Quando si parla di “teams” (squadre) è normale pensare in termini di colori. Tifi per i bianco-celesti, i giallo-rossi, i bianco-neri ecc.? 

Nel gioco della sicurezza informatica, si tifa per la Squadra Rossa o Red Team o per la Squadra Blu, Blue Team. Questo post ti aiuterà a capire cosa significa “Red Team” e come questo servizio può aiutare le aziende e le industrie di tutte le dimensioni a identificare e affrontare le minacce informatiche. 

Ci sono una varietà di strategie che aziende grandi e piccole possono adottare per proteggere le loro reti e i loro dati da eventuali attacchi informatici. Una di queste prevede la verifica della solidità di sicurezza in un ambiente aziendale. Per semplificare, è il modo in cui si testa quanto bene un'organizzazione se la caverebbe di fronte a un attacco informatico vero e proprio. 

Ma poiché i punti deboli hanno forme diverse, è necessario disporre di un team di sicurezza focalizzato che pensi come un attaccante e agisca come tale. 

Cos'è un Red Team?

Il Red Team è responsabile dell'esecuzione di attacchi informatici simulati contro l’azienda committente e di stabilire l'efficacia dei programmi aziendali di sicurezza. È vero che il Red Team utilizza molti degli stessi strumenti e tecniche utilizzati nei Penetration Test o “Ethical Hacker”, ma l'obiettivo è diverso. Gli attacchi impiegati dal Red Team sono simulazioni a più livelli, progettate per misurare come le persone, le reti, le applicazioni e i controlli di sicurezza fisica di un'azienda riescono a rilevare, allertare e rispondere a un attacco informatico. 

Cos'è il Red Team testing?

Il Red Team Testing è anche conosciuto come Adversary Simulation o semplicemente Red Teaming. Durante i test del Red Team, esperti professionisti fanno finta di essere veri e propri cybercriminali e tentano di attaccare le difese informatiche dell'azienda. Questi attacchi sfruttano una gamma completa di strumenti che hanno a disposizione gli hacker più aggressivi, tra cui il social engineering, web exploitation, cross site scripting sino alla creazione e divulgazione di malware progettato ad hoc. 

Prima della valutazione, vengono stabilite le regole di ingaggio tra i membri del Red Team e un numero molto esiguo di partecipanti all'interno dell'azienda da testare. Questo numero varia, ma in genere non comporta più di 5 dipendenti in posizioni chiave nell’azienda. Naturalmente in queste esercitazioni la riservatezza è un “must” e il personale aziendale non deve esserne a conoscenza per evitare che possa adottare comportamenti più attenti solo durante il Red Teaming. In base alle regole di ingaggio, un Red Team si occupa di una o tutte le seguenti aree aziendali: 

• Difese tecnologiche – Servono per rivelare potenziali vulnerabilità e rischi all'interno di sistemi basati su hardware e software, come reti, applicazioni, router, interruttori e elettrodomestici. 

• Difese umane - Spesso l'anello più debole nelle difese informatiche di qualsiasi azienda. Il Red Team si rivolge al personale, agli appaltatori indipendenti, ai dipartimenti e ai partner commerciali per assicurarsi che siano tutti il più protetti possibile. 

Attraverso questo processo, i test del Red Team aiutano i responsabili di sicurezza a identificare eventuali scappatoie o punti deboli che potrebbero fornire l’opportunità di ottenere l'accesso ai sistemi di un'azienda, comportando conseguentemente una grave violazione dei dati. In più, queste pratiche mettono in evidenza le lacune nell’identificare e contrastare queste attività malevole ogni giorno.  

Chi ha bisogno della valutazione di un Red Team?

La dura realtà del panorama della sicurezza informatica di oggi, è che ogni dimensione del business potrebbe essere vittima di cyber-attacchi; di conseguenza esistono molte soluzioni, tra cui i penetration test, per analizzare l’efficacia della sicurezza aziendale. Tuttavia, le organizzazioni che hanno un programma di sicurezza maturo e sono associati ai processi di un Secure Operation Center (SOC) possono beneficiare di un Red Team testing. Ciò nonostante, a causa della complessità dei test coinvolti, il Red Teaming può essere un processo costoso. Il valore e l'importanza del Red Teaming per un'azienda possono anche dipendere dalla natura delle attività svolte e dal valore dei dati o delle proprietà.  

Red Teaming vs Penetration Testing

Il Penetration Testing (o Pen Testing, come viene spesso indicato) è simile a Red Teaming; tuttavia, gli obiettivi sono diversi. 

Lo specifico raggio d’azione varia considerevolmente, un Pen Test è un attacco informatico simulato su un obiettivo specifico e limitato come un’applicazione o un servizio, al contrario, il Red Teaming ha un approccio olistico, che coinvolge tutta la superficie di attacco dell’azienda committente. Questo permette alla committenza di comprendere meglio il vero livello di rischio a cui è esposta e in particolare di misurare l'efficacia e la copertura dei controlli preventivi, investigativi e di risposta.  Di conseguenza, il Red teaming è tipicamente intrapreso da aziende con approcci di cybersecurity più maturi. 

Vantaggi del Red Teaming

Il Red Teaming è un potente strumento che aiuta a valutare la capacità di un'azienda di rilevare, prevenire e rispondere a minacce sofisticate e mirate, nonché di identificare e quantificare le lacune di sicurezza già esistenti e migliorare i processi futuri. 

Inoltre, contribuisce a definire una base di sicurezza solida, ma che può essere regolarmente rivalutata e riallineata. Di fronte a un crescente panorama di minacce alla cybersecurity, il Red Teaming aiuta le aziende a identificare i rischi e la suscettibilità di attacco contro le risorse aziendali più importanti. 

La premessa del Red Team è paragonabile al vecchio detto sportivo: “L'attacco migliore, è una buona difesa.”  

Se sei una piccola o media impresa, potresti anche pensare che il Red Team non faccia per te: "La mia azienda è troppo piccola per essere vittima di attacchi informatici!".  

In realtà, questo è esattamente il modo di pensare che mette a rischio un'azienda. Se tu fossi un hacker, non attaccheresti la vittima che meno se lo aspetta? 

Le aziende di tutte le dimensioni -così come i dipendenti- sono vittime di attacchi informatici costantemente, tutti i giorni! 

“Ma la mia azienda non ha a che fare con dati o informazioni sensibili, perché un hacker dovrebbe attaccarmi?” Sbagliato! Ad esempio, gli hacker potrebbero cercare di accedere alla tua rete per potersi nascondere meglio mentre attaccano un altro sistema o una rete dall’altra parte nel mondo. I dati potrebbero non essere il loro interesse. Sono i computer che vogliono, per poterli infettare con software dannosi in modo da aggiungerli ad una botnet, per esempio. 

Il numero complessivo di attacchi Ddos da botnet sta crescendo e aumentando di complessità sempre di più. L'operazione di un Red Team studia l’azienda e quali minacce vengono più utilizzate nello stesso settore e successivamente crea attacchi specifici e mirati da eseguire. 

Il Red Teaming non serve solo a trovare le falle di sicurezza delle aziende. Per continuare l'analogia sportiva, un buon utilizzo del “Red Team” fornirà anche strategie per migliorare la difesa in futuro. 

Tweet