Uma maneira inteligente que vi CISOs organizarem suas equipes vermelhas quando precisam explorar vetores de acesso desde o início é interromper o acesso ao sistema para que parte da equipe possa iniciar o processo de obtenção de parte do engajamento enquanto outro cliente potencial pode fazer o primeiro jogo. acesso, reingressando no grupo quando/se concluírem essa fase. Já vi organizações mais maduras dividirem esses negócios em projetos completamente separados, às vezes reunindo-os para contar uma história. Um dos meus exemplos favoritos disso foi uma organização financeira que executou dois projetos de acesso antecipado – um ataque de phishing e um ataque de exploração externa – simultaneamente durante oito semanas. Os resultados desta colaboração, que incluiu usuários que explodiram as cargas de phishing e sistemas externos dos quais a equipe obteve o código de exploração, tornaram-se as cabeças de ponte às quais a equipe vermelha teve acesso.
Mantenha os egos fora
O debate sobre o envolvimento da equipa vermelha pode muitas vezes ser muito difícil. É provável que a equipe vermelha revele uma grande falha em sua abordagem de ataque e você terá todas as partes interessadas sentadas à mesa, ou quando ouvirem o chamado sobre elas, muitas vezes pela primeira vez. Por que seu SOC não viu seu movimento lateral? Por que sua equipe de identificação bloqueou a MFA para seus executivos de negócios? Por que sua equipe de engenharia de segurança não conseguiu implantar seu EDR em todos os hosts da área? Torna-se muito fácil começar a apontar o dedo e culpar, deixando todos irritados, frustrados e envergonhados.
Lembre-se, porém, de que a equipe amiga acaba de descobrir erros graves antes do inimigo e você tem a chance de corrigi-los. Concentre-se em criar um ambiente de honestidade, humildade e compaixão. Isso não significa que as pessoas não terão mais sentimentos negativos, mas o tom da conversa desde o início melhorará muito a qualidade da conversa.
