Quando si parla di sicurezza delle informazioni, si è indotti a pensare in termini di protezione, di contenimento e reazione. Tuttavia, iniziare a “pensare come un attaccante” può portare alle aziende grandi vantaggi anche sul versante della difesa dall’incessante evoluzione delle minacce. In questo ambito nascono quindi i termini Red Team e Blu Team.
Il termine Red Team è di origine militare. Si è realizzato che per difendere meglio c’era la necessità di attaccare le proprie difese per trovare punti deboli che potevano essere difesi meglio. Questo si trasformò in “Giochi di guerra” in cui difensori o forze amiche erano indicati come BLU e le forze avversarie erano ROSSE. Il Red Teaming è stato visto come uno strumento utile per i militari per valutare la loro posizione di sicurezza (security posture in ambito informatico), quindi i Red Team hanno assunto il ruolo di aggressori o “cattivi”. I cattivi non seguono le regole ma vengono utilizzati in modo controllato simulando ed emulando ciò che i cattivi possono fare, tale approccio aiuta i difensori a individuare, rispondere e fermare gli attacchi, nonché a rafforzarsi e migliorare.
Nonostante la loro natura offensiva, i Red Team sono quindi uno strumento che consente alle organizzazioni di difendersi meglio dagli aggressori ostili, di apprendere e migliorare. Per difendere meglio infatti devi sapere come avviene un attacco e come fermarlo.
Nell’ambito della sicurezza delle informazioni, i test offensivi sulla sicurezza sono considerati essenziali per testare la postura di sicurezza delle organizzazioni. In genere molte organizzazioni impiegano solo Blu Team, o difensori, e testano le proprie difese solo una volta all’anno a fini di conformità. Questo modo di pensare può rendere le organizzazioni vulnerabili agli attacchi reali. Per valutare la propria postura, le organizzazioni devono condurre i propri test, con l’ausilio di un Red Team, sia esso interno e dedicato o acquistando competenze esterne.
Per poter meglio apprezzare la necessità di avere un approccio Red Team e Blu Team può essere utile pensare al processo di vulnerability assessment. Il Blu Team, ad esempio, può utilizzare sistemi di scansione e test delle vulnerabilità per cercare e rivedere i sistemi di gestione delle patch: a seconda dell’organizzazione in questione le vulnerabilità potrebbero essere contrassegnate come ipotetiche e non essere prese con la dovuta considerazione. Il Red Team tuttavia utilizzerà anche questo approccio nelle valutazioni, ma lo porterà oltre, dimostrerà che le vulnerabilità scoperte possono essere sfruttate e le sfrutterà fornendo inoltre prove del successo. In combinazione con un rapporto che descrive in dettaglio la vulnerabilità, il suo punteggio di rischio, la probabilità e le prove del suo sfruttamento, questo ha un peso maggiore e aiuterà maggiormente ad intervenire per la risoluzione delle vulnerabilità.
Quindi qual è la differenza tra Blu Team e Red Team?
- La “squadra blu” è costituita dai difensori, in genere membri di un SOC, che controlleranno e cercheranno minacce, quindi agiranno sulle stesse, in modo reattivo per natura, “aspettando” che accadano determinati eventi.
- La “squadra rossa” è proattiva, simulerà attaccanti reali e tenterà di penetrare difese inosservate. Il loro ruolo è quello di evidenziare buchi nelle difese e migliorare le capacità di rilevamento per il Blu Team.
A volte la partita fra rossi e blu incomincia a giocarsi “a tavolino” attraverso un confronto simulato, sulla carta, all’interno di una sala riunioni, ma questo non può essere che l’inizio in quanto il vero banco di prova è l’esecuzione di uno o più veri attacchi, attacchi che non possono e non devono trascurare la sicurezza fisica dell’organizzazione obiettivo. Infatti, non in tutti i casi è possibile passare alla fase attiva dell’attacco, si pensi a quei luoghi e a quelle infrastrutture talmente critiche che potrebbero dar luogo a danni troppo ingenti, irreparabili o addirittura alla perdita di vite umane.
I Red Team possono essere utilizzati in due modi
- Team (indipendenti) esterni
- Team interno
Vediamo prima come può funzionare un Red Team esterno: generalmente costituito da un gruppo di penetration tester, questi possono essere coinvolti con diverse capacità a seconda delle esigenze dei clienti, che possono includere, ma non sono limitati a, varie tipologie di attacco/bersagli:
- Fisico
- Ingegneria sociale
- Infrastruttura di rete
- Wireless
- Compromissione e sfruttamento delle applicazioni Web – fisiche e in Cloud
- Test delle applicazioni / database – fisici e in cloud
- Sistemi operativi
- IoT
I tester esterni inoltre possono utilizzare varie tipologie di approccio: White Box e Grey Box nel loro lavoro o in attacchi simulati, oppure operare in modalità Black Box, il che implica che devono utilizzare le loro abilità e conoscenze per penetrare le difese come veri e propri attaccanti esterni con informazioni minime, in questi scenari utilizzeranno tutti i metodi possibili per raggiungere il loro obiettivo. In altri scenari, ad esempio per effettuare esercizi di conformità, potrebbe essere necessario seguire un ambito di verifica su aspetti specifici. Ad esempio, possono provare a elevare i propri privilegi per ottenere i diritti di amministratore di dominio, testare build di workstation / server, verificare patch, effettuare il cracking di password e controlli delle regole del firewall.
Un team interno invece può sedersi accanto al Blu Team e può lavorare a stretto contatto con loro, oppure potrebbe operare nel proprio reparto, ad esempio di auditing, e operare in modo indipendente per fornire evidenza delle attività svolte. In questo ruolo possono testare le difese esistenti, controllare i log, valutare le vulnerabilità pubblicate e testare/valutare il loro rischio e la loro minaccia contro la loro infrastruttura. Il gruppo interno avrà un ulteriore vantaggio in quanto conoscerà già l’infrastruttura dell’organizzazione, mentre i tester indipendenti possono o meno dipendere dall’ambito dell’incarico.
In alcune occasioni possono essere simulati devi veri e propri giochi di guerra: Red Team vs Blu Team. Questi possono presentarsi in forme diverse a seconda della portata dell’esercizio e degli obiettivi perseguiti.
Il Red Team potrebbe rappresentare un utente malintenzionato esterno: nella pratica un incaricato per un attacco di tipo Black
Box con informazioni minime e incaricato di penetrare nella società dall’esterno e di esfiltrare dei dati target specifici. Un simile esercizio è tanto reale quanto la simulazione di un attacco nel mondo reale da parte di attori reali. Qualche considerazione deve essere data al valore che può essere ottenuto da questo esercizio: ad esempio, se la squadra rossa utilizzava ingegneria sociale e altri metodi per penetrare nei locali, il loro valore per la squadra blu nella valutazione delle difese della loro rete sarebbe pari a zero se la squadra rossa fosse “rilevata” da una guardia di sicurezza fisica nella prima fase. In questo caso l’elemento sorpresa sarebbe perso, analogamente il valore in un esercizio di squadra rossa può essere perso se l’esercizio è terminato prematuramente.
Queste esercitazioni possono prendere due direzioni: il Blu Team è a conoscenza di questi intrusi e quali sono i loro obiettivi previsti, quindi possono monitorare e tentare di fermarli, oppure il Blu Team non è a conoscenza dell’esercizio. Ciò fornisce una dimostrazione realistica di ciò che potrebbero fare minacce da insider dannose.
Tali esercizi forniscono buoni scenari per testare la risposta agli incidenti, non solo quella dei team coinvolti, ma anche degli strumenti tecnologici a loro disposizione (FW, sonde, EDR, SIEM, ecc.)
Per quanto riguarda la sicurezza occorre considerare che fermare i cattivi dovrebbe avvenire il 100% delle volte, mentre per i cattivi devono riuscire solo una volta. La pressione è quindi sul gruppo blu per riuscire a rilevare. Il rosso svolge un ruolo fondamentale nell’assistere il blu nel processo di miglioramento dei loro processi e rilevamenti.
