Nell’arsenale delle difese della sicurezza informatica c’è un pratica che va sotto il nome di attacco simulato Red Team/Blue Team. Queste simulazioni sono progettate per imitare da vicino le condizioni del mondo reale. Ad esempio, un membro del Red Team potrebbe assumere il ruolo di un dipendente che fa clic su un collegamento di phishing facendo così entrare un malware nella rete aziendale. I membri del team in difesa devono quindi trovare questo malware prima che si diffonda nella rete e infetti i server Web e altre applicazioni. Per rendere le cose più realistiche, la simulazione riproduce il traffico di rete reale per oscurare gli attacchi, proprio come nel mondo reale.

I membri del Red Team di solito svolgono il ruolo di aggressori e cercano di superare i protocolli di sicurezza. Usano gli stessi strumenti e le stesse tecniche utilizzate dagli aggressori in modo simile al modo in cui i tester eseguono i test di penetrazione, ma su scala molto più ampia.

“I Red Team non si limitano a testare le vulnerabilità, ma lo fanno utilizzando gli strumenti, i suggerimenti e le tecniche dei veri aggressori e in campagne che vengono eseguite continuamente per un lungo periodo di tempo” ha scritto Daniel Miessler, un consulente per la sicurezza che ha assistito a numerose simulazioni Red Team/Blue Team. Secondo Cris Thomas, leader globale della strategia di IBM X-Force Red, “alcune aziende pensano ai Red Team solo in termini di un’irruzione nella sicurezza fisica”.

Il Blue Team è invece composto dai difensori, modellati sui team di sicurezza interna che ora si trovano in numerosi shop IT. “Ciò che rende un Blue Team è il loro stato mentale, ovvero avere una mentalità proattiva, una curiosità infinita e un miglioramento continuo in termini di rilevamento e risposta”, ha scritto Miessler.

La dicotomia Red/Blue è però limitata, in quanto, per condurre davvero una di queste simulazioni, dovrebbero essere coinvolti altri due team:

  • Un White Team è composto dai proprietari della rete, dagli amministratori IT che gestiscono le apparecchiature e creano gli script per l’esecuzione delle simulazioni.
  • Un Gold Team ha al suo interno consulenti che potrebbero coinvolgere rappresentanti di fornitori di sicurezza ed eseguire attività specializzate come l’analisi forense digitale.

red team

Una nota sui Purple Team

Parliamo anche del Purple Team, che ha diversi significati a seconda di come è assemblata la squadra. Il colore viola fa subito capire che si tratta di una combinazione di Red e Blue Team, in modo che entrambi possano collaborare e migliorare le proprie abilità. Questa combinazione potrebbe significare che ci sono rappresentanti di entrambe le parti che lavorano insieme all’esercizio.

Miessler ha visto organizzazioni in cui il Red Team si considera troppo elitario per condividere informazioni con il Blue Team; in altre aziende le due squadre non sono progettate per interagire l’una con l’altra, mentre in altre realtà l’IT non vede entrambi i team come parte dello stesso sforzo di sicurezza.

 

Walmart ha membri di Red e Blue Team a tempo pieno. “Lavoriamo periodicamente anche con professionisti esterni e stiamo iniziando a utilizzare un approccio in stile Purple Team per condividere le nostre esperienze. Le due squadre si incontrano più volte al mese e abbiamo assistito a una collaborazione estremamente efficace tra i due team perché entrambi riconoscono di poter apportare più valore all’organizzazione” afferma Jason O’Dell, vicepresidente delle operazioni di sicurezza presso Walmart.

Passaggi per progettare simulazioni di Red Team/Blue Team

Ecco alcuni elementi da considerare quando si progetta una simulazione di sicurezza:

  • Decidete cosa farai internamente. Avete bisogno di un fornitore specializzato in Red Team? Avete già uno staff di infosec a tempo pieno che può agire come un Blue Team? Parte di questa decisione è comprendere le competenze richieste per tutti i membri del team. “Un’abilità cruciale per entrambi i team è il desiderio di imparare ed essere continuamente curiosi”, afferma O’Dell di Walmart. “La capacità di agire in modo rapido ed efficace a qualsiasi vulnerabilità è un requisito assoluto di questi tempi. Non ho mai visto una società con un vero Red Team. Il più delle volte, infatti, questo è affidato a una società di consulenza. Farlo internamente è difficile, a causa della difficoltà nel trovare persone con i livelli di abilità necessari per svolgere il lavoro.
  • Scegliete i vostri strumenti di simulazione. Un altro modo per progettare una simulazione è decidere quanto realistica volete che sia. Il più delle volte, questi test non verranno eseguiti contro i sistemi di produzione; quindi cercate di capire cosa simulerete o se utilizzerete un cyber range, ovvero un ambiente virtuale che emula l’infrastruttura informatica di un’azienda a fini didattici.
  • Impostate degli obiettivi. Cosa state cercando di realizzare? Volete trovare punti deboli? Pensate di rafforzare le vostre difese? Puntate a migliorare la collaborazione tra IT e utenti finali o volete identificare i controlli di sicurezza funzionanti e non? L’obiettivo di queste simulazione è che più realistiche sono, più tutti possono essere preparati per il vero attacco. Gli obiettivi sono fondamentali. Ci sono infatti casi in cui i Red Team sono in grado di raggiungere con successo i loro obiettivi tecnici ma perdono una grande opportunità per avere un impatto più ampio. I Red e Purple Team scoprono spesso nuove informazioni ed è essenziale che coinvolgano anche i team dell’infrastruttura e dell’architettura che sviluppano piani strategici per migliorare la sicurezza. È facile concentrarsi su modifiche di configurazione specifiche, ma a volte ci sono modifiche all’architettura che potrebbero risolvere problemi molto più profondi.
  • Decidete come raccogliere i dati dalle simulazioni. Un altro aspetto molto importante è il livello di comunicazione tra i vostri team. Spesso infatti il linguaggio, la comunicazione e lo scarso lavoro di squadra rappresentano un ostacolo di grande rilevanza. Anche perché, nell’era dell’outsourcing, i team possono provenire da luoghi diversi, parlare lingue diverse e così via. Se le persone non riescono a capirsi, questo è un grosso problema durante e dopo la simulazione.