A preparação de uma excelente linha de defesa começa pelo estudo exaustivo do atacante. É necessário prever e planear a resposta a qualquer linha de ataque possível. Todas as situações de perigo devem ser mapeadas e imaginadas e uma possível resposta deve ser planeada e praticada durante os treinos. A bola é redonda e as oportunidades de ataque surgem inesperadamente, geralmente do aproveitamento de pequenos erros da defesa. Para ter sucesso, a linha da defesa tem de conseguir parar todas as tentativas de ataque que o oponente lhes faz chegar. Por outro lado, o ponta de lança só precisa de passar despercebido à defesa.

Quando o relvado é virtual, e os remates perigosos chegam via emails de phishing, a diferença entre equipas ofensivas e defensivas torna-se evidente. A equipa ofensiva concentra todos os esforços na tentativa de encontrar algum elo fraco na linha da defesa, para tentar chegar ao seu objetivo. Os defensores persistem na defesa a sua baliza que guarda informação confidencial, sistemas críticos e a reputação da sua organização.

Um ciberataque à nossa organização pode ter muitas semelhanças com um jogo de futebol: um passo na direção errada pode abrir oportunidades de ataque e a ausência de capacidade de resposta a essas oportunidades poderá dar abertura ao ponta de lança para marcar o seu golo.

O ciclo de defesa e ataque no cibercrime é um batalhar constante entre as equipas de quem ataca e as equipas de quem se tenta defender. Um golo por parte dos criminosos tem, hoje em dia, repercussões mais elevadas do que nunca. As partidas deixam de ter 90 minutos e passam a ser campos de batalha desgovernados. Nesta ausência de regras, os atacantes utilizam todas as técnicas e procedimentos que conhecem para tentar buscar uma compensação financeira à baliza da nossa organização.

Sendo que a única barreira entre a equipa atacante e o golo eminente é a linha da defesa, torna-se mais importante do que nunca, o investimento na preparação técnica das ferramentas de segurança e das equipas que as gerem e monitorizam.

Surge, então, a ênfase no treino da equipa. Para que a equipa mais defensiva possa estar preparada para o jogo, terá de ter a oportunidade de testar as suas capacidades contra uma equipa ofensiva.

Num exercício de Purple Team, faz-se um jogo amigável entre a equipa defensora, que veste a camisola azul, e a equipa atacante, cujo equipamento é vermelho. A equipa defensora, ou Blue Team, assume as suas posições habituais. Com os olhos nas ferramentas de monitorização, começam a observar as tentativas de ataque dos vermelhos, a Red Team. Uma vez que este é um jogo amigável, a Red Team anuncia o estilo de ataque que vai usar para iniciar a partida. Com esse conhecimento, a Blue Team preparou-se, e consegue detetar e bloquear imediatamente a tentativa. A Blue Team tem sucesso no primeiro lance. Para o segundo lance, a Red Team volta a anunciar que tipo de ataque vai utilizar, mas desta vez a Blue Team, apesar de estar preparada, apercebe-se que não havia planeado para esse cenário. A Red Team tem sucesso no segundo lance.

Este jogo colaborativo, onde a informação circula, ajuda a simular uma série de lances. Alguns com sucesso para a Red Team, outros com sucesso para a Blue Team. No final da partida, todos os jogadores vestem uma camisola roxa, e formam uma Purple Team para uma análise técnica colaborativa dos lances da partida amigável. Durante esta análise, são estudados os ataques e entendidas as falhas encontradas na defesa.

Após a fase de treinos, a equipa defensiva está pronta para defrontar outras seleções com perfis diferentes na competição. Mas agora armada com conhecimento sobre diferentes tipos de ataques, e as suas capacidades de resposta aos mesmos. Os passos a dar já são mais calculados, uma vez que já foram praticados contra equipas ofensivas, durante os treinos em Purple Team. Deste modo, esperando por qualquer erro por parte da equipa atacante, a Blue Team já está pronta para lançar um contra-ataque e expulsar os cibercriminosos das suas redes.

*Audit Team Lead na S21sec em Portugal