La cyber defense è un meccanismo di difesa della rete informatica che include la risposta alle azioni, la protezione delle infrastrutture critiche e la garanzia delle informazioni per organizzazioni, enti governativi e altre possibili reti.
Indice degli argomenti
Cyber defense: attività e ambiti di intervento
La cyber defense si concentra sulla prevenzione, il rilevamento e la fornitura di risposte tempestive ad attacchi o minacce in modo che nessuna infrastruttura o informazione venga manomessa.
Con la crescita del volume e della complessità degli attacchi informatici, la cyber defense è essenziale per la maggior parte delle entità al fine di proteggere le informazioni sensibili e salvaguardare le risorse.
Essa analizza le diverse minacce possibili per un determinato ambiente. Aiuta quindi a ideare e guidare le strategie necessarie per contrastare gli attacchi o le minacce. Infatti, una vasta gamma di attività è coinvolta nella cyber defense.
Si pensi alla riduzione dell’attrattiva dell’ambiente per i possibili aggressori, la comprensione delle posizioni critiche e delle informazioni sensibili, l’attuazione di controlli preventivi per garantire che gli attacchi siano costosi, capacità di rilevamento degli attacchi e capacità di reazione e risposta.
Inoltre, tra le attività sono presenti anche analisi tecniche per identificare i percorsi e le aree che gli aggressori potrebbero prendere di mira, aiutando a migliorare gli utilizzi e le risorse della strategia di sicurezza nel modo più efficace.
Un componente essenziale del mondo cyber
Per la sua crescente importanza come componente essenziale del mondo cyber, la Unione Europea ha pubblicato nel febbraio del 2013 la Cyber Security Strategy dove viene sottolineato che “gli sforzi di sicurezza informatica nell’UE coinvolgono anche la dimensione della cyber defense “.
La sicurezza informatica è anche una delle azioni prioritarie sottolineate da il piano di sviluppo delle capacità dell’EDA (European Defense Agency).
Di conseguenza, il Consiglio Europeo ha adottato un “quadro per la politica di cyber defense” nel novembre 2014, evidenziando cinque priorità, tra cui il voler sostenere lo sviluppo delle capacità di difesa informatica degli Stati membri.
L’Agenzia, inoltre, è attiva nei settori dello sviluppo delle capacità di cyber defense, nella ricerca e tecnologia (R&T), supportando gli Stati membri nella creazione di una forza lavoro militare qualificata, garantendo la disponibilità di una tecnologia di difesa proattiva e reattiva.
A seguito di un’analisi strutturata delle esigenze di formazione sulla cyber defense, l’EDA ha sviluppato una varietà di corsi ed una piattaforma collaborativa, la Cyber Defense Training & Exercises Coordination Platform (CD TEXP).
Una cultura europea comune della difesa informatica
È attualmente in fase di preparazione il progetto “Demand Pooling for the Cyber Defense Training and Exercise support by the private Sector” (DePoCyTE). Esso migliora l’accesso degli Stati membri partecipanti ai corsi di cyber defense pertinenti forniti dal settore privato in modo efficiente in termini di costi.
Il progetto è concepito per supportare lo sviluppo di una cultura europea comune della difesa informatica. Non solo l’Europa si è resa conto nel tempo della estrema necessità di attuare strategie di cyber defense, ma anche la stessa NATO.
Sebbene abbia sempre protetto i suoi sistemi di comunicazione e informazione, al vertice di Praga del 2002 ha inserito per la prima volta la cyber defense nella sua agenda.
Un piano d’azione per l’attuazione di una politica di cyber defense della NATO
I leader alleati hanno ribadito la necessità di fornire una protezione aggiuntiva a questi sistemi di informazione al vertice di Riga nel 2006.
A seguito degli attacchi informatici contro le istituzioni pubbliche e private dell’Estonia nel 2007, i ministri della difesa alleati hanno convenuto che era necessario un lavoro urgente in questo settore.
Di conseguenza, la NATO ha approvato la sua prima politica sulla difesa informatica nel gennaio 2008. Nell’estate del 2008, il conflitto tra Russia e Georgia ha dimostrato che gli attacchi informatici hanno il potenziale per diventare una componente importante della guerra convenzionale.
Per questo motivo è stato adottato un nuovo Concetto strategico al vertice di Lisbona del 2010, durante il quale il Consiglio Nord Atlantico (NAC) è stato incaricato di sviluppare un’approfondita politica di cyber defense della NATO e di preparare un piano d’azione per la sua attuazione.
Nel giugno 2011 è stata avanzata una seconda politica che definisce una visione per gli sforzi coordinati nella difesa informatica in tutta l’Alleanza nel contesto della minaccia e dell’ambiente tecnologico in rapida evoluzione.
Al vertice di Chicago nel maggio 2012, i leader alleati hanno riaffermato il loro impegno a migliorare le difese informatiche dell’Alleanza portando tutte le reti della NATO sotto protezione centralizzata e implementando una serie di aggiornamenti all’NCIRC, la capacità di difesa informatica della NATO.
Nel luglio 2012, come parte della riforma delle agenzie della NATO, è stata istituita la NATO Communications and Information Agency (NCIA). La cyber defense, infatti, è stata riconosciuta come parte del compito centrale della difesa collettiva della NATO.
In materia di cyber defense sia la NATO sia l’UE hanno rafforzato la loro partecipazione reciproca alle esercitazioni e promosso la ricerca, la formazione e la condivisione delle informazioni.
Red e blue team: elementi chiave della cyber defense
Per molti di noi nella vita di tutti i giorni in generale e nel mondo degli affari in particolare, uno strumento disponibile, accessibile e affidabile costituisce una condizione necessaria.
Le informazioni disponibili online sui modi per proteggersi dai rischi informatici sono vaste e sono composte da metodologie, best practice, “cose da fare e da non fare” e altro ancora.
La protezione dell’organizzazione dalle minacce informatiche richiede molta conoscenza. Questa conoscenza include un gran numero di specialità: tecnologiche, organizzative e procedurali. La scoperta dei punti deboli del sistema e la valutazione delle difese informatiche esistenti sono i modi migliori per le organizzazioni per contrastare le possibili minacce informatiche e mantenere la sicurezza operativa.
Tuttavia, la maggior parte delle organizzazioni trova difficile rilevare nuove infiltrazioni informatiche e percorsi di attacco intrapresi dai criminali informatici per violare le difese IT organizzative a livello di sistema.
È qui che entra in gioco un esercizio informatico del team red e blu per proteggere i punti di infiltrazione dei dati e riparare le vulnerabilità della rete.
Come definito dalla US National Security Agency (NSA), un red team è un’entità specializzata nell’irruzione e nell’ingresso, nell’acquisizione di informazioni classificate e nel non lasciare traccia.
Nel regno cyber, si concentrano sui penetration test di diversi sistemi e sui loro livelli di sicurezza. Aiutano a rilevare, prevenire ed eliminare i punti deboli mettendo in risalto le vulnerabilità evidenti. Questo aiuta le organizzazioni a identificare le vulnerabilità che possono rappresentare una minaccia per il loro sistema.
Al pari del red team, il blu ha il compito di salvaguardare la sicurezza della rete di un’organizzazione e di scoprire possibili vulnerabilità. Contrariamente al team rosso, al team blu è affidato il rinforzo della difesa della rete, garantendo al contempo una pronta risposta agli incidenti in caso di attacco informatico di successo, indipendentemente dal danno inflitto.
Quando la squadra blu riesce a difendere i suoi perimetri e mantenere il forte in una situazione di vittoria, simboleggia che l’organizzazione ha uno staff di sicurezza ben addestrato, vigile e qualificato.
Il suo fallimento indica la mancanza di formazione e comprensione per analizzare e preparare le difese e la negligenza della direzione, dell’alta dirigenza e del team tecnico e di audit nel creare la giusta consapevolezza e comprensione nella costruzione corretta e nel reagire agli standard di sicurezza chiave.
Le caratteristiche principali dei red e blu team
Le squadre rosse e le squadre blu differiscono in modo univoco nel loro approccio, principalmente a causa delle tecniche e dei parametri operativi.
Una profonda comprensione delle tecniche di ogni squadra consentirà di comprendere meglio i rispettivi ruoli e scopi. I membri della squadra rossa devono capire come funziona la mente di un attaccante e mettersi nei panni dell’attaccante, comprendendo la sua creatività vettoriale di attacco.
La caratteristica principale di un team rosso è pensare fuori dagli schemi, poiché sono sempre alla ricerca di nuovi strumenti e tecniche per infiltrarsi nei punti dati vulnerabili, fornendo maggiore chiarezza sulla protezione dei sistemi.
Per far parte di un team rosso di successo, è necessario possedere una profonda conoscenza dei sistemi informatici, delle librerie, dei protocolli e delle metodologie note.
C’è bisogno di conoscere server e database per esercitare più opzioni di attacco quando si tratta di scoprire la vulnerabilità di un sistema. Ci sono vantaggi sostanziali se uno sa come sviluppare gli strumenti.
Il penetration test è la simulazione di un attacco ai sistemi di rete per valutarne la sicurezza. Pentesting aiuta a scoprire le vulnerabilità e le potenziali minacce per fornire una valutazione completa del rischio. Pertanto, è importante che le squadre rosse siano in grado di fare pentesting, ed è anche tra le loro procedure standard.
Durante gli audit di sicurezza, i red team devono essere in grado di manipolare le persone affinché eseguano azioni che possono portare all’esposizione di dati sensibili. Questo perché l’errore umano è tra le cause di violazioni e fughe di dati.
Una squadra blu deve avere la capacità di chiudere backdoor e punti deboli che la maggior parte delle persone non conosce. È necessario essere orientati ai dettagli per non lasciare lacune nell’infrastruttura di sicurezza di un’organizzazione.
Durante la valutazione della sicurezza di un’organizzazione, c’è bisogno delle competenze per creare un profilo di rischio o di minaccia.
Un buon profilo di minaccia comprende tutti i dati, inclusi potenziali aggressori e scenari di minacce reali, e una preparazione completa per attacchi futuri lavorando su parti vulnerabili del sistema.
Prima che un’organizzazione possa essere completamente preparata per qualsiasi attacco, sono necessarie tecniche di rafforzamento tecnico di tutti i sistemi per ridurre la superficie di attacco che gli hacker possono sfruttare.
Un team blu, infine, deve avere familiarità con le applicazioni software per il monitoraggio della rete per qualsiasi attività insolita e dannosa.
Evoluzione del problema: il purple team
L’obiettivo di avere team antagonisti è migliorare ulteriormente la posizione di sicurezza di un’organizzazione.
Tuttavia, questo approccio è imperfetto: di solito trascura i difetti fondamentali nel modo in cui questi team lavorano insieme. Invece di una stretta collaborazione tra le due squadre, ogni parte perde spesso opportunità che andrebbero a vantaggio di entrambe.
Con le organizzazioni incapaci di coprire ogni base in difesa, l’attacco continua ad avere successo come sempre nell’irruzione.
Se il team non comprende correttamente come operano gli attaccanti, ha poche possibilità di progettare un’infrastruttura resiliente, che può ostacolare e limitare gli attaccanti finché non possono essere espulsi in sicurezza dal reti.
Squadra rossa contro squadra blu: un ricordo del passato
La tradizionale relazione contraddittoria non funziona; mettere la squadra rossa contro la squadra blu è un ricordo del passato. Inoltre, l’automazione gioca un ruolo prezioso negli ambienti di sicurezza odierni, con molti red team e blu team che spesso producono risultati migliori ottenendo più risultati con meno.
Il team rosso è tipicamente concentrato sull’irruzione nell’organizzazione e sulla dimostrazione del rischio in modo che l’organizzazione di destinazione possa migliorare il proprio stato di sicurezza. Se la squadra ha successo nei suoi sforzi, significa che il valore e l’utilità complessivi della squadra stanno diminuendo.
Questo non significa che avere un team rosso e i penetration test in generale non siano un investimento utile.
Questi ultimi, infatti, sono in cima all’efficacia dei controlli e delle pratiche di sicurezza, tuttavia gli attacchi odierni richiedono un nuovo approccio per migliorare non solo il successo del team nell’irruzione, ma il corrispondente lato della difesa per rendere le cose più difficili a lungo termine, e essenzialmente migliorare l’organizzazione della sicurezza generale.
Il blu team ha il compito di rilevare gli avversari e impedire loro di entrare nell’infrastruttura dell’organizzazione.
Un compito del genere è enorme: i confini dell’infrastruttura IT di un’organizzazione sono spesso indefiniti e in continua evoluzione e le applicazioni sono noiose e difficili da tenere aggiornate, per non parlare degli utenti che forniranno sempre inavvertitamente un punto d’appoggio agli aggressori.
Un’altra considerazione: l’organizzazione deve affrontare la minaccia sempre imponente degli exploit zero-day, che possono essere utilizzati contro l’infrastruttura per fornire un accesso avversario.
La sfida della squadra blu può essere paragonata all’essere un portiere in una partita di calcio, tranne per il fatto che il palo della porta è in continua evoluzione e i criminali usano tutti i tipi di palline per segnare gol.
Anche con queste sfide, la posizione di prevenzione non è inutile. Man mano che vengono profusi maggiori sforzi nella prevenzione, molti aggressori potrebbero essere inclini a rinunciare e passare a obiettivi più facili. Man mano che concentriamo maggiore attenzione nel rilevamento dei compromessi, speriamo di poter contrastare gli aggressori prima che possano garantire i loro obiettivi, facendo perdere agli aggressori il loro investimento di tempo e denaro proteggendo gli obiettivi dell’organizzazione.
Questo risultato significa uno scenario vantaggioso per tutti, anche se inizialmente era compromesso. Nel nostro attuale clima di sicurezza, la tradizionale relazione contraddittoria non funziona.
Un buon percorso di cyber defense: creare un purple team
Un percorso migliore è quello di intrecciare le due unità per creare un purple team per consentire alle due squadre di cooperare in modo molto più dettagliato e consentire risultati migliori.
In uno scenario di purple team, gli sforzi sono concentrati con precisione sul compito da svolgere.
Il team rosso è anche in grado di aiutare il team blu a dare la priorità alla selezione dei casi d’uso e persino alle vulnerabilità o ai controlli preventivi su cui concentrarsi per primi, in base alla propria esperienza.
Un rapporto statico di un esercizio della squadra rossa deve essere interpretato e questo può portare a incomprensioni o ipotesi. Ciò potrebbe portare il team blu a implementare controlli inadeguati per risolvere il problema identificato.
Quando le squadre sono sedute fianco a fianco, è più interattivo e porta a risultati migliori.
Può essere difficile ricreare schemi di attacco per testare i controlli implementati perché la squadra blu potrebbe non avere le competenze necessarie per farlo. La squadra blu potrebbe non avere il permesso di farlo su sistemi live, e i simulatori potrebbero non essere adeguati a testare tutto. Questo perché coprono solo comportamenti specifici che potrebbero non corrispondere esattamente a ciò che è stato testato nell’esercizio della squadra rossa e potrebbero dover essere adattati all’ambiente.
La scarsità di risorse può essere un ulteriore ostacolo per garantire che i nuovi controlli siano effettivamente testati sia inizialmente che su base continuativa, il che è anche fondamentale.
Con la red team che lavora insieme alla blu team in un esercizio di purple team, questo problema è stato risolto. Non appena viene implementato un controllo aggiuntivo, lo stesso identico comportamento (pattern) può essere emulato di nuovo e tutte le volte che è necessario, finché il controllo lo previene o lo rileva adeguatamente.
Con regolari esercizi portati avanti dal purple team si possono ripetere il test di controlli attuali per assicurare che funzionino ancora come previsto.
La combinazione delle due funzioni in questi esercizi aiuta anche con il problema delle risorse, perché mentre impareranno di più su di esso, la squadra blu non ha bisogno di apprendere le abilità e si prende il tempo per ricreare i comportamenti di attacco.
Esiste il rischio che vengano implementate soluzioni rapide ma non viene applicato un approccio olistico. Ad esempio, è possibile creare un caso d’uso per rilevare un comportamento particolare, ma è stato considerato anche un controllo preventivo? La creazione di casi d’uso basati su singoli indicatori di compromissione (IoC) è comune e spesso non è efficace a lungo termine. Ciò può essere dovuto alla mancanza di tempo per considerare adeguatamente una soluzione, alla mancanza di competenze e alla mancanza di comprensione del funzionamento di un utente malintenzionato.
Potrebbe anche essere che a causa della struttura organizzativa, il SOC (Security Operations Center) non abbia il mandato necessario per cambiare i processi o apportare un cambiamento organizzativo, e quindi fa quello che può con ciò che è a sua disposizione.
A volte vengono quindi implementate soluzioni rapide, che non copriranno a sufficienza il comportamento della squadra rossa o dell’attaccante se leggermente modificato.
Lavorare insieme per comprendere meglio i cyber attacchi
Lavorare insieme, dunque, promuove una migliore comprensione del funzionamento degli attacchi e del modo migliore per prevenirli o rilevarli.
Quando viene emesso il rapporto della squadra rossa, la prima cosa che la squadra blu vuole fare è esaminare ogni scenario e determinare dove le misure preventive e investigative erano insufficienti e quali misure potrebbero essere messe in atto sulla base del feedback.
Molto spesso è necessario esaminare le impronte generate dall’attività della squadra rossa nel proprio ambiente per formulare un piano su come prevenire o rilevare l’attività. Tuttavia, questi potrebbero non essere più disponibili una volta che il rapporto raggiunge effettivamente la squadra blu.
Lavorare fianco a fianco insieme allo stesso tempo risolve completamente questo problema. Molte organizzazioni, infatti, stanno adottando modalità di lavoro più “agile” e, in quanto tali, desiderano vedere risultati e vantaggi immediati.
Questo metodo si concentra su un valore immediato e chiaro, nonché piani di implementazione attuabili in ogni fase del processo di trasformazione.
Il purple team, dunque, lo possiamo definire come una missione congiunta tra il team rosso e blu per migliorare la funzione di monitoraggio della sicurezza dell’azienda attraverso la collaborazione diretta.
Conclusione
Con la crescita del volume e della complessità degli attacchi informatici, la difesa informatica è essenziale per la maggior parte delle entità al fine di proteggere le informazioni sensibili e salvaguardare le risorse.
Il purple teaming è un metodo molto potente per migliorare la posizione di sicurezza di un’organizzazione. Promuove la collaborazione tra i team rosso e blu e aumenta l’esperienza di apprendimento di entrambi i team e dell’organizzazione in fase di test.
È un passo successivo naturale quando un’organizzazione ha incorporato processi di gestione delle vulnerabilità e desidera misurare e migliorare contemporaneamente la capacità di rilevare incidenti e attacchi informatici.
Il purple teaming è un’aggiunta molto utile per identificare le vulnerabilità (tramite penetration test) e per misurare le capacità di risposta (tramite il red teaming).
Qualunque sia il budget e il livello di maturità di una determinata azienda, si può trarre vantaggio dalle azioni poste in atto dal purple team per integrare gli aspetti “rossi e blu” esistenti della funzione di monitoraggio della sicurezza di un ente.
Sia l’attacco che la difesa hanno lo stesso obiettivo finale: rafforzare la posizione di sicurezza dell’organizzazione. Allora, perché il blu e il rosso non lavorano di più insieme?