Autor: Dino

Desde que a internet e o armazenamento em nuvem tomaram conta da rotina de milhões de pessoas e empresas ao redor de todo mundo, a segurança da informação nunca mais pode ser vista da mesma maneira. O volume de dados e as possibilidades de conexão afetaram toda a forma como os computadores, sistemas e dados se conectam, aumentando as possibilidades de pontos vulneráveis e de eventuais quebras de segurança. Com isso, surgem inúmeras novas possibilidades de atuação e de demandas profissionais para cuidar desses segmentos.

Um bom antivírus e uma estrutura de firewalls nem sempre são suficientes para conter as ameaças que podem surgir a partir de brechas em sistema de proteção. Por isso, uma postura preventiva que tem sido adotada por muitas empresas é a de investigar todos os acessos possíveis e identificar internamente suas vulnerabilidades. “A premissa de lidar com possíveis invasões não atende mais a muitas empresas, já que certos dados ou configurações internas são de natureza confidencial e não podem estar um risco potencial de comprometimento”, explica Dario Caraponale, sócio da Strong Security Brasil, empresa pioneira em produtos e serviços na área de segurança da informação.

Basicamente, um profissional ou uma equipe é contratada para tentar burlar as barreiras de segurança da mesma forma que um hacker com aspirações de invasão faria. Esse novo time é o denominado red team, encarregado de fazer o “ataque” premeditado e contido aos sistemas e bancos de dados em desenvolvimento ou já instaurados. Normalmente, existem objetivos estipulados pela direção da empresa e focos bastante específicos – a tentativa de ter acesso a dados bancários de clientes, por exemplo, é uma ação bastante checada pelo red team de empresas.

Uma vez identificadas as vulnerabilidades e os erros de programação, é hora do blue team entrar em ação para desenvolver modificações e ferramentas de segurança para proteção de ameaças análogas. “É preciso, então, agir em duas frentes – a correção da programação do sistema que foi responsável pela criação da brecha e a criação de mecanismos de reforço de proteção, já que ataques podem acontecer de múltiplas formas em uma única possibilidade e não é seguro deixar essas chances em aberto”, destaca Caraponale.

Também cabe ao blue team identificar incidentes e ataques em andamento, já que essa equipe atua exatamente na defesa absoluta de um sistema. Quando uma determinada empresa passou por um problema de invasão e quer corrigir os problemas causados e evitar que isso aconteça novamente, a equipe de ação é o blue team. Isso porque ele não irá criar situações de possíveis invasão, mas fazer a defesa imediata daquele sistema malicioso e driblar eventos semelhantes.

Profissionalização

Na prática, existem formas de capacitação e certificação que podem colocar um programador ou profissional de segurança da informação em destaque frente ao mercado. Interessados em atuar no blue team podem embasar sua atuação com a normativa da ISO/IEC 27035 (Lead Incident Manager), que oferece os procedimentos necessários para o profissional lidar com incidentes de segurança cibernética e desenvolver todo um plano de ação para aquele evento específico. Além disso, são informadas as normas técnicas e todos os padrões que precisam ser seguidos em certas situações.

O mesmo acontece com o ECIH, cujas habilidades focam na detecção de sinais que possam indicar incidentes de segurança e as consequentes ações que irão guiar o combate. As metodologias adequadas também entram em destaque, já que visam a formação de um profissional que saiba agir com objetividade e respaldo para justificar suas ações.

Já o GIAC Certified Incident Handler (GCIH) também é uma certificação interessante, visto que entende as necessidades de segurança a partir das métricas de um ataque em potencial ou de situação análoga. Ou seja, é mais voltada para a perspectiva do red team. Além disso, o curso valoriza ainda a verificação constante de pontos fracos, o que é basicamente o mote central desse segmento.

Fonte: Exame