O Red Team Assessment (RTA) é um meio de colocar a segurança digital da sua empresa à prova efetivamente através da simulação de um ciberataque real. Hoje, realizar pentests já não é mais o suficiente. Em um cenário digital cada vez mais conectado e complexo, é preciso determinar se pessoas, processos e tecnologia estão funcionando como deveriam, através de uma simulação de incidente real, controlado. O RTA tem objetivos e métodos próprios, mais abrangentes, que utilizam além das ferramentas tecnológicas, o conhecimento e expertise humano.
Apesar da evolução dos testes automatizados nos últimos anos, para realmente entender e avaliar a postura de segurança de uma organização, não basta apenas realizar teste de intrusão. É preciso ter mão de obra, experiência e expertise humana, em outras palavras, precisamos usar as mesmas armas que os cibercriminosos usam, e só assim podemos entender o que é necessário para estabelecer uma estratégia eficiente de defesa cibernética dentro de uma empresa.
Os pentests verificam se há vulnerabilidades exploráveis, dando visibilidade ao nível de proteção da organização pontualmente. Para ter abrangência e eficiência, esses testes geralmente começam a partir da execução de uma varredura automatizada de vulnerabilidades do alvo, seguido pela utilização de ferramentas manuais para sondar os pontos fracos encontrados, para então evidenciá-los.
O grande problema é que os ataques reais não se limitam às regras dos testes e abordagens tradicionais. Criminosos não medem esforços para conseguir acessar sistemas. Basta uma brecha, uma porta mal fechada, para obter acesso e ter uma violação bem-sucedida. Os pentests tradicionais, no final, não indicam realmente se a empresa está vulnerável a ataques. Além de vulnerabilidades técnicas, existe o fator humano. Um clique errado de alguém dentro da empresa pode causar um desastre. E é aí que entra em cena o RTA para suprir essa lacuna, para achar os pontos cegos.
A metodologia de um RTA possui uma abordagem muito mais ampla e abrangente de testes de intrusão, que utiliza recursos e conhecimento de um ataque real para determinar se uma invasão é possível na organização. Além do teste de intrusão, são realizadas avaliações dos controles de segurança, inteligência de ameaças e procedimentos de resposta a incidentes. Tudo isso é colocado à prova. Usando essa combinação de abordagem holística e ofensiva, é possível saber se sua empresa está propensa a qualquer ataque cibernético, se ela está preparada caso algo aconteça e se sabe (ou se até mesmo consegue) se defender.
O objetivo de um RTA é violar as defesas, evitar a detecção e realizar um ciberataque utilizando as mesmas técnicas que atacantes reais usariam, desde engenharia social a tecnologias avançadas. Assim, as informações e os dados obtidos evidenciam o ataque simulado. A atividade do RTA é geralmente realizada sigilosamente, para simular, de fato, um ataque real, para que toda a reação e consequências também aconteçam da forma que viria a ser no caso de uma invasão criminosa, mas, sempre sem interromper os negócios.
Tudo isso parece assustador, e de fato é. É basicamente invadir a empresa da mesma forma que um atacante atuaria. O resultado de um RTA revela a real postura e nível de segurança da organização. Ou seja, muitas empresas acreditam que são invioláveis, o RTA prova justamente o contrário. Não existe bala de prata, e essa abordagem holística e completa é central para aprimorar a segurança de qualquer empresa diante de cenário cada vez mais complexo de ameaças digitais.
