Red Team: che cos’è e perché è utile averlo in azienda

Daniele Nicita, Consulting Systems Engineer di FireEye, spiega perché è meglio avere un report che diventare una notizia di cronaca

Sia che si tratti della protezione della proprietà intellettuale dallo spionaggio economico o dei dati personali dai criminali informatici, molte aziende dispongono di preziose risorse di dati che i criminali stanno prendendo di mira.
Per questo motivo, l’ingaggio di un Red Team è particolarmente utile per le aziende che hanno necessità di proteggere beni preziosi.

Qualsiasi compromissione di un’azienda è motivo di preoccupazione, a partire dai dipendenti fino ad arrivare al CEO. Ma una compromissione realizzata da un Red Team è auspicabile in quanto questi professionisti aiutano le aziende a comprendere gli anelli deboli, prima che gli attaccanti siano in grado di sfruttarli. Essi effettuano questa attività agendo come aggressori, ma in modo etico e sotto la direzione dell’azienda che li ha ingaggiati.

Le aziende contattano un Red Team per condurre una compromissione controllata del loro ambiente, spesso con specifici obiettivi già prefissati o target specifici.

È probabile che molte persone abbiano già familiarità con i test di penetrazione, una valutazione della sicurezza aziendale, che ha l’obiettivo finale di individuare il maggior numero possibile di problemi di sicurezza e difetti di configurazione in un network in un dato periodo di tempo. Queste vulnerabilità devono poi essere “sfruttate” per poter determinare il rischio associato per l’azienda. Un penetration tester ha compiuto la sua missione quando ha raggiunto un obiettivo specifico, come l’accesso alle informazioni di identificazione personale (PII).

Le tattiche, le tecniche e le procedure (TTP) utilizzate nell’ambito di un incarico di Red Team, possono variare a seconda del livello di sicurezza di un cliente.

Come lavorano i Red Team?
Le valutazioni effettuate dal Red Team hanno regole chiare che vengono concordate con il cliente, come ad esempio se il Red Team sia autorizzato ad accedere fisicamente ai computer o a utilizzare solo metodi digitali.

Il cliente e il Red Team devono anche determinare l’obiettivo o gli obiettivi dell’operazione. Questi possono includere l’ottenimento della carta di credito e altri dati finanziari, il furto di proprietà intellettuale, o l’ottenimento dell’accesso a reti interne.
Senza infrangere le regole stabilite, un Red Team farà tutto il necessario per raggiungere gli obiettivi prefissati.

Un altro aspetto importante del Red Team è quello di comprendere le TTP che gli attaccanti stanno utilizzando oggi e non tecniche superate vecchie anche di due anni. I dati di intelligence raccolti dalle indagini in prima linea aiuteranno a fornire queste informazioni, che il Red Team potrà utilizzare per realizzare le proprie tecniche. Solo le aziende di sicurezza che hanno accesso a tali dati di intelligence sono in grado realmente di testare le capacità di difesa dei propri clienti.

Quali sono i requisiti per diventare un membro del Red Team?
I membri di successo dei Red Team dovrebbero avere un’ampia conoscenza delle TTP degli attaccanti. La maggior parte dei membri possiede esperienze come amministratori di sistema o sviluppatori di software. Questo background è importante perché un membro del Red Team deve avere conoscenza di analisi del codice sorgente, amministrazione di sistemi, networking, programmazione, ingegneria inversa e sviluppo. Non ci si può aspettare che qualcuno sfrutti la funzionalità se non ne comprende l’interazione. La conoscenza di queste aree non solo aiuta il Red Team a navigare in anonimato nelle reti non note, ma lo aiuta anche a non essere scoperto per un certo periodo di tempo.

Come viene mostrato dall’M-Trends 2018 di FireEye, il tempo medio globale che intercorre tra una compromissione e la sua scoperta è di 101 giorni, che sale a 175 nell’area EMEA e a 498 per l’APAC. Un Red Team, invece, ha modo di ottenere le credenziali dell’amministratore di dominio entro soli tre giorni dopo la compromissione iniziale.

Questo dato mostra che, senza buoni meccanismi di rilevamento, gli attori delle minacce hanno molto più tempo per esplorare l’ambiente di destinazione, spiando potenzialmente l’azienda e rubandone dati critici.

Come si valuta il successo di un Red Team
Al termine del lavoro questi professionisti, un’azienda dovrebbe avere a disposizione:

·         Una sintesi completa per i dirigenti e il Top Management realizzata in modo semplice, così da comprenderla facilmente e che possa consentire un’azione immediata.

·         Dettagli tecnici con informazioni specifiche, che permettano a un team di sicurezza interna di ricreare i risultati ottenuti dal Red Team.

·         Analisi del rischio basata su fatti, che aiuti le aziende a capire se un tale dato è rilevante per il loro ambiente e quindi la sua reale criticità.

·         Raccomandazioni tattiche per un miglioramento immediato della sicurezza e delle altre infrastrutture dell’azienda.

·         Raccomandazioni strategiche per il miglioramento a lungo termine della sicurezza dell’azienda e di altre infrastrutture.

·         Inestimabile esperienza nel rispondere a un incidente reale, preparando tutti, dal team di sicurezza ai dirigenti, fino al dipartimento legale per quando, e non se, una violazione reale si verificherà.

Gli aggressori continueranno a evolvere le loro TTP, quindi le aziende devono necessariamente tenere il passo. I test effettuati in condizioni reali da un Red Team sono un ottimo modo per fare un passo verso una maggiore sicurezza.