Cyber Security: Red Team, Blue Team e Purple Team

Quando si parla di sicurezza delle informazioni e si sta dalla parte dei buoni, si è indotti a pensare in termini di protezione, di contenimento e reazione. Tuttavia, iniziare a “pensare come un attaccante” può portare alle aziende grandi vantaggi anche sul versante della difesa dall’incessante evoluzione delle minacce.

In ambito militare i cosiddetti Red Team nacquero storicamente come gruppi altamente specializzati e organizzati per svolgere il ruolo degli avversari, il ruolo dei nemici o delle forze di opposizione in contrasto alle squadre “amiche” che prendevano il nome di Blue Team. In sostanza i Red Team mettevano a disposizione le proprie capacità per esplorare nella maniera più completa possibile le alternative nella pianificazione, nelle operazioni e nelle metodologie di attacco assumendo la prospettiva e – possibilmente – la mentalità degli attaccanti. Lo scopo finale era quello di migliorare le proprie capacità difensive mettendosi in gioco di fronte a qualcuno che si comporta come si comporterebbe un vero nemico.

Simmetricamente i Blue Team venivano utilizzati come “misura difensiva” ed erano addestrati a rilevare, rispondere e mitigare gli attacchi portati dai Red Team.

La cyber security ha fatto propri questi concetti, in questo ambito le azioni di attacco del Red Team si traducono in sofisticate attività di “penetration test” il cui scopo finale è effettuare un valido assessment delle capacità difensive di un’azienda o di una qualsiasi organizzazione e per saggiarne la generale postura di sicurezza. In genere la missione del Red Team è specifica, ad esempio la sfida potrebbe essere quella di verificare la possibilità di “esfiltrare” un insieme di record contenuti in un database e contenenti informazioni sensibili. Per questo “task” il red team avrebbe il compito di simulare l’attività di un attaccante (“external threat actor”) e comprendere se esiste la possibilità di sfruttare una serie di vulnerabilità e debolezze dell’infrastruttura oggetto dell’attacco. Il target consisterebbe proprio nel guadagnare l’accesso alle informazioni sensibili contenute nel database obiettivo. La fase difensiva, in questo scenario è invece demandata, come detto, al Blue Team.

I rossi sono storicamente quindi incaricati di identificare le vulnerabilità nei PPT (People, Process and Technology) posti a difesa dell’organizzazione, svolgendo al contempo il ruolo di abilitatori delle capacità difensive (detection e response) dell’organizzazione stessa. Se da un lato il compito dei rossi è il più delle volte preciso e ben definito, quello dei blu (analisti dei SOC o response handlers in generale) è variabile e ignoto a priori, gli attacchi dei rossi sono dunque utili a mettere alla prova la preparazione dei blu innescando un circolo virtuoso di miglioramento.

Per i blu il pane quotidiano sarà costituito dall’accesso ai dati di log, l’utilizzo di un SIEM, la threat intelligence, l’analisi del traffico di rete e dei flussi di dati, la loro missione è la proverbiale ricerca dell’ago nel pagliaio…

D’altro canto i rossi dovranno essere ben consapevoli delle cosiddette TTP (Tactics, Techniques and Procedures) proprie degli attaccanti. In relazione a queste TTP i blu dovranno adeguare, implementare e raffinare le loro capacità di detection e response. Anche se l’automazione in questa fase svolge un ruolo importante, i blu tuttavia non dovranno mai affidare in maniera completa agli strumenti e alle tecnologie la propria abilità difensiva: l’intuito, l’esperienza e l’intelligenza umana non sono totalmente sostituibili – al momento – né dal lato degli attaccanti né da quello dei difensori. Un esempio per tutti è rappresentato dalle tecniche di social engineering (spear phishing in primis).

Torniamo all’esempio della missione “esfiltrazione” di dati, in questo caso il red team ha il compito di sferrare un attacco simulando l’attività di ben motivati cyber criminali, il primo passo potrebbe essere dunque quello di compromettere il PC di un utente finale per poter reperire delle credenziali utili ad effettuare attività di raccolta di informazioni all’interno della rete, da qui in maniera graduale partirebbe il tentativo di effettuare una “privilege escalation” alla ricerca di credenziali privilegiate che forniscano l’accesso al database centrale. Ottenuto l’accesso al database inizierebbe il processo vero e proprio di esfiltrazione attraverso una connessione di rete verso l’esterno (il web).

Il blue team dovrà essere in grado di rilevare questi tentativi di intrusione, i “movimenti laterali” ed ogni passo caratteristico della cosiddetta “kill chain” nello stadio più precoce possibile, dovrà perciò in altri termini essere capace di rispondere all’attacco ed evitare che il red team porti a casa il risultato.

Né l’uno (quello dei rossi) né l’altro (quello dei blu) è un compito elementare anche se descritto in queste poche righe potrebbe apparire tale.

Cosa rende efficace il confronto fra Red e Blue Team?

Trattandosi di un compito non banale che cosa rende efficace l’attività dei rossi (e dunque stimolante e “sfidante” quella dei blu)? L’elemento fondamentale affinché ciò sia possibile, e che rende il Red Team una squadra di successo, è il fatto che i rossi assumano il più possibile la mentalità e l’attitudine dei veri attaccanti…dei reali cyber criminali. È per questo motivo che risulta sconsigliabile scegliere i membri del red team fra le persone che hanno contribuito o contribuiscono a proteggere l’infrastruttura dell’organizzazione stessa, questo perché si creerebbe un evidente conflitto di interessi che non garantirebbe l’efficacia dell’attacco (e di conseguenza dell’assessment della postura di sicurezza). L’imperativo è dunque quello di “pensare come un outsider” e ciò è più facilmente realizzabile attingendo all’esterno dell’organizzazione (se possibile) oppure pescando al di fuori di chi ha il compito di definire e implementare le misure di sicurezza.

Si ricordi che un attaccante trascurerà ogni norma, ogni educazione e non si porrà alcuno scrupolo morale o etico (stiamo parlando di terroristi e criminali, ma anche potenzialmente di ex dipendenti frustrati e arrabbiati): entrare in questa mentalità potrebbe essere per nulla facile.

A volte la partita fra rossi e blu incomincia a giocarsi “a tavolino” attraverso un confronto simulato, sulla carta, all’interno di una sala riunioni, ma questo non può essere che l’inizio in quanto il vero banco di prova è l’esecuzione di uno o più veri attacchi, attacchi che non possono e non devono trascurare la sicurezza fisica dell’organizzazione obiettivo.

Per la verità, non in tutti i casi è possibile passare alla fase attiva dell’attacco, si pensi a quei luoghi e a quelle infrastrutture talmente critiche che potrebbero dar luogo a danni troppo ingenti, irreparabili o addirittura alla perdita di vite umane.

Tuttavia, quando possibili, i test “live” possono riguardare anche il classico anello debole della catena della sicurezza: ossia l’essere umano (il dipendente). Sarà dunque possibile, per i red team, testare i comportamenti degli impiegati di un’organizzazione in risposta a ben determinate sollecitazioni quali la ricezione di allegati dannosi tramite mail o il ritrovamento di una chiavetta USB appositamente “dimenticata” in un parcheggio o nella toilette dell’azienda. Se l’organizzazione ha emanato una precisa policy di sicurezza, l’esercitazione del red team sarà il momento migliore per testare quanto i propri dipendenti abbiano recepito, siano consapevoli e rispettino la policy stessa e quanto le misure, i controlli messi in atto dall’organizzazione siano efficaci.

Se la sicurezza fisica e i comportamenti dei propri dipendenti non vanno trascurati, la massima attenzione va posta inoltre su un’altra superficie di attacco: le reti wireless.

L’adozione del wi-fi è iniziata come migrazione trasparente dalle reti wired a quelle wireless, molto spesso dimenticando che l’approccio alla sicurezza di queste ultime è e deve essere diverso. In quest’ambito è doveroso menzionare l’attività cosiddetta di “wardriving” e quelle successive di exploiting delle reti senza fili.

La collaborazione, il feedback reciproco e il continuo miglioramento

La chiave del successo dell’approccio Red Team vs. Blue Team consiste nell’interazione e nel feedback reciproco, nella capacità di interpretare la sfida per il fine ultimo di affinare le capacità di detection e response dell’organizzazione. La collaborazione deve tendere al miglioramento continuo, per i blu la sfida ai rossi deve rappresentare un’opportunità di ampliare la propria consapevolezza delle tecniche usate dagli attaccanti, venendo a conoscenza di “tattiche, tecniche e procedure” usate dai “cattivi” e portando alla luce gli angoli ciechi della propria infrastruttura di difesa. Se un SOC non si accorge di un’intrusione il motivo non è (sempre) da ricondurre a carenza di preparazione da parte degli operatori o all’inefficienza della tecnologia, bensì il successo dell’attaccante potrebbe essere dovuto all’inefficacia dei controlli implementati in relazione a tecniche sofisticate e, fino a quel momento, sconosciute. L’azione del Red Team è quindi funzionale a far emergere la carenza dei controlli messi in atto  in modo “indolore”, prima che queste carenze si trasformino in un danno reale.

Al di là dell’approccio mentale differente, diversi saranno anche gli strumenti utilizzati dai rossi rispetto a quelli a disposizione dei blu.

Il Red Team dovrà padroneggiare strumenti di attacco (Meterpreter, Metasploit ad esempio), comprendere cos’è una SQL Injection, conoscere gli strumenti per la scansione delle reti obiettivo (Nmap), essere in grado di utilizzare linguaggi di scripting, conoscere i comandi di router, firewall, ecc.

Il Blue Team, d’altro canto, dovrà essere ben consapevole delle fasi dell’incident response, conoscere anch’esso i propri strumenti e linguaggi, essere in grado di intercettare i pattern di traffico sospetto, individuare gli Indicator of Compromise, saper utilizzare a dovere un IDS, effettuare analisi e forensics su sistemi operativi differenti.

Un nuovo colore all’orizzonte

Non è sempre banale far lavorare le due squadre in sinergia, ciascuna delle due tende a perseguire i propri obiettivi, i propri scopi e – ove definiti – i propri KPI (Key Performance Indicator). Al fine di ovviare a questa possibile carenza di obiettivi comuni (che devono essere in definitiva quelli del business e non quelli delle singole squadre) sta emergendo l’opportunità di definire una nuova “funzione” (più che una vera e propria squadra), questa nuova funzione è rappresentata dal Purple Team (Purple in inglese corrisponde al viola che è ottenuto dalla mescolanza del blu con il  rosso). La mission del Purple Team è proprio quella di assicurare e massimizzare l’efficacia delle due squadre primarie, ciò è realizzato attraverso l’integrazione delle tattiche difensive e dei controlli propri dei Blu con le minacce e le vulnerabilità portate e rilevate dai Rossi, arrivando a una “narrativa” unitaria che massimizza i risultati e che risponde a KPI aziendali e metriche comuni piuttosto che a obiettivi della singola squadra.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here