 800-115, OWASP, OSSTMM e ISSAF.
Saiba como podemos colaborar para elevar o patamar de segurança de sua empresa a um nível de excelência com nossos testes de invasão. Entre em contato com um de nossos especialistas e saiba mais sobre nossos serviços de Testes de Invasão.
Escrito por Geraldo Alcântara – HaaS IBLISS