Storicamente i Red & Blue Team sono stati introdotti negli ambienti militari e venivano utilizzati per mettere alla prova le proprie strategie di difesa. In quel campo, i Red Team mettevano a disposizione le proprie capacità militari per prendere le sembianze delle forze nemiche e vagliare le alternative di pianificazione e attacco alle quali le forze amiche sarebbero state vulnerabili. Allo stesso tempo, i Blue Team venivano addestrati per l’individuazione di contromisure difensive in risposta agli attacchi scatenati dal Team opposto. Oggi questo approccio è utilizzato anche nel mondo della Cyber Security come strumento per avvicinarsi maggiormente alla mentalità degli hacker offensivi e testare la reattività del sistema difensivo.
Definizione e inquadramento dei Red & Blue Team
Le differenze tra Red & Blue Team si conservano anche nel mondo della Cyber Security. Queste due squadre sono essenziali per aiutare le organizzazioni o le aziende a riflettere sulle proprie infrastrutture digitali in modo nuovo e non più dal solo punto di vista difensivo, spesso limitato alla risoluzione dei rischi già conosciuti. Grazie all’esercizio Red & Blue Team, l’organizzazione ha l’opportunità di assumere il punto di vista nemico, il quale è in grado di individuare lacune e vulnerabilità nei PPT (People, Process and Technology) schierati in difesa delle infrastrutture e rivoluzionare ed evolvere le consuete strategie di attacco. Il Red Team, pertanto, è l’artefice di attacchi informatici simulati contro l’azienda committente. I tipi di attacco simulato variano a seconda dell’obiettivo e dei risultati dell’assesment preliminare. L’offensiva può essere indirizzata su più livelli e può coinvolgere le persone, le reti, le applicazioni, i sistemi e i controlli di sicurezza. A queste offensive rispondono i Blue Team, deputati alla rilevazione, allerta e risposta degli attacchi informatici.
Queste squadre si distinguono dai tradizionali Team di sicurezza delle aziende perché “addestrati” ad avere una mentalità costantemente orientata ai potenziali attacchi. I membri del Blue Team devono essere in grado pensare profondamente come il nemico cercando di orientare la propria empatia verso questi soggetti e imparando a immaginare e leggere le iniziative degli attaccanti anche quando queste sono ancora in fase preliminare.
I requisiti e le modalità di adozione dei Red & Blue Team
Il Red Teaming è una simulazione reale di attacco informatico che prevede l’identificazione e la messa in atto di una strategia in grado di bypassare la difesa dell’organizzazione. Seppur simulato, si tratta di un approccio reale che necessita dell’adozione di una serie di contromisure atte a bloccare e limitare l’offensiva. In questo frangente, il Blue Team ha il compito di intervenire direttamente nella risoluzione delle minacce con le contromosse opportune. Generalmente, l’accesso al sistema da parte della squadra rossa è dovuto al furto delle credenziali dell’utente, ottenute grazie all’adozione di tecniche di Social Engineering utili per manipolare e convincere gli individui a comunicare le informazioni di accesso.
In occasione dell’invasione del sistema informatico, il Red Team sfrutta le vulnerabilità dello stesso per allargare il suo controllo verso la rete e gli altri device dell’azienda con l’obiettivo di esfiltrare un numero sempre maggiore di dati e paralizzare la struttura. Le attività più comuni adoperate dalla squadra di attacco sono riassunte dal MITRE ATT&CK, un framework di tattiche e tecniche avversarie basate su osservazioni del mondo reale. Tra le tattiche di azione più diffuse si ricordano i penetration testing, le tattiche di ingegneria sociale, la clonazione delle carte di accesso e le intercettazioni delle comunicazioni interne. In risposta alle offensive messe in atto dal Red Team, la squadra blu deve essere in possesso di una esperta capacità di analisi per l’individuazione delle minacce e la classificazione delle attività di contro-offensiva, di tecniche di rafforzamento per ridurre la profondità del danno e piena consapevolezza delle strategie di sicurezza dell’organizzazione per una celere ed effettiva risposta.
La metrica chiave per la comprensione della gravità di un attacco è il “breakout time”, l’intervallo di tempo tra la compromissione del primo device e il momento in cui l’intruso è in grado di spostarsi lateralmente sugli altri sistemi della rete. In linea teorica, si ritiene che la risoluzione di un attacco informatico debba rispettare la “regola 1-10-60”, un procedimento che prevede l’individuazione di un’intrusione in meno di un minuto, la valutazione del livello di rischio entro 10 minuti e l’espulsione dell’avversario in meno di un’ora.
Il Purple Team, un must-have per il presente
Quando viene organizzata una esercitazione di Red Teaming è prassi comune che le aziende si affidino a risorse esterne per incarnare il ruolo degli hacker cattivi. La provenienza esterna di questa squadra determina spesso situazioni di mancata collaborazione e trasparenza circa le reali vulnerabilità dell’infrastruttura e delle tecniche di attacco. Per questo motivo è stata prevista la creazione di un team ibrido, il Purple Team, a metà tra la squadra rossa e la squadra blu, che ha il compito di osservare e agevolare il lavoro di entrambi i team e valutare i risultati attraverso la creazione di KPI comuni piuttosto che misurare l’esito di ogni singola fazione.
Conclusioni
I TTP (Tattiche, Tecniche e Procedure) degli avversari evolvono senza sosta e possono condurre ad attacchi le quali rilevazioni possono ritardare anche di mesi. A queste criticità si aggiunge l’incapacità delle organizzazioni di rilevare attacchi sofisticati a causa della carenza di controlli di sicurezza efficaci e di difese informatiche.
Intellisync offre la possibilità di valutare la sicurezza dei sistemi informatici grazie a sofisticati “vulnerabilities assesment” e di gestire e organizzare la Cybersecurity delle organizzazioni per impedire alle minacce informatiche di trasformarsi in attacchi in grado di destabilizzare, rubare e distruggere le risorse aziendali.
