Purple Team Operations
Purple Team
O conceito de Purple Team surge da necessidade de integrar, de maneira colaborativa, as atividades e perspectivas dos times tradicionalmente opostos na cibersegurança: o Red Team e o Blue Team. O Red Team é responsável por simular ataques, testar defesas e explorar vulnerabilidades como se fosse um adversário real, enquanto o Blue Team foca na defesa, monitoramento e resposta a incidentes. O problema é que, em muitas organizações, esses dois times operam de forma isolada, o que limita o aprendizado mútuo e enfraquece a eficácia das estratégias de segurança.
O Purple Team não é exatamente um novo time, mas sim uma abordagem colaborativa, onde Red e Blue trabalham lado a lado, compartilhando informações, táticas, técnicas e ferramentas. A ideia é que cada exercício ofensivo realizado pelo Red seja imediatamente analisado e utilizado pelo Blue para melhorar suas defesas. Da mesma forma, o Blue fornece feedback em tempo real, permitindo que o Red Team ajuste seus métodos e explore lacunas que realmente representem riscos reais.
Essa prática se baseia em uma metodologia mais madura, com cenários bem definidos, documentação contínua e foco em aprendizado e melhoria contínua. Plataformas como o VECTR, por exemplo, ajudam a registrar esses exercícios e a integrar os resultados à matriz ATT&CK, permitindo um acompanhamento técnico preciso do que foi testado, como foi detectado e o que deve ser aprimorado.
A implementação de um Purple Team pode ser feita de maneira formal ou por meio de exercícios periódicos. O importante é criar uma cultura de colaboração e aprendizado entre as equipes, onde a troca de conhecimento é constante. Isso reduz o atrito entre as áreas, acelera a maturidade em segurança e alinha os objetivos do time ofensivo com as necessidades reais de defesa da organização.
Antes de iniciar a implementação prática de um exercício de Purple Team, é essencial compreender o conceito de emulação de adversário, ou Adversary Emulation. Essa abordagem consiste em simular com o máximo de fidelidade possível o comportamento de um atacante real, desde suas motivações até os meios técnicos que ele utiliza.
O primeiro passo desse processo cabe ao coordenador do exercício, que deve definir o cenário: qual é o perfil do adversário, quais são seus objetivos, e quais TTPs (táticas, técnicas e procedimentos) ele empregaria. Esse planejamento se baseia, em geral, nas informações fornecidas pelo time de CTI (Counter Threat Intelligence), que tem a função de estudar ameaças reais e identificar padrões de comportamento de agentes maliciosos no mundo real.
A tarefa do coordenador não é apenas técnica. Ela exige conhecimento em um campo multidisciplinar chamado Adversarial Behaviours, ou comportamentos de adversários. Essa área estuda como pensam e agem os atacantes, levando em conta não só as ferramentas e técnicas que utilizam, mas também suas motivações (financeira, ideológica, política, etc.), suas capacidades técnicas, sua infraestrutura de ataque e os crimes que pretendem cometer.
Para sistematizar essa análise, costuma-se usar taxonomias baseadas, principalmente, na motivação do atacante. Isso pode incluir desde agentes internos com acesso legítimo, mas intenções maliciosas, até grupos organizados com capacidade de ataque coordenado. Outros fatores, como o tipo de crime cibernético (espionagem, extorsão, sabotagem), os recursos disponíveis, e os canais utilizados para comunicação e execução dos ataques também são considerados.
Ao basear a simulação nesses elementos, o exercício de Purple Team ganha realismo e eficácia, permitindo que os times de defesa e ataque testem suas capacidades de forma alinhada com os cenários que realmente representam riscos para a organização.
Árvores de Ataque
As árvores de ataque (ou attack trees) são modelos estruturados que ajudam a representar, de forma lógica e visual, as possíveis ações de um adversário em um cenário de ataque. O ponto de partida é sempre o objetivo principal do atacante, representado no nó raiz da árvore. A partir dele, o modelo se ramifica em objetivos secundários e, mais abaixo, em caminhos e técnicas possíveis para alcançá-los. Essa hierarquia facilita a visualização das dependências e alternativas de um ataque, permitindo uma modelagem clara do comportamento malicioso.
Essa estrutura é particularmente útil para exercícios de emulação de adversário em Purple Teams, pois permite representar passo a passo como o atacante agiria, desde o vetor inicial de acesso até o objetivo final, como a exfiltração de dados ou a interrupção de serviços.
Uma das implementações mais amplamente adotadas desse conceito é o framework ATT&CK da MITRE (Adversarial Tactics, Techniques & Common Knowledge). Esse repositório online organiza e documenta os TTPs (táticas, técnicas e procedimentos) usados por agentes maliciosos em ataques reais. Cada coluna no ATT&CK representa uma tática (como execução, persistência ou escalonamento de privilégios) e, abaixo, são listadas as técnicas específicas que podem ser utilizadas para atingir esse objetivo. Ao explorar uma técnica, o analista tem acesso a exemplos de procedimentos reais, utilizados por grupos conhecidos de ameaças.
Essa clareza organizacional faz do ATT&CK uma ferramenta indispensável para analistas de segurança e para a coordenação de exercícios Purple Team, pois oferece uma base concreta para simular ataques realistas, identificar lacunas defensivas e construir planos de mitigação alinhados com ameaças observadas no mundo real.
Cyber Kill Chain
O conceito de Cyber Kill Chain é fundamental para entender a lógica de operação de um ataque cibernético. Adaptado do meio militar para o mundo da cibersegurança, esse modelo propõe uma sequência de etapas pelas quais um adversário normalmente passa ao tentar comprometer um sistema. A ideia central é que, ao identificar essas etapas, torna-se possível interromper o ataque em qualquer ponto da cadeia, "quebrando o elo" e impedindo o sucesso da operação maliciosa.
O modelo mais difundido é o da Lockheed Martin, que define sete fases principais. A primeira é o reconhecimento, onde o atacante coleta informações sobre o alvo, como domínios, serviços expostos ou e-mails de funcionários. Em seguida, na fase de armamento, o atacante prepara seu artefato, que pode ser um exploit, um script malicioso ou um e-mail de phishing.
A terceira fase é a entrega, onde o payload é enviado à vítima, por anexo, link malicioso, dispositivo USB, etc. Depois vem a exploração, onde o código malicioso é executado, geralmente explorando uma vulnerabilidade. Em seguida, temos a instalação, em que o atacante garante persistência no sistema, por exemplo, com um trojan de acesso remoto (RAT).
A fase de comando e controle estabelece uma ponte entre a máquina infectada e a infraestrutura do atacante, permitindo comunicação e controle remoto. Por fim, a etapa de ações no objetivo é quando o atacante realiza o que motivou o ataque: roubo de dados, sabotagem, espionagem ou fraude.
Embora esse modelo seja muito utilizado, ele não cobre algumas táticas comuns, como evasão de defesas ou movimentação lateral. Por isso, o framework MITRE ATT&CK, que apresenta uma matriz com 14 táticas (como defense evasion, lateral movement, privilege escalation), é muitas vezes usado como complemento ou alternativa, oferecendo uma visão mais granular e atualizada.
O ponto mais importante aqui não é escolher o modelo "perfeito", mas sim entender que a Cyber Kill Chain oferece uma forma estruturada de estudar o comportamento do adversário e identificar oportunidades de defesa em cada etapa do ataque.
Pirâmide da Dor
A Pirâmide da Dor, proposta por David Bianco, é um modelo que ilustra de forma clara o impacto que diferentes tipos de indicadores de comprometimento (IOCs) causam ao atacante, classificando-os em níveis crescentes de "dor", ou seja, dificuldade para o adversário contornar.
Na base da pirâmide estão os indicadores mais fáceis de modificar, como hashes de arquivos. Basta uma alteração mínima no código malicioso, como um espaço em branco ou comentário, para mudar o hash e evitar a detecção. Subindo um nível, temos os endereços IP usados em ataques. Ainda que seja um pouco mais trabalhoso que alterar um hash, o atacante pode facilmente trocar de IP usando proxies, VPNs ou novas máquinas.
Mais acima vêm os domínios, que são um pouco mais difíceis de trocar, pois exigem registro, propagação DNS e eventual reconfiguração de infraestrutura. Ainda assim, com ferramentas de DNS dinâmico ou serviços automatizados, isso também é relativamente rápido.
Já na zona intermediária (o "meio da pirâmide") estão os artefatos de rede e host, além das ferramentas utilizadas. Neutralizar essas peças exige mais esforço do atacante, pois implica mudar softwares que ele domina, adaptar configurações, testar novas variantes ou desenvolver alternativas. Isso já representa um impacto real em tempo e recursos.
No topo da pirâmide estão as TTPs (Táticas, Técnicas e Procedimentos). Ao contrário dos outros indicadores, que são temporários e facilmente substituíveis, as TTPs refletem o comportamento operacional do atacante, sua maneira de pensar e agir. Essas rotinas são incorporadas ao modo como ele opera, muitas vezes com base em experiência acumulada, formação técnica ou acesso a ferramentas específicas. Modificar esse comportamento exige reformulação de estratégias, aprendizado de novos métodos e desenvolvimento de habilidades, algo custoso e demorado.
É por isso que, do ponto de vista da defesa, concentrar esforços no monitoramento e interrupção das TTPs é muito mais eficiente. Ao invés de correr atrás de assinaturas passageiras, o foco deve estar em entender e antecipar os padrões de ataque. Essa abordagem torna a defesa mais duradoura, força o adversário a trabalhar mais para se adaptar e otimiza os recursos do time defensivo.
No fundo, essa lógica se alinha ao princípio de Pareto: ao focar nos 20% mais relevantes (no caso, as TTPs) é possível gerar 80% do impacto. É o que transforma a detecção reativa em uma postura proativa e estratégica.
Implementar o Purple Team
A implementação de um exercício de Purple Team envolve um processo bem estruturado e orientado pela colaboração entre os times ofensivo (Red Team) e defensivo (Blue Team), sempre guiado pela emulação realista de um adversário. O sucesso do exercício depende diretamente da qualidade da preparação feita nas etapas iniciais, especialmente na definição do cenário, na escolha das TTPs e na clareza da simulação.
Tudo começa com a apresentação das equipes envolvidas e a realização do tabletop exercise, onde as TTPs a serem executadas são discutidas entre os times. Nessa fase, o papel do coordenador do exercício é fundamental: ele precisa garantir que a emulação do adversário seja coerente com as ameaças reais enfrentadas pela organização. É aqui que os conceitos de árvore de ataque, cyber kill chain e pirâmide da dor são aplicados para fundamentar as escolhas e dar profundidade à simulação.
Em seguida, na fase prática, o Red Team executa as TTPs planejadas, compartilhando a tela durante a atividade. Isso permite que o Blue Team observe o ataque em tempo real, acompanhando seus painéis e ferramentas para identificar se os indicadores de comprometimento estão sendo acionados como esperado. A sincronia entre as equipes nesse momento é essencial para o aprendizado mútuo.
O ponto alto do exercício acontece na etapa de Detection Engineering. Caso as ações do Red Team passem despercebidas, cabe ao Blue Team revisar seus controles e sensores, buscando ajustar os mecanismos de detecção. Mesmo que os ataques sejam detectados, é importante refletir sobre em que nível da pirâmide da dor os indicadores estão operando, e como eles podem ser aprimorados para alcançar níveis mais altos, mais difíceis de serem contornados pelos adversários. Esse ajuste fino é onde a organização colhe os maiores benefícios do exercício, fortalecendo sua postura defensiva.
Ao final do ciclo, todas as equipes participam de uma reunião de encerramento, onde são discutidas e registradas as lições aprendidas. Esse debriefing é fundamental para consolidar o conhecimento adquirido e identificar melhorias para futuras execuções. Registrar métricas como tempo gasto, dificuldades enfrentadas e feedbacks recebidos permite criar um histórico que servirá como referência para novos exercícios, promovendo uma evolução contínua da maturidade em segurança da organização.
Ferramentas
Ferramentas especializadas em emulação de adversários vêm ganhando espaço no mercado como suporte à prática de Purple Team. Embora ainda não substituam o olhar estratégico necessário para definir cenários aderentes à realidade de uma organização, elas ajudam significativamente a automatizar tarefas e a estruturar melhor o exercício.
Um exemplo notável é o MITRE Caldera, desenvolvido pela mesma organização responsável pelo framework ATT&CK. Inicialmente criado para automatizar atividades ofensivas do Red Team, o Caldera evoluiu e hoje também é capaz de apoiar processos de resposta a incidentes. Ele oferece um ambiente onde se pode simular TTPs reais com base nas táticas da matriz ATT&CK, acompanhando como o sistema-alvo responde a esses comportamentos.
A grande vantagem do Caldera está em sua capacidade de automatizar sequências de ataque, registrar os passos executados e cruzar essas informações com dados de telemetria defensiva. Isso não só acelera a execução de exercícios como também facilita a documentação e a análise posterior, pontos críticos para a melhoria contínua em segurança.
Apesar da sofisticação dessas ferramentas, é importante lembrar que elas não substituem a inteligência humana na definição de ameaças prioritárias, na contextualização do cenário e na adaptação dos exercícios à realidade organizacional. Elas devem ser vistas como aliadas, não como soluções autônomas.
Rodar um piloto com o Caldera pode ser um bom ponto de partida, especialmente para equipes que estão estruturando seus primeiros exercícios de Purple Team ou desejam aumentar a escala e a frequência dessas atividades sem depender exclusivamente de execuções manuais.