Non tutti gli hacker sono cattive notizie! Gli hacker della squadra rossa cercheranno di ottenere l'accesso ai tuoi dati, ma per scopi altruistici...
Il Red Teaming è l'atto di testare, attaccare e penetrare reti, applicazioni e sistemi di computer. I Red Teamer sono hacker etici assunti dalle organizzazioni per testare in battaglia la loro architettura di sicurezza. L'obiettivo finale del team rosso è trovare, e talvolta indurre, problemi e vulnerabilità in un computer e sfruttarli.
Perché è importante il Red Teaming?
Per un'organizzazione che deve proteggere dati e sistemi sensibili, il Red Teaming comporta l'assunzione operatori di sicurezza informatica per testare, attaccare e penetrare nella sua architettura di sicurezza prima che dannosi fanno gli hacker. Il costo comparativo per convincere le amiche a simulare un attacco è esponenzialmente inferiore rispetto a se lo facessero gli attaccanti.
Quindi, i Red Teamer svolgono essenzialmente il ruolo di hacker esterni; solo i loro intenti non sono dannosi. Invece, gli operatori utilizzano trucchi, strumenti e tecniche di hacking per trovare e sfruttare le vulnerabilità. Documentano inoltre il processo, in modo che l'azienda possa utilizzare le lezioni apprese per migliorare la sua architettura di sicurezza complessiva.
La squadra rossa è importante perché le aziende (e persino gli individui) con segreti non possono permettersi di lasciare che gli avversari ottengano le chiavi del regno. Per lo meno, una violazione potrebbe comportare una perdita di entrate, multe da parte delle agenzie di conformità, perdita della fiducia dei clienti e imbarazzo pubblico. Nel peggiore dei casi, una violazione del contraddittorio potrebbe portare al fallimento, al crollo irrecuperabile di una società e furto di identità che colpisce milioni di clienti.
Qual è un esempio di Red Teaming?
Il team rosso è altamente incentrato sullo scenario. Ad esempio, una società di produzione musicale può assumere operatori della squadra rossa per testare le misure di sicurezza per prevenire le perdite. Gli operatori creano scenari che coinvolgono persone che hanno accesso a unità di dati contenenti la proprietà intellettuale degli artisti.
Un obiettivo in questo scenario potrebbe essere quello di testare gli attacchi più efficaci nel compromettere i privilegi di accesso a quei file. Un altro obiettivo potrebbe essere testare la facilità con cui un utente malintenzionato può spostarsi lateralmente da un punto di ingresso ed esfiltrare le registrazioni master rubate.
Quali sono gli obiettivi della squadra rossa?
La squadra rossa si propone di trovare e sfruttare quante più vulnerabilità possibili in breve tempo, senza farsi scoprire. Sebbene gli obiettivi effettivi in un esercizio di sicurezza informatica varieranno tra le organizzazioni, i red team generalmente hanno i seguenti obiettivi:
- Modella le minacce del mondo reale.
- Identificare i punti deboli della rete e del software.
- Individua le aree da migliorare.
- Valuta l'efficacia dei protocolli di sicurezza.
Come funziona il team rosso?
Il Red Teaming inizia quando un'azienda (o un individuo) assume operatori di sicurezza informatica per testare e valutare le proprie difese. Una volta assunto, il lavoro passa attraverso quattro fasi di impegno: pianificazione, esecuzione, sanificazione e rendicontazione.
Fase di pianificazione
Nella fase di pianificazione, il cliente e il team rosso definiscono gli obiettivi e l'ambito dell'impegno. È qui che definiscono gli obiettivi autorizzati (così come le risorse escluse dall'esercizio), l'ambiente (fisico e digitale), la durata dell'impegno, i costi e altra logistica. Entrambe le parti creano anche le regole di ingaggio che guideranno l'esercizio.
Fase di esecuzione
La fase di esecuzione è quella in cui gli operatori del team rosso fanno tutto il possibile per trovare e sfruttare le vulnerabilità. Devono farlo di nascosto ed evitare di essere beccati dalle contromisure o dai protocolli di sicurezza esistenti dei loro obiettivi. I membri della squadra rossa usano varie tattiche nella matrice Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK).
La matrice ATT&CK include anche i framework utilizzati dagli aggressori per accedere, persistere e spostarsi attraverso le architetture di sicurezza come il modo in cui raccolgono i dati e mantengono la comunicazione con l'architettura compromessa seguendo un attacco.
Alcune tecniche che possono impiegare includere attacchi di guida, ingegneria sociale, phishing, sniffing di rete, dumping delle credenziali, e scansione delle porte.
Fase di sanificazione
Questo è il periodo di pulizia. Qui, gli operatori della squadra rossa risolvono questioni in sospeso e cancellano le tracce del loro attacco. Ad esempio, l'accesso a determinate directory può lasciare registri e metadati. L'obiettivo della squadra rossa nella fase di sanificazione è cancellare questi registri e pulisci i metadati.
Inoltre, annullano anche le modifiche apportate all'architettura di sicurezza durante la fase di esecuzione. Ciò include il ripristino dei controlli di sicurezza, la revoca dei privilegi di accesso, la chiusura di bypass o backdoor, la rimozione di malware e il ripristino delle modifiche a file o script.
L'arte spesso imita la vita. La disinfezione è importante perché gli operatori del team rosso vogliono evitare di spianare la strada a hacker malintenzionati prima che il team di difesa possa sistemare le cose.
Fase di segnalazione
In questa fase, la squadra rossa prepara un documento che descrive le proprie azioni e risultati. Il rapporto include inoltre osservazioni, risultati empirici e raccomandazioni per correggere le vulnerabilità. Può anche contenere direttive per proteggere l'architettura ei protocolli sfruttati.
Il formato dei rapporti della squadra rossa di solito segue un modello. La maggior parte dei report delinea gli obiettivi, l'ambito e le regole di ingaggio; registri di azioni e risultati; risultati; condizioni che hanno reso possibili quei risultati; e il diagramma di attacco. Di solito c'è anche una sezione per valutare i rischi per la sicurezza degli obiettivi autorizzati e delle risorse di sicurezza.
Cosa viene dopo la squadra rossa?
Le aziende spesso assumono squadre rosse per testare i sistemi di sicurezza all'interno di un ambito o scenario definito. A seguito di un impegno della squadra rossa, la squadra di difesa (ovvero la squadra blu) utilizza le lezioni apprese per migliorare le proprie capacità di sicurezza contro le minacce note e zero-day. Ma gli aggressori non aspettano. Dato lo stato mutevole della sicurezza informatica e le minacce in rapida evoluzione, il lavoro di test e miglioramento dell'architettura di sicurezza non è mai veramente finito.