5 minuti di lettura
Questo post sul blog fa parte della serie "All You Need to Know About Red Teaming" del team IBM Security Randori. La piattaforma Randori combina la gestione della superficie di attacco (ASM) e il red teaming automatizzato continuo (CART) per migliorare il livello di sicurezza.
"Nessun piano sopravvive al contatto con il nemico", scrisse il teorico militare, Helmuth von Moltke, che credeva nello sviluppo di diverse opzioni di battaglia anziché di un singolo piano. Oggi, i team di cybersecurity continuano a imparare questa lezione nel modo peggiore. Secondo uno studio IBM Security X-Force, il tempo di esecuzione degli attacchi ransomware è sceso del 94% negli ultimi anni, e gli attacchi si muovono più rapidamente. Ciò che prima veniva realizzato in mesi, ora richiede solo pochi giorni.
Per evitare di essere vulnerabile e migliorare la resilienza, le organizzazioni devono testare la sicurezza prima che lo facciano i veri autori delle minacce. Le operazioni di red team sono senza dubbio uno dei modi migliori per testarla.
Il red teaming può essere definito come il processo di verifica dell'efficacia della cybersecurity attraverso l'eliminazione dei bias dei difensori approcciandosi alla propria organizzazione attraverso la lente degli aggressori.
Il red teaming si verifica quando gli hacker etici vengono autorizzati dalla tua organizzazione a emulare tattiche, tecniche e procedure (TTP) dei veri aggressori contro i tuoi stessi sistemi.
Si tratta di un servizio di valutazione dei rischi per la sicurezza che l'organizzazione può utilizzare per identificare e correggere in modo proattivo le lacune e i punti deboli della sicurezza IT.
Un red team utilizza la metodologia di simulazione degli attacchi. Simula le azioni di aggressori sofisticati (o minacce persistenti avanzate) per determinare in quale misura le persone, i processi e le tecnologie della tua organizzazione potrebbero resistere a un attacco che mira a raggiungere un obiettivo specifico.
Le valutazioni relative alle vulnerabilità e i test di penetrazione sono altri due servizi di test di sicurezza progettati per esaminare tutte le vulnerabilità note all'interno della rete e testare i modi per sfruttarle. In breve, le valutazioni relative alle vulnerabilità e i test di penetrazione sono utili per individuare i difetti tecnici, mentre gli esercizi condotti dal red team forniscono insight utili sullo stato generale del livello di sicurezza IT.
Conducendo esercizi di red teaming, la tua organizzazione può capire con quale efficacia le tue difese resisterebbero a un attacco informatico nel mondo reale.
Come spiega Eric McIntyre, VP of Product and Hacker Operations Center di IBM Security Randori: "Quando si verifica un'attività di red team, puoi vedere il ciclo di feedback della profondità con cui un utente malintenzionato riuscirà a penetrare nella tua rete prima che le tue difese inizino ad attivarsi, dove gli aggressori trovano falle nelle tue difese e dove migliorare quelle già predisposte".
Un modo efficace per capire cosa funziona e cosa no, quando si tratta di controlli, soluzioni e persino di personale, è metterli a confronto con un aggressore particolarmente accanito.
Il red teaming offre un modo efficace per valutare le prestazioni complessive della cybersecurity della tua organizzazione. Fornisce a te e agli altri leader della sicurezza una valutazione realistica di quanto è sicura la tua organizzazione. Il red teaming può aiutare la tua azienda a:
Ottieni informazioni comprensibili e ad alto impatto dagli esperti di sicurezza IBM, che offrono strategie intelligenti e competenze inestimabili per combattere le minacce informatiche moderne direttamente nella tua casella di posta.
Maggiori informazioni su IBM Security Randori Attack Targeted
Il red teaming e il penetration testing (spesso chiamato pen testing) sono termini spesso usati in modo intercambiabile, ma si riferiscono a due concetti completamente diversi.
L'obiettivo principale dei test di penetrazione è identificare le vulnerabilità sfruttabili e ottenere l'accesso a un sistema. D'altra parte, in un esercizio di red team, l'obiettivo è accedere a sistemi o dati specifici emulando un avversario del mondo reale e utilizzando le sue tattiche e tecniche lungo tutta la catena di attacco, tra cui l'escalation dei privilegi e l'esfiltrazione.
La tabella seguente evidenzia altre differenze funzionali tra il pen testing e il red teaming:
Test di penetrazione
Red teaming
Obiettivo
Identificare le vulnerabilità sfruttabili e ottienere l'accesso a un sistema.
Accedere a sistemi o dati specifici emulando un avversario del mondo reale.
Intervallo di tempo
Breve: da un giorno a poche settimane.
Più lungo: da diverse settimane a più di un mese.
Set di strumenti
Strumenti di pen testing disponibili in commercio.
Ampia varietà di strumenti, tattiche e tecniche, inclusi strumenti personalizzati ed exploit precedentemente sconosciuti.
Consapevolezza
I difensori sanno che è in corso un pen test.
Le difese non sanno che è in corso un'esercitazione di red team.
Vulnerabilità
Vulnerabilità note.
Vulnerabilità note e sconosciute.
Definisci l'ambito
Le destinazioni di test sono strette e predefinite, ad esempio per capire se una configurazione di firewall è efficace o meno.
Gli obiettivi dei test possono riguardare più domini, ad esempio l'esfiltrazione di dati sensibili.
Test
Il sistema di sicurezza viene testato in modo indipendente in un pen test.
Sistemi presi di mira contemporaneamente in un'esercitazione di red team.
Attività post-violazione
I pen tester non intraprendono attività di post-violazione.
I membri del red team si impegnano in attività post-violazione.
Obiettivo
Compromettere l'ambiente di un'organizzazione.
Comportati come un vero aggressore ed esfiltra i dati per lanciare ulteriori attacchi.
Risultati
Identificare le vulnerabilità sfruttabili e fornire raccomandazioni tecniche.
Valutare il livello generale di cybersecurity e fornire consigli per il miglioramento.
I red team sono professionisti della protezione dalle aggressioni che testano la sicurezza di un'organizzazione imitando gli strumenti e le tecniche utilizzate dagli aggressori del mondo reale. Il red team tenta di aggirare le difese del blue team evitando il rilevamento.
I blue team sono i team interni di sicurezza IT che difendono un'organizzazione dagli aggressori, inclusi i red team, e lavorano costantemente per migliorare la cybersecurity dell'organizzazione. Le attività quotidiane comprendono il monitoraggio dei sistemi per rilevare i segnali di intrusione, l'analisi degli allarmi e la risposta agli incidenti.
In realtà, i purple team non sono team, ma piuttosto una mentalità cooperativa che esiste tra i membri del red team e quelli del blu team. Sebbene i membri del red team e quelli del blu team lavorino per migliorare la sicurezza della propria organizzazione, non sempre condividono tra loro i propri insight. Il ruolo del purple team è quello di incoraggiare una comunicazione e una collaborazione efficienti tra i due team per consentire il miglioramento costante di entrambi i team e della cybersecurity dell'organizzazione.
I red team proveranno a utilizzare gli stessi strumenti e le stesse tecniche impiegate dagli aggressori del mondo reale. Tuttavia, a differenza dei criminali informatici, i red team non causano danni reali ma espongono le crepe nelle misure di sicurezza di un'organizzazione.
Alcuni strumenti e tecniche comuni di red teaming includono:
Il red teaming è un fattore chiave per la resilienza, ma può anche rappresentare una vera e propria sfida per i team di sicurezza. Due delle maggiori sfide sono il costo e la durata del tempo necessario per condurre un'esercitazione di red team. Ciò significa che, in un'organizzazione tipica, gli impegni del team interno tendono ad avvenire (nella migliore delle ipotesi) periodicamente, il che fornisce degli insight sulla cybersecurity dell'organizzazione solo in un determinato momento. Il problema è che il tuo livello di sicurezza potrebbe essere forte al momento del test, ma potrebbe non rimanere tale nel tempo.
L'esecuzione di test continui e automatizzati in tempo reale è l'unico modo per comprendere veramente la tua organizzazione dal punto di vista di un aggressore.
IBM Security Randori offre una soluzione CART chiamata Randori Attack Targeted. Con questo software, le organizzazioni possono valutare continuamente il proprio livello di sicurezza come farebbe un red team interno. Ciò consente alle aziende di testare le proprie difese in modo accurato, proattivo e, soprattutto, su base continuativa per creare resilienza e capire cosa funziona e cosa no.
IBM Security Randori Attack Targeted è progettato per lavorare con o senza un red team interno. Supportato da alcuni dei maggiori esperti mondiali di sicurezza offensiva, Randori Attack Targeted offre ai leader della sicurezza un modo per ottenere visibilità sulle prestazioni delle loro difese, consentendo anche alle organizzazioni di medie dimensioni di garantire la sicurezza a livello aziendale.
Continua a seguirci e leggi il mio prossimo post per sapere come il red teaming può aiutarti a migliorare il livello di sicurezza della tua azienda.