
1. Objetivos
1.1. Avaliar a eficiência dos controles de segurança e identificar oportunidades de melhorias nos controles e nos processos de resposta a incidentes
1.2. Identificar redundâncias e sobreposições de falhas nas soluções de segurança
1.3. Identificar vulnerabilidades nos endpoints corporativos
1.4. Promover e elevar a sinergia entre os times de segurança cibernética
1.5. Compartilhar insights e estratégias de ataque e defesa
1.6. Contribuir para o adestramento das forças operacionais de segurança cibernética
1.7. Desenvolver a resiliência e a descoberta de novas TTP voltadas para o ambiente corporativo
1.8. Motivar o uso e o desenvolvimento de artefatos seguros voltados para a exploração
2. Planejamento
2.1. Escopo
2.1.1. Endpoints
2.1.1.1. AV
2.1.1.2. DLP
2.1.1.3. E-mail
2.1.1.4. Proxy
2.1.2. Cyber Kill Chain
2.1.2.1. 1. Reconhecimento 2. Armamento 3. Entrega 4. Exploração
2.1.2.2. 5. Instalação 6. Comando e Controle 7. Ações nos objetivos
2.1.2.2.1. Mitre ATT&CK
2.2. Equipes
2.2.1. Coordenação
2.2.1.1. 4 pessoas
2.2.2. Red Team
2.2.2.1. 6 pessoas
2.2.3. Blue Team
2.2.3.1. 6 pessoas
2.3. Recursos
2.3.1. Equipamentos
2.3.1.1. Red Team
2.3.1.1.1. Windows
2.3.1.1.2. Linux
2.3.1.1.3. MacOS
2.3.2. Espaço físico
2.3.2.1. Sala
2.3.2.1.1. 20 pessoas
2.3.3. Tempo
2.3.3.1. 3 horas
2.3.3.1.1. 0h15m: apresentação
2.3.3.1.2. 2h30m: exercício
2.3.3.1.3. 0h15m: encerramento
3. Execução
3.1. Red Team
3.1.1. Empregar TTP mapeadas por Threat Intel dentro do escopo estabelecido
3.1.2. Empregar novas TTP voltadas para o ambiente dentro do escopo estabelecido
3.1.3. Compartilhar as ações e os resultados obtidos durante o exercício
3.2. Blue Team
3.2.1. Detectar os dos ataques em tempo de execução através das soluções de segurança
3.2.2. Mapear as TTP e IoC&A empregados pelo Red Team em tempo de execução
3.2.3. Realizar ações manuais de contenção e a criação de automações para responder aos ataques
3.2.4. Avaliar a eficiência das soluções de segurança durante o exercício (alertas, ações, logs detalhados, delay etc)
3.2.5. Compartilhar as ações e os resultados obtidos durante o exercício
3.3. Feedback
3.3.1. Compartilhar os resultados parciais durante o exercício conforme planejamento
3.3.2. Ajustar estratégias
3.4. Debriefing
3.4.1. Apresentação dos resultados conforme planejamento