Gli esperti di Red Team effettuano compromissioni concordate con le aziende al fine di comprendere e mettere in evidenza i punti deboli del network.
È probabile che molte persone abbiano già familiarità con i test di penetrazione, una valutazione della sicurezza aziendale, che ha l’obiettivo finale di individuare il maggior numero possibile di problemi di sicurezza e difetti di configurazione in un network in un dato periodo di tempo. Queste vulnerabilità devono poi essere “sfruttate” per poter determinare il rischio associato per l’azienda. Un penetration tester ha compiuto la sua missione quando ha raggiunto un obiettivo specifico, come l’accesso alle informazioni di identificazione personale (PII).
Red Teaming – test di penetrazione ad alto livello
Le tattiche, le tecniche e le procedure (TTP) utilizzate nell’ambito di un incarico di Red Team, possono variare a seconda del livello di sicurezza di un cliente.
Per ritenere di successo il lavoro di un Red Team l’azienda, al termine dell’attività, dovrebbe avere a disposizione:
• Una sintesi completa per i dirigenti e il Top Management realizzata in modo semplice, così da comprenderla facilmente e che possa consentire un’azione immediata.
• Dettagli tecnici con informazioni specifiche, che permettano ad un team di sicurezza interna di ricreare i risultati ottenuti dal Red Team.
• Analisi del rischio basata su fatti, che aiuti le aziende a capire se un tale dato è rilevante per il loro ambiente e quindi la sua reale criticità.
• Raccomandazioni tattiche per un miglioramento immediato della sicurezza e delle altre infrastrutture dell’azienda.
• Raccomandazioni strategiche per il miglioramento a lungo termine della sicurezza dell’azienda e di altre infrastrutture.
• Inestimabile esperienza nel rispondere ad un incidente reale, preparando tutti, dal team di sicurezza ai dirigenti, fino al dipartimento legale per quando, e non se, una violazione reale si verificherà.
Come lavorano i Red Team?
Le valutazioni effettuate dal Red Team hanno regole chiare che vengono concordate con il cliente, come ad esempio se il Red Team sia autorizzato ad accedere fisicamente ai computer o ad utilizzare solo metodi digitali. Il cliente e il Red Team devono anche determinare l’obiettivo o gli obiettivi dell’operazione. Questi possono includere l’ottenimento della carta di credito e altri dati finanziari, il furto di proprietà intellettuale, o l’ottenimento dell’accesso a reti interne.
Senza infrangere le regole stabilite, un Red Team farà tutto il necessario per raggiungere gli obiettivi prefissati.
Un altro aspetto importante del Red Team è quello di comprendere le TTP che gli attaccanti stanno utilizzando oggi e non tecniche superate vecchie anche di due anni. I dati di intelligence raccolti dalle indagini in prima linea aiuteranno a fornire queste informazioni, che il Red Team potrà utilizzare per realizzare le proprie tecniche. Solo le aziende di sicurezza che hanno accesso a tali dati di intelligence sono in grado realmente di testare le capacità di difesa dei propri clienti.
Quali sono i requisiti per diventare un membro del Red Team?
I membri di successo dei Red Team dovrebbero avere un’ampia conoscenza delle TTP degli attaccanti. La maggior parte dei membri possiede esperienze come amministratori di sistema o sviluppatori di software. Questo background è importante perché un membro del Red Team deve avere conoscenza di analisi del codice sorgente, amministrazione di sistemi, networking, programmazione, ingegneria inversa e sviluppo. Non ci si può aspettare che qualcuno sfrutti la funzionalità se non ne comprende l’interazione. La conoscenza di queste aree non solo aiuta il Red Team a navigare in anonimato nelle reti non note, ma lo aiuta anche a non essere scoperto per un certo periodo di tempo.
L’ingaggio di un Red Team è particolarmente utile per le aziende che hanno necessità di proteggere beni preziosi. Sia che si tratti della protezione della proprietà intellettuale dallo spionaggio economico o dei dati personali dai criminali informatici, molte aziende dispongono di preziose risorse di dati che i criminali stanno prendendo di mira. Gli aggressori continueranno ad evolvere le loro TTP, quindi le aziende devono necessariamente tenere il passo. I test effettuati in condizioni reali da un Red Team sono un ottimo modo per fare un passo verso una maggiore sicurezza.