Read, hack, repeat

Proteção de endpoint e red teaming: afinal, como testar se uma ferramenta é eficaz?

Ramon de Souza

Soluções de proteção de endpoint são ferramentas básicas para qualquer estratégia de segurança cibernética — porém, com a gigantesca oferta de produtos do tipo no mercado, é natural que as empresas fiquem na dúvida entre qual delas escolher. Na balança, é claro, a eficácia é o atributo que mais pesa na decisão de compra, uma vez que ninguém deseja interrupções nas operações por conta de um falso positivo ou ter que custos com analistas adicionais em sua central de operações de segurança (SOC) para operar o software.

Mas, afinal… Como podemos, de fato, atestar que solução X ou solução Y é realmente eficaz? O que realmente significa “eficiência” quando o assunto é proteção de endpoint? Ora, tais ferramentas foram projetadas para barrar todos os tipos possíveis de ataques em todos os vetores que possamos imaginar, mantendo os terminais — notebooks, desktops, servidores e até dispositivos móveis — seguros contra ameaças diversas. Nada melhor do que testar suas capacidades com o uso de red teaming, não é mesmo?

Red teaming, para quem não está familiarizado com tal termo, é a arte de simular ataques cibernéticos contra seu ecossistema computacional, usando uma equipe (que pode ser interna ou terceirizada) de profissionais experientes em intrusão. Os red teams, aliás, costumam usar a emulação de adversários para testar barreiras de proteção — ou seja, os times reconstroem todas as táticas, técnicas e procedimentos conhecidos de atores maliciosos para tornar esse cenário de invasão ainda mais realista.

Uma das ferramentas mais utilizadas nessa área é o MITRE ATT&CK, um framework que funciona como uma biblioteca que lhe permite reconstituir o modus operandi de sindicatos criminosos e grupos de ameaça avançada persistente (advanced persistent threat ou APT) com perfeição. Contudo, muitos se esquecem que nem todas as técnicas descritas no framework são, necessariamente, maliciosas. Isso acaba criando falsos positivos que só gastam tempo de sua equipe e reduzem a eficácia da solução automatizada de proteção.

Protegendo contra o que é real

O mais correto é utilizar o padrão conhecido como cyber kill chain ou cadeia de destruição cibernética — conceito que vem do universo militar e descreve a ordem correta, com a estrutura exata, de um ataque realmente malicioso. É diferente do ATT&CK, que apenas lista táticas e técnicas sem especificar necessariamente um fluxo no qual elas são utilizadas. Por exemplo, ferramentas legítimas como a Instrumentação de Gerenciamento do Windows costumam ser abusadas por atacantes, mas não são, por si, maliciosas.

A palavra-chave aqui é contextualização. “Descobrir algumas dessas técnicas é difícil mesmo em um dia bom, quanto mais distinguir entre quais são benignas e quais são maliciosas. Mas, em vez de decorar os registros com cada tática MITRE ATT&CK detectada, os cenários de teste precisam se concentrar na precisão do incidente e na redução da fadiga de alertas”, explica a CrowdStrike. “Não há solução mágica para avaliar a eficácia de uma solução contra todos os vetores, táticas, técnicas e procedimentos”.

Para a companhia, é importante entender como os atores maliciosos evoluem e como eles evoluem em seus próprios ciclos para reduzir o tempo de resposta. “Fazer perguntas como ‘O que devo detectar?’, ‘Quais táticas, técnicas e procedimentos são realmente relevantes?’ e ‘Como isso é relevante para as organizações?’ ajudará a identificar a receita para construir, gerenciar e revisar os recursos de detecção, bem como ajustar os falsos positivos para não sobrecarregar as equipes e analistas SOC já sobrecarregados”, completa.

Proteção confiável e sem falsos positivos

Se você procura uma solução de proteção de endpoint confiável, saiba que a plataforma CrowdStrike Falcon atingiu uma taxa de 99,5% de proteção no Teste de Proteção de Malware na Vida Real no último comparativo da AV-TEST em 2021, além de ostentar  99.8% de sucesso em evitar falsos positivos e uma nota geral de 85 pontos no Teste de Performance de Negócios.

Conheça mais sobre a CrowdStrike Falcon e entenda como a companhia pode te ajudar a combater ameaças avançadas com uma excelente taxa de retorno sobre o investimento!


Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.