Di fronte alla proliferazione di attacchi informatici sempre più efferati e sofisticati, conoscere e quantificare il livello di resistenza a una minaccia reale e avanzata è un imperativo per assumere una postura di sicurezza adeguata e matura. Per mettere alla prova il livello di sicurezza dei loro sistemi informatici, la scelta delle aziende ricadeva tradizionalmente su attività note come vulnerability assessment e penetration test che, seppur utili a valutare singole applicazioni o sistemi, non consentono di ottenere una valutazione di insieme.
Il Red Teaming, una delle attività previste dall’offering di Capgemini dedicata alla Cybersecurity, risponde all’eventualità che durante un cyber attack vengano presi di mira sistemi che non sono stati oggetto di una campagna di test, e sferrati attacchi oltre che verso le tecnologie anche verso l’organizzazione a danno di singole persone (attraverso messaggi di phishing personalizzati, attività di social engineering o clonazione di badge di accesso) o processi aziendali vulnerabili (come un help desk che permette di cambiare la password di accesso senza verificare l’identità della persona).
Indice degli argomenti
Red Teaming: che cos’è il Threat-Led Penetration Test (TLPT)
Qui entra in gioco il Threat-Led Penetration Test (TLPT) che tra l’altro rappresenta un elemento chiave per soddisfare le normative emergenti in ambito cybersecurity, come la normativa DORA che impone alle istituzioni finanziarie di dimostrare una robusta capacità di resistenza ai cyberattacchi.
Attraverso il Red Teaming è possibile servirsi di esperti del settore (gli ethical hackers) per simulare un vero attacco informatico, replicando le stesse tattiche, tecniche e procedure (TTP) del threat actor identificato, ovvero di un gruppo reale di cybercriminali in possesso di tecnologie avanzate e di importanti risorse finanziarie.
Lo scopo del TLPT è testare la postura di sicurezza dell’intera organizzazione, inclusi i sistemi IT, i processi aziendali e persino le persone, valutando nella pratica l’efficacia degli investimenti fatti e le attuali lacune. A differenza dei normali penetration test, il Red Teaming è un’operazione su larga scala che può durare settimane o mesi, con attacchi mirati che spaziano dall’infiltrazione fisica di ethical hackers a uso di tecniche avanzate di ingegneria sociale.
Ethical hackers in azione per svelare le vulnerabilità nascoste
Gli scenari di attacco vengono costruiti sulla base di una attività preliminare di Cyber Threat Intelligence (CTI) che prevede la raccolta di informazioni su potenziali gruppi di hacker che minacciano l’organizzazione oggetto del test, analizzando in profondità tattiche, tecniche e procedure che sono noti adoperare. Questi scenari vengono poi adattati alle specifiche caratteristiche dell’organizzazione, con un focus sulle minacce più probabili e significative per il contesto in cui opera. Nel caso di un’organizzazione finanziaria, per esempio, potrebbero essere simulati comportamenti malevoli provenienti da gruppi di criminali informatici che solitamente mirano a istituzioni di questo tipo.
“Simulando cyber attack che riflettono tattiche e vettori reali, personalizzati per il profilo specifico dell’organizzazione – spiega Pierluigi Sciuto, CIS – Head of Cyber Security Service Line di Capgemini Italia – si ottiene un’idea precisa del livello di sicurezza dell’organizzazione, ed emergono i vettori critici che con le normali attività di security assessment non sarebbe stato possibile rilevare. Spesso, a seconda del tipo di ingaggio, i team di security del Cliente vengono tenuti all’oscuro per verificare le capacità di detection degli eventi che possano minacciare la sicurezza e le relative contromisure adottate. I risultati del Red Teaming permettono alle organizzazioni di identificare un piano d’azione concreto per rafforzare la propria resilienza contro attacchi futuri anche in ottica di miglioramento continuo”.
Blue Team vs. Red Teaming: il test della capacità di rilevamento e risposta
L’esercitazione di Red Teaming consente di testare la capacità di detection & response dei team di sicurezza aziendali (blue team) che dovrebbero rilevare celermente la minaccia all’interno del perimetro dell’organizzazione, e rispondere in maniera sufficientemente efficace da bloccare ogni ulteriore tentativo di attacco o di escalation, e successivamente identificare i possibili responsabili e l’impatto avuto fino a quel momento.
“Pertanto, si valuta se i team di sicurezza abbiano identificato correttamente le attività svolte dal red team, quali tentativi di attacco siano effettivamente riusciti a bloccare, e se siano stati in grado di tracciarne i movimenti – continua Sciuto – Al termine dell’attività di TLPT avviene un confronto con i team di sicurezza in cui viene illustrato il percorso di attacco effettuato e si valuta se sono stati commessi degli errori da parte del blue team o se gli strumenti di rilevamento in uso non sono configurati correttamente o non forniscono abbastanza informazioni”.
Il Red Teaming secondo Capgemini tra esperti, ricerca e GenAI
Una delle sfide principali del Red Teaming è replicare l’approccio di un criminale reale, mantenendo un basso profilo e cercando di non essere rilevati dai sistemi di difesa in uso.
“Quello che offriamo per il servizio TLPT è un alto livello di qualità, grazie al personale esperto e certificato e all’esperienza avuta degli ultimi otto anni in cui abbiamo effettuato diverse attività di questo tipo – sottolinea Sciuto – Un altro punto differenziante è rappresentato dalla continua attività di ricerca sul tema, che ci ha permesso di sviluppare alcuni tool personalizzati che permettono di bypassare i più avanzati meccanismi di sicurezza attualmente presenti”.
Inoltre, “nella fase di Cyber Threat Intelligence – aggiunge Sciuto – i nostri analisti si avvalgono di strumenti basati sulla Generative AI, che permettono non solo di raccogliere rapidamente le informazioni, ma anche di generare report dettagliati e personalizzati. Questi sistemi, che sono in grado di sintetizzare enormi volumi di dati complessi e fornire insight predittivi, aiutano ad automatizzare la ricerca di indicatori di compromissione (IoC) come indirizzi IP, hash di file e domini utilizzati dai gruppi di attaccanti e ad analizzare le tecniche dei threat actor“.
Come si valuta il successo di un’attività di TLPT
In fase di programmazione dell’attività di Red Teaming vengono concordati con l’organizzazione i cosiddetti crown jewels, gli obiettivi ultimi dell’attività che generalmente coincidono con sistemi business critical (ad esempio, un mainframe), oppure account particolarmente privilegiati (ad esempio, enterprise admin).
“Un Red Teaming ha pieno successo se riesce a raggiungere almeno uno dei crown jewels concordati con l’organizzazione. In ogni caso, l’attività porta enormi benefici all’azienda che ha svolto l’assessment, in quanto permette di evidenziare le criticità all’interno dei sistemi, dei processi o dei comportamenti degli utenti, nonché delle procedure di difesa o delle tempistiche di rilevamento degli attacchi altresì non rilevabili con le classiche tipologie di test” osserva Sciuto.
Inoltre, per ogni vulnerabilità identificata viene fornita una valutazione della sua severity utilizzando delle metriche che integrino vari fattori, specialmente quelli legati al contesto dell’organizzazione e alle sue operazioni ed una precisa descrizione di come è stata sfruttata (Proof of Concept).
“Oggi un approccio difensivo reattivo non è più sufficiente. Le organizzazioni devono abbracciare una mentalità proattiva e il Threat-Led Penetration Test deve diventare parte integrante di un ciclo continuo di miglioramento della sicurezza, non solo come verifica una tantum, ma come attività ripetuta e aggiornata periodicamente per rispondere alle minacce emergenti. Investire in un programma di TLPT non solo assicura una maggiore protezione, ma dimostra una consapevolezza e un impegno verso le tematiche di sicurezza che oltre a soddisfare le normative in ambito cybersecurity può rafforzare la fiducia di clienti e degli stakeholders” conclude Sciuto.
Contributo editoriale sviluppato in collaborazione con Capgemini
