Il simbolismo dei colori è una pratica culturale che consiste nell’attribuire specifici significati ai colori: questa pratica è molto diffusa anche nell’ambito della cyber security, ove ruoli e funzioni di diverse entità vengono etichettate proprio con dei colori che hanno uno specifico significato avente, talvolta, anche probabili suggestive origini.
Vediamo allora perché un hacker può idealmente indossare un cappello nero o bianco e perché gli hacker con cappello bianco possono agire nella squadra rossa, blu o bianca ma anche viola nonché gialla, arancione e verde.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Gli hacker con il cappello nero e con il cappello bianco
Nell’attuale era digitale, le tecnologie ICT sostengono tutti i sistemi complessi impiegati nelle attività quotidiane, garantendo il regolare funzionamento dei principali settori delle attività produttive e dell’economia. L’elevata digitalizzazione e connettività porta però, come effetto collaterale, un esponenziale aumento dei rischi informatici che rendono l’intera società sempre più vulnerabile alle minacce informatiche.
In questo scenario, operano gli hacker, persone esperte che sono in possesso delle competenze tecniche, funzionali ad accedere ai sistemi informatici senza autorizzazione, allo scopo di scoprire eventuali vulnerabilità o di compromettere la sicurezza di un sistema informatico.
Gli hacker agiscono per motivi diversi: criminali o etici.
Un hacker che, spinto da motivazioni criminali, cerca di compromettere la sicurezza di un sistema informatico, al fine di trarne un vantaggio personale o causare danni a un’organizzazione è denominato “black hat” (cappello nero).
“White hat” (cappello bianco), invece, è un professionista della sicurezza informatica che lavora per proteggere i sistemi dall’attacco degli hacker con il “cappello nero”. I professionisti della sicurezza con il “cappello bianco” cercano di individuare le vulnerabilità dei sistemi informatici e di prevenire gli attacchi, utilizzando specifiche tecniche di sicurezza come il penetration testing, l’analisi delle vulnerabilità, l’implementazione di politiche di sicurezza e la formazione dei dipendenti.
La metafora del cappello nero o bianco scelta, convenzionalmente, per caratterizzare gli hacker, simboleggia il ruolo svolto da un esperto informatico nei confronti di una determinata organizzazione.
Questa immagine è mutuata dal mondo militare ove ogni persona indossa un copricapo sul quale sono riportate le insegne del grado indicativo del ruolo, i.e. della posizione occupata all’interno della struttura organizzativa gerarchico-funzionale. Sempre in ambito militare, è diffusa l’espressione “doppio cappello” per indicare un duplice contestuale incarico attribuito ad un Comandante militare.
In particolare, il colore “nero” si riferisce probabilmente all’immagine stereotipata del bandito nel vecchio West americano, che indossava un cappello nero per nascondere il proprio volto e commettere crimini. I cinefili ricorderanno certamente il cappello nero del sicario di nome “sentenza”, interpretato da Lee Van Cleef, nel famoso film di Sergio Leone “Il buono, il brutto e il cattivo”.
Il termine “cappello bianco”, invece, si riferisce evidentemente all’immagine del “buono”, atteso che il bianco è simbolo di purezza ed onestà.
Gli hacker con il cappello nelle squadre rossa, blu e bianca
Gli hacker con il cappello bianco non agiscono quasi mai isolatamente, Essi operano sistematicamente all’interno di squadre (team) che, a seconda delle funzioni esercitate, vengono etichettate con specifici colori.
Si tratta di un simbolismo che è parte integrante del mondo dell’informatica tanto da essere incluso in fondamentali documenti istituzionali quali il Framework TIBER-EU (European framework for Threat Intelligence-Based Ethical Red Teaming) e G-7 Fundamental Elements for Threat-Led Penetration Testing.
In questo scenario, il Red Team (RT), è una squadra di specialisti della sicurezza informatica che si occupa di testare la sicurezza dei sistemi di un’organizzazione. Ha il compito di eseguire un attacco simulato tentando di compromettere le funzioni critiche dell’organizzazione da testare, imitando un aggressore informatico.
Il suo obiettivo principale è quello di trovare vulnerabilità e punti deboli nei sistemi, per metterli alla prova e scoprire se ci sono possibili vie d’accesso non autorizzate. In poche parole, il Red Team simula gli attacchi di hacker esterni o di insider malintenzionati, per scoprire le falle nella sicurezza e aiutare l’organizzazione a correggerle.
Anche il termine “Red Team” è mutuato dal mondo militare, derivando, molto probabilmente, dal gergo usato nell’ambito delle esercitazioni militari, laddove le squadre si distinguono tra quelle “amiche” e quelle “nemiche”. Il colore rosso, che simboleggia il fuoco ed il pericolo, designa, per convenzione, la squadra nemica, per distinguerla visivamente dalla squadra “amica” che in genere viene etichettata con il colore blu, che simboleggia la calma e la tranquillità.
Ed infatti il “Blue team” è la squadra di specialisti della sicurezza informatica che si occupa di monitorare costantemente la sicurezza dei sistemi e delle reti dell’organizzazione. Il suo obiettivo principale è quello di individuare e rispondere rapidamente a eventuali violazioni della sicurezza, sia reali che simulate (dal Red Team).
In sintesi, il Blue Team, i.e. la “squadra amica”, è sempre pronta ad agire in caso di attacco e a garantire che l’organizzazione sia in grado di dare una risposta rapida ed efficace in caso di incidente di sicurezza, garantendo così “la calma e la tranquillità” simboleggiate dal colore blu.
Il White team, invece, è la squadra di specialisti della sicurezza informatica che lavora per proteggere l’organizzazione dalle minacce interne ed esterne, facendo azione di “policing”.
Il bianco è simbolo di purezza, onestà ed integrità, pertanto, il loro obiettivo principale è quello di garantire la sicurezza dei sistemi e delle reti dell’organizzazione, evitando o bloccando gli attacchi degli hacker e degli insider malintenzionati.
In altre parole, il White team sviluppa e implementa le politiche e le procedure di sicurezza e mette in atto controlli di sicurezza, per ridurre al minimo il rischio di attacchi, garantendo così l’integrità dell’organizzazione.
In sintesi, Red team, White team e Blue team lavorano insieme per garantire la sicurezza informatica dell’organizzazione.
Il Red Team (RT) individua le falle di sicurezza, il White Team (WT) le protegge e il Blue Team (BT) è sempre pronto ad intervenire in caso di attacco, mettendo in campo capacità di prevenzione, rilevamento e risposta.
Cooperazione tra squadre e mescolanza di colori: la squadra viola
Rosso e blu sono colori primari che, mescolati tra loro, generano altri diversi colori, i.e. i colori secondari.
La mescolanza è applicata anche al simbolismo dei colori della sicurezza informatica. Ecco perché, il Red Team ed il Blue Team, quando cooperano, vanno a formare il Purple Team (la squadra viola), così etichettata semplicemente perché la mescolanza del rosso e del blu dà origine al colore viola.
La missione del Purple Team consiste:
- nell’ampliare le conoscenze sulle tattiche, tecniche e procedure (TTPs: Tactics, Techniques and Procedures) degli hacker con il cappello nero;
- nel prevenire determinati rischi e identificare aree e azioni che possono essere migliorate in riferimento a persone, processi e tecnologie.
Nuovi tipi di squadre: gialla, arancione e verde
Nell’ambito dello scenario descritto, April Wright autorevole hacker, che nel mondo della cybersecurity ha indossato numerosi cappelli, operando in squadre di vari colori, in un suo famoso intervento intitolato “Orange is the New Purple”, ha proposto l’introduzione di altri tipi di Team ponendo il focus sui creatori di software e di applicazioni, i.e. gli ingegneri e gli architetti del software (gli sviluppatori/“builders”) che vanno a formare lo Yellow Team (squadra gialla).
Essi sono gli unici che conoscono perfettamente cosa deve essere messo in sicurezza e come funzionano le soluzioni informatiche. Non a caso il giallo simboleggia la conoscenza, la saggezza e l’intelligenza.
La Wright ha proposto un nuovo paradigma che prevede l’integrazione dello Yellow Team (gli sviluppatori) con il Red Team ed il Blue Team per migliorare il ciclo di vita di sviluppo software (il c.d. SDLC: Systems Development Life Cycle) i.e. il processo finalizzato a sviluppare e gestire il software in maniera efficiente.
La collaborazione tra i Team Rosso, Blu e, ora, Giallo, in modo strutturato, secondo la Wright, può garantire meglio la condivisione delle conoscenze, il rafforzamento delle difese, della copertura e della risposta nonchè lo sviluppo di un elevato livello di maturità della sicurezza nel tempo.
E ancora, la cooperazione tra Red Team e Yellow Team – determina la formazione dell’Orange Team, la squadra arancione, i.e. il colore che deriva, appunto, dalla mescolanza di rosso e giallo.
Gli Orange Team aggiungono valore quando vengono integrati all’interno di un SDLC, creando un ciclo di test offensivi perpetui e di modellazione delle minacce, finalizzato a rendere il software più sicuro nel tempo, attraverso un alto livello di interazione dedicata.
Inoltre, dalle continue interazioni strutturate tra il Blue Team e lo Yellow Team (quindi dalla mescolanza del giallo e del blu) ha origine il Green Team (la squadra verde) che ha come missione il miglioramento della capacità di difesa basata sul codice e sulla progettazione per il rilevamento e la risposta agli incidenti e per l’analisi forense dei dati.
Infatti, i componenti dello Yellow Team (gli sviluppatori) possono agevolmente aiutare il Blue Team a colmare ogni eventuale carenza informativa riguardante i framework, le librerie, i sistemi di terze parti, le chiamate di rete e le funzionalità aggiunte dallo stesso Yellow Team.
Il lavoro di squadra genera l’arcobaleno dopo le perturbazioni negli ambienti ICT
Come si è visto, i colori rappresentano il ruolo e la missione specifica di ogni squadra all’interno di un sistema di sicurezza informatica, e sono funzionali a tracciare una chiara distinzione ed un criterio di coordinamento delle attività, per garantire la massima efficacia nel proteggere il software e le informazioni dell’organizzazione.
D’altra parte, la mescolanza dei colori, che simboleggia l’efficace e concreta cooperazione dei vari team, dimostra una verità fondamentale nel mondo della sicurezza in generale e della cybersecurity in particolare: quando c’è collaborazione e serio lavoro di squadra è possibile ottenere risultati straordinari.
Per questo motivo è necessario che all’interno delle organizzazioni, tutte le entità, ognuna nel proprio ruolo e nell’ambito della propria sfera di responsabilità, abbiano piena consapevolezza di far parte di una stessa unica grande squadra: la propria organizzazione, al fine di realizzare un unico grande, importante obiettivo: la sicurezza dell’organizzazione stessa.
Solo così tutte le squadre – rossa, blu, bianca, viola, gialla, arancione e verde – potranno andare a formare l’arcobaleno della cybersecurity dopo ogni perturbazione in ambiente ICT.