Quando si organizza un reparto o un team di specialisti cyber security all’interno di un contesto aziendale si ricercano sin da subito esperti del settore che possano ricoprire un ruolo nei cosiddetti Red team e Blue team.
I primi vengono identificati come “Hacker etici”, ovvero professionisti che mettono a disposizione le proprie competenze in sicurezza informatica per aziende, liberi professionisti o Enti pubblici con il compito di scovare e fare emergere eventuali vulnerabilità che potrebbero essere sfruttate da hacker professionisti attraverso simulazioni di veri e propri attacchi informatici.
Chi, invece, assumerà il ruolo di difensore della rete da presidiare sarà il Blue team.
Quest’ultimo si occuperà sia della difesa delle infrastrutture che di mettere in campo ogni possibile azione sia preventiva che reattiva in caso di minaccia o attacco simulato oppure reale.
Una volta assicurata la presenza di Red e Blue team chi, però, si occuperà di supervisionare e guidare i due team contrapposti nel corso delle attività di monitoraggio della rete?
Assumerà questi compiti il cosiddetto Purple team, ovvero un gruppo di esperti in sicurezza informatica che opera come coordinatore e supervisore dell’attività messa in atto da Red e Blue team.
In concreto, però, come opera un Purple team e quali sono nello specifico i suoi compiti?
Perché un’azienda dovrebbe affidarsi a un Purple team e quali sono le realtà più conosciute che si sono affidate a questo gruppo di esperti?
In questo articolo ci occuperemo di fare chiarezza sul ruolo e sulle mansioni che spettano ad un Purple team nell’ambito della cyber security aziendale.
Sommario degli argomenti
I compiti e le caratteristiche di un Purple team nell’ambito della cyber security meritano di essere approfondite in quanto coinvolgono varie attività tra le quali:
- prevenzioni dalle eventuali minacce e attacchi informatici
- supervisione delle attività del Red e Blue team.
Una delle prime domande che ci si pone quando si affronta il tema del Puple team è capire chi possa ricoprire questo ruolo.
Solitamente ci si affida ad analisti della sicurezza informatica e, spesso, le aziende decidono di affidarsi a consulenti esterni.
In alcuni casi, però, è possibile imbattersi in realtà aziendali che decidono di avere un Purple team interno e dedicato esclusivamente alla rete aziendale utilizzata dall’azienda stessa.
Un Purple team può mettere in atto diverse metodologie di lavoro.
Può, infatti, succedere che la direzione aziendale opti per delegare la gestione delle azioni di cyber security ad esperti del settore operando così sia in qualità di Red, Blue che Purple team. In questo caso il vantaggio sarebbe di possedere un’ampia visione delle infrastrutture informatiche oggetto dell’analisi e del loro grado di sicurezza.
In concreto, però, come opererebbero i professionisti esperti di cyber security?
Il cosiddetto Purple Team potrebbe assumere la supervisione sia dei compiti del Red Team che quelli del Blue team.
Qual è il vantaggio di questa organizzazione?
I componenti delle diverse categorie possono capovolgere i propri ruoli per avere sempre un quadro aggiornato della situazione.
Adottando questa metodologia di lavoro è possibile contare su un monitoraggio costante della rete aziendale ma anche concentrarsi al meglio sulle specifiche esigenze del cliente.
Un’altra metodologia di lavoro adottata dal Puple tema prevede l’impiego dello stesso con l’esclusivo compito di supervisionare il lavoro e ottimizzare le comunicazione che intercorrono tra Red e Blue team.
In questo modo è possibile contare su un comunicazione efficace, nonché su una maggiore incisività nei cosiddetti penetration test e nella difesa delle infrastrutture informatiche. In quest’ultimo caso l’approccio adottato dal Purple team permette di ottenere informazioni dettagliate e globali, attingendo sia dal team offensivo che difensivo.
Una volta raccolte le informazioni il Purple team stilerà un resoconto completo delle eventuali falle rilevate durante le attività di attacco e difesa della rete informatica da presidiare. Inoltre vi sarà la possibilità di fare una valutazione step by step di tutte le misure adottate da parte del Blue team per anticipare, prevenire e individuare eventuali minacce o attacchi informatici.
Un Purple team affronterà diverse fasi di lavoro per poter redigere un’analisi dettagliata relativa al grado di sicurezza della struttura informatica sotto esame.
In generale le fasi alle quali fa riferimento un Purple team sono le seguenti:
Raccolta dati
il team studierà l’infrastruttura e raccoglierà tutte le informazioni necessarie per capire quali siano le reali capacità del Blue team di individuare e poi bloccare eventuali minacce in rete
Valutazione dei rischi
il Purple team eseguirà test per valutare i potenziali rischi ai quali potrebbe essere esposta l’infrastruttura. Questi test simulano attacchi reali per poter valutare in concreto il grado di sicurezza della rete stessa.
Coordinamento del Red team
suggerimenti sulle zone da attaccare così da poter testare una nuova protezione predisposta dal Blue team o una eventuale falla nel sistema per capire come il team difensivo potrebbe comportarsi in una situazione inattesa di forte stress
Monitoraggio ed eventuale supporto al team difensivo
analisi della risposta del Blue team agli attacchi messi in atto dal Red team per comprendere quali azioni abbia deciso di mettere in atto per bloccare la minaccia. In caso di lacune il Purple team interverrà e guiderà il team difensivo per migliorare le risposte ad attacchi specifici
Report finale
analisi dei rischi ai quali l’azienda può essere esposta e, contestualmente, valutazione delle attività messe in atto dal Red e Blue team.
Nel caso in cui il team difensivo si fosse mosso nel migliore dei modi verranno forniti eventuali suggerimenti per migliorare ulteriormente il livello di protezione della rete. Se, invece, l’attacco simulato dal Red team fosse andato a buon fine verranno valutati quali sarebbero state le reali conseguenze in caso di attacco concreto da parte di hacker professionisti.
Quali sono le realtà aziendali che usufruiscono dei servizi di un Purple team
Il Purple team è di estrema importante all’interno di un contesto aziendale in quanto favorisce, in primis, il confronto tra Red e Blue team.
In quest’ottica, i due team avranno la possibilità concreta di dialogare e di valutare quali siano gli aspetti da migliorare.
Inoltre il Purple team, grazie alla supervisione delle azioni messe in atto dai team offensivo e difensivo, riuscirà a fornire un report in tempi brevi per valutare sia gli aspetti positivi che quelli da migliorare per salvaguardare i sistemi informatici aziendali in esame.
Una volta stilato il report sia Red che Blue team avranno una visione globale di cosa ha funzionato e cosa no e potranno, in un prossimo futuro, testare nuovamente le infrastrutture.
Affidarsi ad un Purple team è pratica consolidate per molte realtà conosciute a livello globale.
Aziende quali Intel, Google, Microsoft e Oracle, per citarne alcune, hanno implementato i propri reparti di sicurezza informatica affidandosi proprio a Purple team fissi oppure contattati in base a specifiche esigenze.
Affidarsi ad un Purple team e integrarlo in un contesto aziendale è una strategia sulla quale puntare per testare e preservare le infrastrutture informatiche in vista di potenziali attacchi hacker.
Grazie al metodo di lavoro adottato dal Puple team è possibile avere ripetuti feedback, utili per avere sotto controllo in tempo reale il livello di sicurezza delle reti informatiche e comprendere come migliorare le strategie difensive, ottimizzando risorse e budget.
Cyberment Srl
Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.
Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.
Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.
Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!
- Autore articolo
- Gli ultimi articoli
Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.