Red Team: cos'è e di cosa si occupa?

Un’osservazione approfondita sul mondo della sicurezza informatica offensiva e sul ruolo che ricoprono i suoi esperti.

L’imperativo della sicurezza informatica è contrastare le minacce a qualsiasi costo: che si tratti di un attore malevolo, o di un collettivo cybercriminale. Nel corso degli anni abbiamo assistito alla continua evoluzione delle tattiche di attacco e degli strumenti malevoli diffusi in rete. La partita è sempre giocata tra attacco e difesa, in cui le due si trovano perennemente in bilico. La prima che vacilla, garantisce la vittoria all’altra.

In questo equilibrio delicato si inserisce un terzo attore, un gruppo che ha acquisito una notevole rilevanza nel mondo della sicurezza informatica odierna. Stiamo parlando del Red Team. Ma chi sono i suoi membri e perché sono considerati così importanti?

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è il Red Team?
Come agisce il Red Team?

Cos’è il Red Team?

La miglior definizione del termine ci è fornita da James Tubberville e Joe Vest, due esperti di sicurezza informatica che lo hanno descritto così:

Il Red Team è il processo di utilizzo di tattiche, tecniche e procedure (TTP) per emulare una minaccia reale, con l’obiettivo di misurare l’efficacia delle persone, dei processi e delle tecnologie utilizzate per difendere un ambiente.

A conti fatti si tratta di un gruppo di sicurezza informatica che gioca direttamente in attacco, piuttosto che in difesa. Al suo interno il Red Team accoglie non solo esperti di sicurezza, ma soprattutto hacker etici. Costoro, sfruttando le loro competenze avanzate in materia, agiscono con l’obiettivo di condurre una simulazione di attacco contro l’organizzazione che li ospita, al fine di testare l’efficienza delle proprie difese.

Detta così, si potrebbe pensare che il più grande nemico del Red Team possa essere un attore malevolo, o un collettivo cybercriminale, ma non sarebbe la risposta corretta. Questo perché il suo più grande nemico è il tempo. I membri del Red Team sono costantemente coinvolti in una corsa contro il tempo per testare a fondo le misure di sicurezza di un’organizzazione, al fine di individuare possibili vulnerabilità e correggerle prima che qualche malintenzionato possa sfruttarle a proprio vantaggio. Il tempo non è un elemento che gioca a favore del Red Team, in quanto si stima che il numero delle nuove minacce e vulnerabilità scoperte su base giornaliera, si aggiri sulle decine di migliaia. Ciò rende chiara la difficoltà nel tenerne traccia e al tempo stesso di elaborare adeguate contromisure per poterle contrastare preventivamente.

Tale soluzione si ottiene con la messa in atto di una simulazione di attacco completa ed efficace, in modo da ottenere una fotografia che mostri in maniera inequivocabile tutte le vulnerabilità presenti all’interno dell’azienda.

Come agisce il Red Team?

Al fine di valutare le misure di sicurezza dell’azienda che richiede i suoi servigi, il Red Team si cala nei panni di un attore malevolo, agendo e pensando esattamente come farebbe uno reale. I suoi membri colpiscono l’organizzazione designata agendo in tre ambiti diversi:

Tecnologico: si realizza con la violazione del perimetro aziendale, esponendo servizi, applicazioni web, appliances e host di rete;
Umano: vengono condotte tattiche di ingegneria sociale contro i dipendenti;
Fisico: si accede fisicamente all’edificio dell’organizzazione e si ottengono i suoi assets;

In molti contesti si fa ricorso all’ingegneria sociale al fine di ottenere l’accesso a sistemi e informazioni riservate. Infatti, non è cosa rara assistere ad un membro del Red Team che si finge un dipendente dell’azienda per ottenere le credenziali di accesso di uno specifico account, interpellando direttamente il reparto IT. Oppure, questa può essere impiegata per mettere a segno un attacco con le classiche tattiche di phishing. In tal modo le vittime sono indotte a rivelare i dati sensibili attraverso e-mail, siti web clonati, chiamate telefoniche, o messaggi di testo.

Oltre a queste, si fa uso della gamma completa a disposizione dei collettivi cybercriminali, tra cui si ricordano:

Web exploitation;
Cross site scripting;
Creazione e divulgazione di malware;

La consapevolezza di queste tecniche è cruciale all’interno delle organizzazioni, in quanto si può comprendere il modus operandi degli attori malevoli ed elaborare di conseguenza una strategia protettiva efficace. Come si può quindi evincere, il Red Team opera per compromettere l’azienda e accedere a specifiche risorse. Si tratta ovviamente di operazioni concordate precedentemente con chi ha richiesto il suo intervento. Molto spesso la risorsa desiderata durante la simulazione d’attacco può essere un server, una casella e-mail, un database, o anche un singolo file il cui contenuto è critico. Prima che tutto ciò avvenga, i membri del Red Team stabiliscono delle regole di ingaggio con un determinato numero di dipendenti dell’azienda, assicurandosi la massima riservatezza possibile.

La simulazione d’attacco è condotta con la massima efficienza e con l’obiettivo di risultare quanto più invisibile possibile. Questo perché non bisogna generare rumore, né attivare gli indicatori di un data breach, altrimenti verrebbe dimostrata l’efficienza del sistema di sicurezza. Tali caratteristiche esulano dalla gamma di abilità in seno ad un penetration-tester, in quanto si richiedono delle competenze molto più avanzate. Ecco perché gli hacker etici giocano un ruolo cruciale nel Red Team, poiché in grado di pensare e di agire come cybercriminali reali. Ma questi non agiscono da soli, in quanto hanno dall’altra parte il Blue Team: la squadra avversaria che gioca in difesa. Affinché la simulazione d’attacco vada in porto, la squadra rossa non dovrà mai farsi individuare da quella blu.

In base a quanto discusso finora, il Red Team si ritrova tra le mani un svariate responsabilità. Tra quelle più rilevanti si citano:

Simulazione di attacchi realisitici: la squadra emula tattiche e procedure di attacco quanto più vicine alla logica dei cybercriminali. Tra i mezzi più adottati ci sono le tattiche di hacking, unite a quelle di ingegneria sociale.
Valutazione delle difese: i membri del Red Team valutano attentamente ogni aspetto delle difese implementate dall’organizzazione, come firewall, monitor anti-intrusione, anti-malware, anti-spam e controlli sull’accesso fisico. Tutto ciò al fine di individuare preventivamente delle vulnerabilità.
Fornire un report dettagliato: al termine della simulazione, gli esperti in seno al Red Team redigono un report al cui interno sono riportate le vulnerabilità rilevate nell’organizzazione. A queste si uniscono una serie di feedback in merito e suggerimenti su come irrobustire la sicurezza.

Le operazioni del Red Team servono a mostrare le capacità di rilevamento e mitigazione dei danni da parte di un’azienda, al fine di comprendere preventivamente in quali punti la sicurezza sia carente. Le soluzioni proposte devono essere poi implementate nel più breve tempo possibile, al fine di scongiurare l’insorgenza di un attacco reale contro quella vulnerabilità rilevata.

Molto spesso il risultato è che le risorse per i miglioramenti, sono da destinare alla formazione del personale, poiché si tratta dell’elemento maggiormente esposto alle mire di un attore malevolo. Accompagnando i propri dipendenti in percorsi di security awarness e in corsi aziendali incentrati sulla sicurezza, si potranno ottenere notevoli benefici per la protezione dei propri assets.

Come sempre chi può fare la differenza in questo pericoloso gioco, siamo noi stessi. La nostra consapevolezza delle minacce e delle adeguate contromisure da adottare, fa una grande differenza.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, laureato in Informatica e Comunicazione Digitale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.