Sicurezza informatica : approfondiamo il significato di Red Team & Blue Team

Abbiamo già introdotto cos’è la sicurezza informatica, adesso approfondiamo un po’ di più, provando a conoscere più da vicino come vengono affrontati attacchi e difesa, presentano i concetti di Red Team e Blue Team.

Intro

I Red e Blue Team sono squadre di esperti in sicurezza informatica in grado di analizzare diversi aspetti della cybersecurity tramite molteplici tecniche.

Tra queste vi sono gli attacchi simulati, utili a misurare le capacità delle organizzazioni oggetto di test,  di identificare problemi relativi alla sicurezza, e porre i giusti rimedi.

L’utilizzo del war-gaming.

La guerrificazione di alcune attività, non è un procediamento nuovo. Oltre ad essere usato dagli eserciti di mezzo mondo, il war-gaming è utilizzato anche da agenzie governative ed aziende private.

La squadra rossa generalmente ha il compito di attaccare, mentre la squadra blu deve preparare le difese ed essere pronta a rimettere in sesto l’organizzazione, anche a seguito di attacchi portati a termine con successo, ovvero identificare, valutare e rispondere.

Le attività dei red team e dei blue team giocano un ruolo importantissimo nella difesa delle organizzazioni contro una vasta gamma di cyberattacchi, sia fisici, come l’intrusione fisica negli asset, sia informatici.

Le attività si concentrano su:

  • Identificare i punti di vulnerabilità in relazione a persone, tecnologie e sistemi
  • Determinare le aree di miglioramento nei processi difensivi e di risposta agli incidenti in ogni fase della cosiddetta kill chain [https://en.wikipedia.org/wiki/Kill_chain], la catena di eventi che portano all’attacco
  • Costruire un’esperienza di prima mano, diretta, su come rilevare e contenere gli attacchi, specie quelli mirati all’organizzazione in oggetto
  • Sviluppare attività di response and remediation, risposta e rimedio, per riportare l’ambiente di lavoro ad uno stato operativo normale nel più breve tempo possibile

Cos’è il Red Team

Il Red Team si occupa di tutto ciò che riguarda gli attacchi, non solo analizzando e identificando le potenziali debolezze delle difese messe in atto, ma anche agendo come potenziale avversario alla ricerca di un modo per entrare, eseguendo veri e proprio attacchi autorizzati. I team di questo tipo sono tipicamente composti dai migliori professionisti di sicurezza informatica, esperti ed hacker etici.

Tra gli impieghi troviamo il penetration testing. Il penetration testing è un’attività molto particolare che consiste nel cercare di avere accesso a obiettivi predeterminati. Si passa da attività più basilari e puramente informatiche come carpire informazioni tramite spear phishing per arrivare a vere e proprie intrusioni fisiche negli stabilimenti di un’azienda, con tanto di travestimenti, sorveglianza e l’uso delle pratiche più sofisticate di ingegneria sociale [https://it.wikipedia.org/wiki/Ingegneria_sociale].

Cos’è il red teaming e perché se ne ha bisogno?

Il red teaming è l’atto di identificare sistematicamente e rigorosamente (ma eticamente) un percorso di attacco che viola la difesa di sicurezza dell’organizzazione attraverso tecniche di attacco del mondo reale. Adottando questo approccio, le difese dell’organizzazione non si basano soltanto sulle capacità teoriche degli strumenti e dei sistemi di sicurezza, ma sulle loro prestazioni attuali in presenza di minacce reali. Il red teaming è una componente fondamentale per valutare accuratamente le capacità e la maturità di prevenzione, rilevamento e rimedio dell’azienda.

Quali sono le principali skill necessarie in un Red Team?
  • Una profonda conoscenza dei sistemi e dei protocolli informatici, così come delle tecniche e degli strumenti di sicurezza informatica
  • Forti capacità di sviluppo del software al fine di sviluppare strumenti personalizzati per aggirare i meccanismi e le misure di sicurezza comuni
  • Esperienza nei penetration testing, che aiuterebbe a sfruttare le vulnerabilità comuni e ad evitare attività che sono spesso monitorate o facilmente rilevate
  • Capacità di ingegneria sociale che permettono di manipolare gli altri per condividere informazioni o credenziali

Cos’è il Blue Team

Se la squadra rossa gioca in attacco, la squadra blu è in difesa. In genere, questo gruppo è composto da esperti di risposta agli incidenti che forniscono indicazioni al team di sicurezza IT su dove apportare miglioramenti per fermare sofisticati tipi di attacchi informatici e minacce. Il team di sicurezza IT è poi responsabile del mantenimento della rete interna contro vari tipi di rischio.

Mentre molte organizzazioni considerano la prevenzione il gold standard della sicurezza, il rilevamento e il rimedio sono altrettanto importanti per le capacità generali di difesa. Una metrica chiave è il “breakout time” dell’organizzazione, la finestra critica tra quando un intruso compromette la prima macchina e quando può muoversi lateralmente verso altri sistemi della rete.

In genere si considera la regola “1-10-60″.

Significa che le organizzazioni dovrebbero essere in grado di rilevare un’intrusione in meno di un minuto, valutare il livello di rischio entro 10 minuti ed espellere l’avversario in meno di un’ora.

Quali sono le principali skill necessarie in un Blue Team?
  • Una comprensione completa della strategia di sicurezza dell’organizzazione attraverso persone, strumenti e tecnologie
  • Capacità di analisi per identificare accuratamente le minacce più pericolose e dare priorità alle risposte di conseguenza
  • Tecniche di hardening per ridurre la superficie di attacco. In particolare per quanto riguarda il Domain Name System (DNS) per prevenire attacchi di phishing e altre tecniche di violazione basate sul web
  • Conoscenza approfondita degli strumenti e dei sistemi di rilevamento della sicurezza esistenti nell’azienda e dei loro meccanismi di allerta
I benefici dell’avere un Red Team e un Blue Team

L’implementazione di una strategia red team/blue team permette alle organizzazioni di testare attivamente le loro difese e capacità informatiche esistenti in un ambiente a basso rischio.

Coinvolgendo questi due gruppi, è possibile evolvere continuamente la strategia di sicurezza dell’organizzazione sulla base delle debolezze e delle vulnerabilità uniche dell’azienda, così come le ultime tecniche di attacco del mondo reale.

Attraverso esercizi di red team/blue team è possibile per l’organizzazione:

  • Identificare malconfigurazioni e lacune di copertura nei prodotti di sicurezza esistenti
  • Rafforzare la sicurezza della rete per rilevare gli attacchi mirati e migliorare il tempo di evasione
  • Suscitare una sana competizione tra il personale di sicurezza e favorire la cooperazione tra i team IT e di cybersecurity
  • Aumentare la consapevolezza del personale sul rischio di vulnerabilità umane che possono compromettere la sicurezza dell’organizzazione
  • Costruire le competenze e la maturità in ambito di sicurezza dell’organizzazione in un ambiente di formazione sicuro

Potrebbe interessarti anche :

Rubare le credenziali, ecco come fanno gli hacker

 

 

Lascia un commento

Your email address will not be published. Required fields are marked with *.