Attacchi informatici sempre più frequenti e gravi denunciano non solo la persistenza di fragilità nelle difese di cyber security aziendali, ma anche la superficialità delle verifiche per le certificazioni d’efficacia. Nei test eseguiti dai team aziendali non si hanno quasi mai sorprese: le difese rispondono sempre correttamente alle minacce che sono state previste in fase di progetto. I problemi di cyber security nascono dove si verificano eventi che non sono stati o non possono essere previsti.
Da una parte ci sono i comportamenti inattesi o ingenui degli utenti, dall’altra le azioni sempre più scaltre ed elusive di chi ha interesse economico nella violazione dei sistemi altrui. Una situazione che richiede solidi approcci di verifica della cyber security attraverso tecnici esperti, capaci di mettere alla prova le difese come dei veri cyber criminali. Un compito realizzato dai red team che svolgono azioni complementari a quelle dei più comuni penetration test.
Vediamo di seguito cosa fanno i red team, come si svolge il loro lavoro e dove è più utile.
Indice degli argomenti
Cosa fanno i red team per la cyber security
Rispetto ai penetration test con cui si identificano eventuali vulnerabilità degli asset aziendali, il lavoro dei red team è focalizzato su obiettivi, scelti in rapporto ai danni che specifiche violazioni causerebbero al business dell’azienda. Ruggero Strabla, 15 anni nel campo della cyber security, oggi responsabile della BU di Offensive Security di Horizon Security porta l’esempio di un’azienda bancaria: “L’obiettivo potrebbero essere i dati dei clienti oppure l’accesso ai loro conti. Il red team prova a ottenere questi dati violando ciò che è stato messo a protezione”.
Per ottenere lo scopo il red team può scegliere qualsiasi opzione, con poche limitazioni sulla superfice di attacco in modo da simulare gli attacchi reali: “Dal social engineering allo sfruttamento delle vulnerabilità delle applicazioni in uso così come di quelle che restano su sistemi di test o che si supponeva dismessi. In base ai risultati ottenuti vengono date indicazioni per realizzare gli interventi di difesa più opportuni. L’attività del red team sollecita le difese tecnologiche e fisiche insieme a processi e persone, identificando le vie d’attacco che possono essere percorse dai cyber criminali”.
A differenza dei penetration test, l’azione dei red team non è solitamente annunciata ai team aziendali e deve restare nota solo a pochissime persone. “Per essere utili, le attività vanno eseguite senza preavviso nell’arco di tempo assegnato. Solo in questo modo è possibile sapere se sistemi e team sono davvero in grado di rilevare le compromissioni”.
A chi serve ingaggiare un red team
Chi ha bisogno dei servizi di red team? “Nel lavoro incontriamo le tipologie d’azienda più diverse nei settori del fashion, food, oil & gas e finanza – spiega Strabla -. Abbiamo iniziato con aziende del mondo bancario, più sensibili ai danni causati dagli attacchi, ma sono certo che molte altre realtà d’impresa dovranno seguire nel futuro una pianificazione di rafforzamento molto simili in tema di cyber security”.
Così come le banche assegnano ai red team l’obiettivo di provare a raggiungere i dati dei clienti, aziende industriali hanno interesse a sapere se tutelano efficacemente le proprietà intellettuali, i nuovi progetti oppure le attività di produzione in fabbrica. Le attività del red team hanno declinazioni differenti in base alle tipologie di business ma non mancano obiettivi più comuni come, per esempio, la difesa dei dati di backup, obiettivo di attacchi ransomware.
“Nella nostra esperienza con le realtà aziendali più mature e sensibili sulle tematiche della cyber security, riteniamo possa essere efficace svolgere attività di red teaming almeno una volta all’anno. Attività che può essere affiancata da servizi di test complementari, anche parzialmente automatizzati, focalizzati sull’identificazione dei percorsi di attacco e che permettono, nell’interregno tra gli interventi del red team, di mantenere più alto il livello della cyber security”.
Le persone e le competenze nell’offensive security
Le attività di red teaming non richiedono molte persone, ma serve esperienza e continuo aggiornamento. “Ogni obiettivo non impegna più di tre persone alla volta – precisa Strabla -. Nella business unit in cui lavoro siamo in 14 persone, dotate di conoscenze trasversali per i penetration test e le attività di red teaming. Un team che sta crescendo numericamente poiché con nuovi regolamenti che toccano le tematiche di cyber security, come DORA nel campo del finance, e con l’adozione di requisiti standardizzati di test, come Tiber EU/IT, riscontriamo e prevediamo molti nuovi sviluppi nel nostro lavoro”.
Qual è il valore delle persone che operano nei red team? “Giocano un forte ruolo le competenze tecniche da penetration tester con l’aggiunta di abilità nelle fasi di post-compromissione, movimenti laterali (in qualsiasi tipo di infrastruttura), escalation dei privilegi, social engineering, oltre a quelle di capire gli impatti sul business dell’azienda”.
Per condurre azioni red team efficaci serve fare ricerca e sviluppo. “Le tecniche d’attacco evolvono e diventano obsolete rapidamente. Serve dedicare molto tempo all’aggiornamento, alla partecipazione ad eventi e conferenze specializzati”.
Come funziona nella pratica l’attività dei red team
Un tipico progetto di red team inizia con la definizione degli obiettivi. “Si comincia fissando la bandierina da conquistare e il tempo che si ha a disposizione”, spiega Flavio Baldassi, lead consultant della BU Offensive Security di Horizon e tre anni passati a svolgere attività di red teaming. Di solito l’attività del red team dura da un mese a tre mesi: “Il tempo è utile per non essere rilevati facilmente e portare avanti gradualmente le attività di raccolta delle informazioni sull’infrastruttura IT e l’organizzazione. Più informazioni si raccolgono e più si trovano i punti scoperti”.
Il tempo è un fattore critico quando il red team opera dall’esterno, senza conoscere nulla dell’azienda. “Lo è meno se il committente fornisce informazioni aggiuntive come, per esempio, il server che ospita i dati obiettivo, oppure le credenziali di un utente, partendo dal presupposto che un pc della rete possa essere già compromesso”.
In base alle informazioni di partenza vengono decise le attività del red team. “Le azioni sfruttano tecniche e tattiche molto simili a quelle messe in atto dai criminali che infettano i sistemi con il ransomware, in particolare, l’uso di phishing e del social engineering. L’avanzamento dei lavori è comunicato ai responsabili aziendali settimanalmente e, al termine, viene stilata la reportistica che spiega se e come l’obiettivo assegnato è stato raggiunto, con l’elenco delle criticità sfruttate e i suggerimenti per rimediare”.
I problemi di cyber security riscontrati dai red team
Il lavoro dei red team evidenzia le fragilità più comuni della cyber security aziendale. Tra quelle più ricorrenti resta sempre in prima fila la debolezza delle password. “Non riuscendo a memorizzare sequenze complesse, le persone continuano a creare password deboli – spiega Baldassi -. E così, malgrado i controlli automatici per imporre password sicure, in molte password risultano esserci il nome dell’azienda, l’anno corrente e un banale carattere speciale”.
La fragilità agli attacchi di social engineering è un altro punto critico. “A cominciare dalle risposte al phishing oltre che a link appositamente congegnati per essere cliccati. In questi casi, ciò che conta è non avere account con troppi privilegi”. Sul fronte sistemistico è frequente la rilevazione di vulnerabilità nelle applicazioni Web. “Difetti di progettazione espongono in rete, senza filtro, servizi e dati erogati esternamente in cloud oppure applicazioni che fanno parte dell’infrastruttura del backend aziendale”. Seguono i problemi di configurazione, le assegnazioni di privilegi errati, la presenza nelle cartelle condivise di file in cui sono state memorizzate password”.
Ulteriori problematiche sono derivate dall’utilizzo all’interno delle infrastrutture aziendali di protocolli di autenticazione legacy (obsoleti), come per esempio NTLM. Questo protocollo, sviluppato agli inizi degli anni Novanta, contiene delle falle di progettazione, dal punto di vista della sicurezza, che vengono frequentemente sfruttate dai cyber criminali per poter accedere ai sistemi aziendali senza conoscere le credenziali utente o di servizio.
Contributo editoriale sviluppato in collaborazione con Horizon Security
