TL;DR
Neste texto vou explicar um pouco sobre as áreas de cyberseguranças definidas pelo Colour Team Structure, partindo pela origem de Red Teams e Blue Teams até o conceito mais atual de Rainbow.
A maioria das vezes que alguém me fala que quer começar a trabalhar em cybersegurança, a pessoa quer me dizer, porém sem dizer com essas palavras, que quer trabalhar com red team. E, pelo que escuto, isso não é uma preferência ou glamourização causada pelo Mr. Robot, mas um desconhecimento de como um time de segurança funciona na prática.
Red Team X Blue team
Os primeiros times a surgirem foram os Red teams e os Blue teams. Várias fontes apontam que os nomes surgiram graças a treinamentos das forças armadas americanas durante a guerra fria - os soldados eram divididos em dois times: os Red (que representavam a extinta URSS), eram responsáveis por atacar, enquanto os Blue (representando os EUA e a OTAN) se defendiam.
E é basicamente isso que estes times fazem. Atacam e defendem o sistema que será protegido. Sendo mais descritiva:
Red team: são os "hackers éticos", ou white hat hack. Pessoas treinadas que utilizam técnicas e táticas semelhantes a dos black hats para encontrar vulnerabilidades no sistema.
Blue team: estão a postos para proteger o sistema dos ataques. Dentre suas atribuições estão análise de logs, auditorias de segurança, testes DDoS e outros.
No entanto, os gerentes notaram que os ataques avançavam muito mais rápido que a defesa. Para auxiliar, então, com desenvolvimento de ferramentas e infraestruturas, temos a criação do Yellow Team.
Yellow team e a tríade primária de segurança
A origem do nome Yellow Team vem das cores primárias. Já tinhamos os times vermelho e azul, a idéia é que, com o amarelo, seria possível misturar e conseguir times com vários focos, conforme fosse necessário.
O Yellow Team, também conhecido como builders, é composto por programadores, arquitetos, testers e quaisquer outro profissional que irá auxiliar a criar e manter uma estrutura de segurança que o red team irá atacar - e o blue team, por consequência, defender.
Times secundários: misturando tudo e gerando o arco íris
A partir dos três times fundamentais - Red, Blue e Yellow -, temos a criação de três outros times, que existem, basicamente, para cobrir possíveis brechas deixadas pelos três times.
Lembrando que são chamados de secundários por surgirem a partir da mistura de dois times primários, não por serem menos importantes.
Da mistura do red team com o blue team, surge o purple team. Sua missão é, basicamente, utilizar métodos e descobertas de ataque (red) para provisionar a defesa (blue).
Entre o red team e o yellow team, temos o orange team, que tem como principal missão auxiliar os builders com security awareness através de insights conseguidos com práticas de red team, de forma a aumentar a qualidade o código e arquitetura do sistema, com ênfase na segurança.
Temos ainda entre os times blue e yellow o green team, que busca provissionar o yellow team com uma visão de defesa.
É comum que as empresas incorporem os orange e green teams ao Yellow, pois ainda não são conceitos totalmente maduros operacionalmente falando. Ao contrário dos purple teams, que já são amplamente maduros e difundidos por várias empresas mundo afora.
Governança, auditoria e afins
Para finalizar, temos a junção de todos eles: o white team. Apesar de serem menos técnicos, especialmente se comparados aos outros, são extremamente importantes. Aqui temos as pessoas que irão cuidar de auditorias, normas, politicas, gestões de acesso... Enfim, toda a burocracia que é necessária para organizar os demais times, planejar as ações futuras e monitorar o que vem sendo feito.
Desta forma, temos então o circulo cromático dos times de cybersegurança, descrito na imagem abaixo:
Esta, apesar de ser a mais comumente citada (especialmente por causa das áreas de Red team e Blue team), não é a única forma de organizar times de segurança. Outros exemplos famosos são o framework da Nist, o CIS e o ISO/IEC 27001.
Se você leu até aqui, muito obrigada. Me ajuda muito para conteúdos futuros saber o que você achou do texto. Pode ser aqui ou no meu email: julianagaioso@protonmail.com
Top comments (12)
Animal! Parabéns pelo texto.
ótimo artigo Juli, aprendi mto!
Texto sensacional e com certeza muitas pessoas não conhecem os conceitos. Parabéns
O texto ficou incrivel e eu sei que vai ajudar muita gente 💜
Sou Dev front, e não fazia idéia desse conceito sobre cyber security. Sensacional!
Muito bom, direto e muito bem explicado!
Muito bom, ótimo artigo!!
Parabéns pelo conteúdo massa!!
Eu não conhecia esses conceitos ainda
Manjo zero sobre cybersecurity, com sua didatica consegui entender bem mais!
Thanks for sharing <3