L’adozione delle metodologie proprie dell’Hacking Etico e del Penetration Testing è divenuta estremamente necessaria in azienda poiché il trattamento dei dati rappresenta sempre di più un punto delicato da gestire, sia dal punto di vista della fiducia del cliente che dell’immagine aziendale, nonché da quello delle sanzioni economiche nel caso di avvenuto data breach.
Per questo motivo stiamo assistendo negli ultimi anni a delle “piccole rivoluzioni industriali” in innumerevoli aziende: nascita di reparti deputati al controllo della sicurezza e alla cybersecurity, nascita di Security Operation Centers (SOC), creazione di Red Team, Blue Team e Purple Team ed infine la definizione di processi aziendali volti alla valutazione e messa in sicurezza dei sistemi informatici.
La differenza interessante da approfondire è quella che sussiste tra un’attività di Penetration Testing e quella di un Red Team: mentre la prima è una valutazione tecnica generale di sicurezza avente vincoli temporali, la seconda è una sorta di sfida progettata per raggiungere un obiettivo specifico tramite l’utilizzo di tecniche di attacco non tipicamente impiegate durante un Penetration Testing, ovvero l’utilizzo di attacchi fisici, Social Engineering e Phishing; il Red team simula quindi gli avversari del mondo reale con l’obiettivo di verificare e migliorare la qualità della risposta da parte delle difese di sicurezza delle informazioni aziendali.
Ethical Hacking e il Penetration Testing
L’Ethical Hacking include tutte le metodologie di hacking aventi l’obiettivo di identificare le vulnerabilità che i criminali informatici potrebbero sfruttare per eseguire un attacco.
Viene definito etico in quanto eseguito solo dopo aver ricevuto le autorizzazioni necessarie per poter procedere con le verifiche. Inoltre, il professionista che esegue l’intrusione lavora su basi etiche, differenziandosi in questo modo dagli hacker black-hat che agiscono spesso in modo spregiudicato e non concordato.
A loro volta i Penetration Test, una delle attività di un hacker etico, mirano ad individuare le vulnerabilità di un sistema e vengono effettuati per migliorare la sicurezza dell’applicazione o rete specifica presa in esame.
Red Team
L’attività di un Red Team ha lo scopo di verificare, ed eventualmente migliorare, la qualità in tempo reale delle difese di sicurezza delle informazioni aziendali. Esse sono tipicamente di competenza del cosiddetto Blue Team dell’azienda.
I servizi che un Red Team dovrebbe offrire sono i seguenti:
- Indipendenza organizzativa;
- Funzionamento continuo;
- Simulazione degli avversari;
- Verifica e misurazione dell’efficacia dell’attacco.
Un Red Team viene tipicamente impiegato quando l’azienda ha raggiunto una sufficiente maturazione a livello di sicurezza, tramite precedenti attività di sicurezza quali i Penetration Test, e possiede quindi una sufficiente capacità di rilevazione e risposta nei confronti di comportamenti dannosi o sospetti sui propri sistemi.
I Red Team servono quindi per verificare il livello di sicurezza di uno o più sistemi nel modo più realistico possibile, e non per enumerare in modo esaustivo, per quanto limitato dal tempo a disposizione, le vulnerabilità presenti, come nel caso di un Penetration Test.
Per questo motivo, se non hai un Blue Team, probabilmente non hai bisogno in questo momento nemmeno dei servizi di un Red Team.
In particolare:
- Il Red Team è tipicamente esterno all’azienda e testa l’efficacia di un programma di sicurezza simulando gli strumenti e le tecniche dei probabili cybercriminali nel modo più realistico possibile. La pratica è simile, ma non identica, ai Penetration Test e prevede il raggiungimento di uno o più obiettivi.
- Il Blue Team si riferisce invece alla squadra di sicurezza interna che si difende sia dai veri criminali informatici che dal Red Team. Il Blue Team dovrebbe essere distinto dai team standard preposti alla sicurezza delle organizzazioni, poiché la maggior parte dei team di sicurezza non si occupa di vigilare costantemente la presenza di attacchi, attività che invece ben rappresenta la missione e la prospettiva di un vero Blue Team.
Somiglianze tra Penetration Testing e Red Team
- Sono entrambi tipi di valutazione della sicurezza, quindi il loro obiettivo è ugualmente quello di verificare e migliorare la sicurezza di un’organizzazione;
- Il loro comportamento è simile, in una certa misura, a quello potenzialmente messo in atto da un cybercriminale;
- A volte possono condividere TTP (Tattiche, Tecniche e Procedure), ma hanno scopi differenti.
Principali Distinzioni tra Penetration Testing e Red Team
- Durata: le attività di un Red Team possono tipicamente durare anche settimane, mesi o addirittura anni. Il Blue Team dovrebbe quindi essere sempre in uno stato di allerta nel caso in cui noti un comportamento anomalo poichè potrebbe essere sia un’azione di un eventuale Red Team che quella di un reale cybercriminale. Il Penetration Testing è invece un’attività breve e puntuale, della durata tipicamente di circa 2 settimane;
- Multidominio: mentre i Penetration Test sono generalmente indirizzati verso un target preciso e circoscritto, quasi sempre un Red Team svolge invece un’attività che coinvolge più sistemi in modo da raggiungere l’obiettivo;
- Simulazione avversaria: un altro elemento che distingue un Penetration Test da un’attività di Red Team è che i primi generalmente si concentrano sul trovare quante più vulnerabilità possibili su uno specifico target, mentre un Red Team simula un attacco reale che tipicamente coinvolge il raggiungimento di un obiettivo rilevante per l’azienda.
Conclusioni
Il mondo della cybersecurity è divenuto quindi sempre più complesso poiché sono sorte nuove figure professionali con competenze differenti e, di conseguenza, nuovi dipartimenti, nuove attività da svolgere con scopi diversi, oltre alla necessità di conoscere i tool più aggiornati.
Senza contare che, poichè la tecnologia è in costante e rapida evoluzione, è necessario tenersi costantemente aggiornati, specialmente per stare al passo con i criminali informatici e i nuovi attacchi che vengono da loro individuati.
Ecco quindi che gli impegni del Red Team dovrebbero essere volti alla creazione costante di nuovi strumenti e tecniche per emulare i cybercriminali reali e, di pari passo, i gruppi di Pentest dovrebbero continuare ad approfondire le tecniche di Penetration Testing più aggiornate.