Red teaming 101: Che cos'è il red teaming?
Tag
Security
19 luglio 2023

5 minuti di lettura
Autore
Evan Anderson Chief Offensive Strategist, Randori, an IBM Company

Questo post sul blog fa parte della serie "All You Need to Know About Red Teaming" del team IBM Security Randori. La piattaforma Randori combina la gestione della superficie di attacco (ASM) e il red teaming automatizzato continuo (CART) per migliorare il livello di sicurezza.

"Nessun piano sopravvive al contatto con il nemico", scrisse il teorico militare, Helmuth von Moltke, che credeva nello sviluppo di diverse opzioni di battaglia anziché di un singolo piano. Oggi, i team di cybersecurity continuano a imparare questa lezione nel modo peggiore. Secondo uno studio IBM Security X-Force, il tempo di esecuzione degli attacchi ransomware è sceso del 94% negli ultimi anni, e gli attacchi si muovono più rapidamente. Ciò che prima veniva realizzato in mesi, ora richiede solo pochi giorni.

Per evitare di essere vulnerabile e migliorare la resilienza, le organizzazioni devono testare la sicurezza prima che lo facciano i veri autori delle minacce. Le operazioni di red team sono senza dubbio uno dei modi migliori per testarla.

 Che cos'è il red teaming?

Il red teaming può essere definito come il processo di verifica dell'efficacia della cybersecurity attraverso l'eliminazione dei bias dei difensori approcciandosi alla propria organizzazione attraverso la lente degli aggressori.

Il red teaming si verifica quando gli hacker etici vengono autorizzati dalla tua organizzazione a emulare tattiche, tecniche e procedure (TTP) dei veri aggressori contro i tuoi stessi sistemi.

Si tratta di un servizio di valutazione dei rischi per la sicurezza che l'organizzazione può utilizzare per identificare e correggere in modo proattivo le lacune e i punti deboli della sicurezza IT.

Un red team utilizza la metodologia di simulazione degli attacchi. Simula le azioni di aggressori sofisticati (o minacce persistenti avanzate) per determinare in quale misura le persone, i processi e le tecnologie della tua organizzazione potrebbero resistere a un attacco che mira a raggiungere un obiettivo specifico.

Le valutazioni relative alle vulnerabilità e i test di penetrazione sono altri due servizi di test di sicurezza progettati per esaminare tutte le vulnerabilità note all'interno della rete e testare i modi per sfruttarle. In breve, le valutazioni relative alle vulnerabilità e i test di penetrazione sono utili per individuare i difetti tecnici, mentre gli esercizi condotti dal red team forniscono insight utili sullo stato generale del livello di sicurezza IT.

 L'importanza del red teaming

Conducendo esercizi di red teaming, la tua organizzazione può capire con quale efficacia le tue difese resisterebbero a un attacco informatico nel mondo reale.

Come spiega Eric McIntyre, VP of Product and Hacker Operations Center di IBM Security Randori: "Quando si verifica un'attività di red team, puoi vedere il ciclo di feedback della profondità con cui un utente malintenzionato riuscirà a penetrare nella tua rete prima che le tue difese inizino ad attivarsi, dove gli aggressori trovano falle nelle tue difese e dove migliorare quelle già predisposte".

 Vantaggi del red teaming

Un modo efficace per capire cosa funziona e cosa no, quando si tratta di controlli, soluzioni e persino di personale, è metterli a confronto con un aggressore particolarmente accanito.

Il red teaming offre un modo efficace per valutare le prestazioni complessive della cybersecurity della tua organizzazione. Fornisce a te e agli altri leader della sicurezza una valutazione realistica di quanto è sicura la tua organizzazione. Il red teaming può aiutare la tua azienda a:

  • Identificare e valuta le vulnerabilità
  • Valutare gli investimenti nella sicurezza
  • Testare le funzionalità di rilevamento e risposta alle minacce
  • Incoraggiare una cultura del miglioramento costante
  • Prepararti ai rischi di sicurezza sconosciuti
  • Restare un passo avanti rispetto agli aggressori
Rafforzare le tue difese

Ottieni informazioni comprensibili e ad alto impatto dagli esperti di sicurezza IBM, che offrono strategie intelligenti e competenze inestimabili per combattere le minacce informatiche moderne direttamente nella tua casella di posta.

Maggiori informazioni su IBM Security Randori Attack Targeted
Test di penetrazione e red teaming a confronto

Il red teaming e il penetration testing (spesso chiamato pen testing) sono termini spesso usati in modo intercambiabile, ma si riferiscono a due concetti completamente diversi. 

L'obiettivo principale dei test di penetrazione è identificare le vulnerabilità sfruttabili e ottenere l'accesso a un sistema. D'altra parte, in un esercizio di red team, l'obiettivo è accedere a sistemi o dati specifici emulando un avversario del mondo reale e utilizzando le sue tattiche e tecniche lungo tutta la catena di attacco, tra cui l'escalation dei privilegi e l'esfiltrazione.

La tabella seguente evidenzia altre differenze funzionali tra il pen testing e il red teaming:

Test di penetrazione

Red teaming

Obiettivo

Identificare le vulnerabilità sfruttabili e ottienere l'accesso a un sistema.

Accedere a sistemi o dati specifici emulando un avversario del mondo reale.

Intervallo di tempo

Breve: da un giorno a poche settimane.

Più lungo: da diverse settimane a più di un mese.

Set di strumenti

Strumenti di pen testing disponibili in commercio.

Ampia varietà di strumenti, tattiche e tecniche, inclusi strumenti personalizzati ed exploit precedentemente sconosciuti.

Consapevolezza

I difensori sanno che è in corso un pen test.

Le difese non sanno che è in corso un'esercitazione di red team.

Vulnerabilità

Vulnerabilità note.

Vulnerabilità note e sconosciute.

Definisci l'ambito

Le destinazioni di test sono strette e predefinite, ad esempio per capire se una configurazione di firewall è efficace o meno.

Gli obiettivi dei test possono riguardare più domini, ad esempio l'esfiltrazione di dati sensibili.

Test

Il sistema di sicurezza viene testato in modo indipendente in un pen test.

Sistemi presi di mira contemporaneamente in un'esercitazione di red team.

Attività post-violazione

I pen tester non intraprendono attività di post-violazione.

I membri del red team si impegnano in attività post-violazione.

Obiettivo

Compromettere l'ambiente di un'organizzazione.

Comportati come un vero aggressore ed esfiltra i dati per lanciare ulteriori attacchi.

Risultati

Identificare le vulnerabilità sfruttabili e fornire raccomandazioni tecniche.

Valutare il livello generale di cybersecurity e fornire consigli per il miglioramento.
Differenza tra red team, blu team e purple team

I red team sono professionisti della protezione dalle aggressioni che testano la sicurezza di un'organizzazione imitando gli strumenti e le tecniche utilizzate dagli aggressori del mondo reale. Il red team tenta di aggirare le difese del blue team evitando il rilevamento.

I blue team sono i team interni di sicurezza IT che difendono un'organizzazione dagli aggressori, inclusi i red team, e lavorano costantemente per migliorare la cybersecurity dell'organizzazione. Le attività quotidiane comprendono il monitoraggio dei sistemi per rilevare i segnali di intrusione, l'analisi degli allarmi e la risposta agli incidenti.

In realtà, i purple team non sono team, ma piuttosto una mentalità cooperativa che esiste tra i membri del red team e quelli del blu team. Sebbene i membri del red team e quelli del blu team lavorino per migliorare la sicurezza della propria organizzazione, non sempre condividono tra loro i propri insight. Il ruolo del purple team è quello di incoraggiare una comunicazione e una collaborazione efficienti tra i due team per consentire il miglioramento costante di entrambi i team e della cybersecurity dell'organizzazione.

 Strumenti e tecniche negli impegni di red teaming

I red team proveranno a utilizzare gli stessi strumenti e le stesse tecniche impiegate dagli aggressori del mondo reale. Tuttavia, a differenza dei criminali informatici, i red team non causano danni reali ma espongono le crepe nelle misure di sicurezza di un'organizzazione.

Alcuni strumenti e tecniche comuni di red teaming includono:

  • Ingegneria sociale: utilizza tattiche come il phishing, lo smishing e il vishing per ottenere informazioni sensibili o accedere ai sistemi aziendali da dipendenti ignari.
  • Test di sicurezza fisica: verifica i controlli di sicurezza fisica di un'organizzazione, compresi i sistemi di sorveglianza e gli allarmi.
  • Test di penetrazione delle applicazioni: verifica le applicazioni web per individuare i problemi di sicurezza derivanti da errori di codifica, come le vulnerabilità di SQL injection.
  • Sniffing di rete: monitora il traffico di rete alla ricerca di informazioni su un ambiente, come dettagli di configurazione e credenziali utente.
  • Contaminazione dei contenuti condivisi: aggiunge contenuti a un'unità di rete o a un'altra posizione di archiviazione condivisa che contengono programmi malware o codice di exploit. Quando viene aperta da un utente ignaro, la parte dannosa del contenuto viene eseguita, consentendo potenzialmente all'aggressore di muoversi lateralmente.
  • Credenziali di brute force: indovina sistematicamente le password, ad esempio, provando le credenziali dai dump delle violazioni o dagli elenchi di password di uso comune.
 Il red teaming automatizzato continuo (CART) è un punto di svolta

Il red teaming è un fattore chiave per la resilienza, ma può anche rappresentare una vera e propria sfida per i team di sicurezza. Due delle maggiori sfide sono il costo e la durata del tempo necessario per condurre un'esercitazione di red team. Ciò significa che, in un'organizzazione tipica, gli impegni del team interno tendono ad avvenire (nella migliore delle ipotesi) periodicamente, il che fornisce degli insight sulla cybersecurity dell'organizzazione solo in un determinato momento. Il problema è che il tuo livello di sicurezza potrebbe essere forte al momento del test, ma potrebbe non rimanere tale nel tempo.

L'esecuzione di test continui e automatizzati in tempo reale è l'unico modo per comprendere veramente la tua organizzazione dal punto di vista di un aggressore.

 In che modo IBM Security Randori sta rendendo più accessibile il red teaming automatizzato

IBM Security Randori offre una soluzione CART chiamata Randori Attack Targeted. Con questo software, le organizzazioni possono valutare continuamente il proprio livello di sicurezza come farebbe un red team interno. Ciò consente alle aziende di testare le proprie difese in modo accurato, proattivo e, soprattutto, su base continuativa per creare resilienza e capire cosa funziona e cosa no.

IBM Security Randori Attack Targeted è progettato per lavorare con o senza un red team interno. Supportato da alcuni dei maggiori esperti mondiali di sicurezza offensiva, Randori Attack Targeted offre ai leader della sicurezza un modo per ottenere visibilità sulle prestazioni delle loro difese, consentendo anche alle organizzazioni di medie dimensioni di garantire la sicurezza a livello aziendale.

Continua a seguirci e leggi il mio prossimo post per sapere come il red teaming può aiutarti a migliorare il livello di sicurezza della tua azienda.
Inizia a utilizzare IBM Security Randori Ottieni una prova gratuita di 7 giorni Richiedi una demo live per esaminare la tua superficie di attacco Maggiori informazioni su IBM Security Randori Attack Targeted Iscriviti al nostro webinar "Superare la scansione delle vulnerabilità per rafforzare la tua superficie di attacco"
Newsletter IBM

Ricevi le nostre newsletter e gli aggiornamenti sugli argomenti che offrono le thought leadership e gli insight più recenti sulle tendenze emergenti.

 Iscriviti ora Altre newsletter