Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca
Crowdstrike

Che cos’è il Red Team? Un viaggio all’interno dell’universo degli esperti di sicurezza offensiva

Massimiliano Brolli : 27 Ottobre 2023 07:27

L’evoluzione delle minacce informatiche è una costante nel mondo di oggi. I malintenzionati, spesso guidati da motivazioni finanziarie, ideologiche o di altro tipo, cercano nuovi modi per superare le difese digitali e fisiche delle organizzazioni e ci riescono sempre con metodi nuovi, sfruttando innovazione arte ed inganno sfruttando le loro capacità di “hacking”.

In questo delicato equilibrio tra difesa e attacco, sorge una organizzazione sempre più importante nella difesa delle infrastrutture digitali di una organizzazione: il Red Team.

Ma chi sono i membri di questo misterioso Red Team? Qual è il loro ruolo e come contribuiscono a migliorare la sicurezza delle organizzazioni? In questo articolo andremo a rispondere a queste domande, offrendo una panoramica approfondita su cosa sia esattamente il Red Team e quali siano le sue attività principali.

Che cos’è il Red Team?

Il Red Team, è composto al suo interno da hacker etici e rappresenta l’ala della sicurezza informatica che agisce sul fronte dell’attacco simulato. Questi esperti di sicurezza, dotati di competenze tecnologicamente avanzate, cercano di mettere alla prova le difese di un’organizzazione esattamente come farebbe un vero aggressore, ma con un obiettivo diverso: scoprire le vulnerabilità con il fine di correggerle prima che un malintenzionato riesca a sfruttarle.

Comprendete che si tratta di una corsa costante contro il tempo in quanto nuove vulnerabilità di sicurezza e nuovi vettori di attacchi costantemente si aggiungono alla lunga lista delle vulnerabilità da gestire. Le metodologie possono essere diverse e tra le più disperate, partendo da attacchi di rete per compromettere le infrastrutture IT di una organizzazione, fino ad arrivare ad attacchi che sfruttano sofisticate tecniche di ingegneria sociale.

Con ingegneria sociale, si intende una tecnica utilizzata per manipolare le persone al fine di ottenere informazioni sensibili o indurle a compiere determinate azioni. Queste manipolazioni possono avvenire attraverso la persuasione, la manipolazione psicologica o la creazione di situazioni ingannevoli. L’obiettivo dell’ingegneria sociale è sfruttare la naturale propensione umana a fidarsi o a rispondere a richieste sociali.

In contesti di sicurezza informatica, l’ingegneria sociale è spesso utilizzata da malintenzionati per ottenere accesso non autorizzato a sistemi o informazioni riservate. Ad esempio, un attaccante potrebbe fingere di essere un dipendente aziendale e chiamare il reparto IT per ottenere la password di un account. L’ingegneria sociale può anche manifestarsi in forma di phishing, dove le vittime vengono indotte a rivelare informazioni sensibili attraverso e-mail o siti web ingannevoli.

La consapevolezza di queste tecniche è fondamentale per le organizzazioni che desiderano difendersi dalle minacce informatiche sempre più sofisticate. Comprendere come un Red Team opera e quali strumenti usa può aiutare a rafforzare la sicurezza e a sviluppare strategie di difesa più efficaci nelle aziende.

Ricordiamo che il Red Team è il gruppo all’interno dell’organizzazione che simula i “cattivi” pertanto risulta in contrapposizione con il lavoro del “Blue team” che spesso converge con il Security Operation Center (SOC). Mentre il Red Team lavora prima di un incidente di sicurezza, cercando di correggere la postura cyber delle organizzazioni, il Blue team gestisce la fase dell’incidente di sicurezza, effettuando incident response (IR) e tentando di rilevare le azioni malevole simulate dal gruppo del Red Team.

Da chi è composto il Red Team

I Red Teamers sono professionisti altamente specializzati nel campo della sicurezza. Il loro ruolo principale è quello di agire come aggressori etici, simulando attacchi mirati a testare la sicurezza di un’organizzazione. A differenza dei test di penetrazione tradizionali, che spesso si concentrano su vulnerabilità e difese tecniche, i Red Teamers adottano un approccio misto, prendendo in considerazione sia gli aspetti tecnici che quelli umani.

All’interno del Red Team è presente il Red Team Leader, noto anche come il capitano del team. Si tratta del responsabile della supervisione generale delle attività di Red Teaming. Questo esperto di sicurezza con esperienza pluriennale coordina le operazioni, pianifica gli attacchi simulati e assicura che gli obiettivi siano chiari e che gli scopi dell’esercizio siano raggiunti. Il leader del Red Team svolge anche un ruolo chiave nell’organizzazione delle attività, nell’analisi dei risultati e nella comunicazione. Gli esperti all’interno del Red Team hanno differenti specializzazioni che possono essere suddivise in:

  • Esperti di Sicurezza Informatica: I membri principali del Red Team sono esperti di sicurezza informatica con diverse specializzazioni. Questi professionisti hanno conoscenze approfondite di reti, sistemi operativi, applicazioni web, crittografia, vulnerabilità comuni e tecniche di hacking etico. Possono essere certificati in sicurezza informatica e avere esperienza pratica nel rilevamento e nell’approfondimento delle minacce;
  • Esperti di Ingegneria Sociale: Gli esperti di ingegneria sociale sono particolarmente abili nell’arte di manipolare le persone per ottenere informazioni riservate o ottenere l’accesso a sistemi. Questi membri del Red Team sono addestrati a condurre attacchi di phishing, telefonici o di persona per testare la vulnerabilità umana. Sanno come sfruttare la psicologia umana per ottenere informazioni o accesso non autorizzato;
  • Esperti di Sicurezza Fisica: La sicurezza fisica è un aspetto importante delle attività di Red Teaming. Gli esperti di sicurezza fisica sono responsabili di valutare la vulnerabilità degli edifici, delle strutture e dei sistemi di controllo degli accessi. Possono cercare di superare le barriere fisiche, come porte blindate o sistemi di allarme, per testare la sicurezza di un’organizzazione;
  • Esperti di Analisi delle Minacce: Gli esperti di analisi delle minacce sono incaricati di monitorare e analizzare il panorama delle minacce attuale. Questi professionisti mantengono aggiornate le conoscenze sulle tattiche, le tecniche e le procedure utilizzate dagli attaccanti reali. Queste informazioni guidano la pianificazione degli attacchi simulati per assicurarsi che siano realistici e attuali;
  • Esperti di Sicurezza Applicativa: Gli esperti di sicurezza applicativa sono focalizzati sulla valutazione della sicurezza delle applicazioni software. Possono esaminare applicazioni web, applicazioni mobili o software personalizzato per identificare vulnerabilità come le injection di SQL, le cross-site scripting (XSS) e altro. Questi membri del team sono fondamentali per identificare rischi legati alle applicazioni;
  • Esperti di Sicurezza delle Reti: Gli esperti di sicurezza delle reti si concentrano sull’analisi e sulla valutazione delle reti informatiche. Possono condurre test di penetrazione delle reti, individuare punti di ingresso potenziali e valutare la robustezza delle misure di sicurezza di rete. La comprensione delle reti è cruciale per identificare e mitigare le minacce;
  • Esperti di Conformità e Normative: La conformità alle normative è importante per molte organizzazioni. Gli esperti di conformità e normative nel Red Team valutano se un’organizzazione rispetta le leggi e i regolamenti relativi alla sicurezza delle informazioni. Possono valutare se le politiche e le procedure dell’organizzazione sono allineate alle normative e possono identificare potenziali violazioni.

In sintesi, un Red Team è composto da una squadra diversificata di esperti di sicurezza con competenze specializzate. Questi professionisti lavorano insieme per identificare vulnerabilità, condurre test realistici e fornire raccomandazioni per migliorare la sicurezza di un’organizzazione. La diversità delle competenze all’interno del team consente una valutazione completa della sicurezza sia informatica che fisica.

Gli obiettivi del Red Team

Come abbiamo già detto in precedenza, l’obiettivo del Red Team non è trovare delle vulnerabilità all’interno dell’organizzazione, ma bensì rilevarle per poterle mettere a posto prima che un ipotetico malintenzionato le possa sfruttare.

Generalmente, le responsabilità che rientrano nell’ambito del Red Team sono le seguenti:

  1. Simulare Attacchi Realistici: gli esperti del Red Team cercano di emulare le tattiche, le tecniche e le procedure (TTPs) degli attaccanti reali. Questo può includere l’uso di tecniche di hacking ma anche di ingegneria sociale, come ad esempio lo spear phishing, tailgating, e altre tattiche utilizzate dai malintenzionati per ottenere accesso a un’organizzazione;
  2. Valutare le Difese: gli esperti del Red Team esaminano attentamente le misure di sicurezza esistenti, inclusi firewall, sistemi di rilevamento delle intrusioni, filtri anti malware e controlli di accesso fisico. L’obiettivo è identificare eventuali vulnerabilità o falle nella difesa dell’organizzazione.
  3. Fornire Feedback e Miglioramenti: Dopo aver condotto le attività di test, i Red Teamers forniscono dei feedback dettagliati all’organizzazione che riportano i vettori di attacco e i punti di miglioramento. Questo feedback include una relazione sulle vulnerabilità rilevate, le metodologie utilizzate e le raccomandazioni per migliorare la sicurezza.

Tipologie di attacchi di ingegneria sociale

Abbiamo molto parlato degli attacchi di penetration test finalizzati a irrompere all’interno di una rete o infrastruttura IT cercando di accedere a risorse o dati sensibili. Pertanto in questo articolo non ci soffermeremo su questa tecnica ampiamente illustrata, rimandandovi ai nostri precedenti articoli accessibili nella rubrica “alla scoperta della sicurezza informatica”.

In questo capitolo invece andremo ad esplorare le tipologie di attacco che possono essere utilizzate all’interno del Red Team che si basano sull’ingegneria sociale. Di seguito una serie di attacchi che sfruttano l’ingegneria sociale:

  • Phishing: Il phishing è uno degli attacchi di ingegneria sociale più diffusi e noti. In questo tipo di attacco, gli aggressori inviano messaggi, generalmente e-mail, che sembrano provenire da fonti affidabili, come istituti bancari, aziende o organizzazioni governative. Questi messaggi contengono spesso link fraudolenti o allegati dannosi che inducono le vittime a rivelare informazioni personali, come password, numeri di carta di credito o dati bancari. Il phishing può anche mirare a installare malware sui dispositivi delle vittime;
  • Spear Phishing: Il spear phishing è una variante più mirata del phishing. In questo caso, gli aggressori personalizzano gli attacchi per specifiche vittime o organizzazioni, raccogliendo informazioni dettagliate su di loro attraverso ricerche online o social engineering. Gli attacchi di spear phishing sono più convincenti perché contengono spesso informazioni personali o dettagli specifici noti solo alle vittime. Ciò aumenta la probabilità che le vittime cadano nell’inganno;
  • Pretesto: Gli attacchi di pretesto coinvolgono l’uso di un pretesto o di una scusa per ottenere informazioni sensibili o l’accesso a un’area protetta. Ad esempio, un aggressore potrebbe fingersi un tecnico dell’assistenza informatica o un dipendente dell’organizzazione per richiedere l’accesso a sistemi o informazioni riservate. Questo tipo di attacco sfrutta la cortesia o la mancanza di consapevolezza delle vittime;
  • Baiting: L’attacco di Baiting coinvolge l’offerta di qualcosa di attraente, come un download gratuito di software, musica o film, per attirare le vittime. Tuttavia, il download proposto contiene del malware o un virus che infetta il dispositivo della vittima una volta eseguito. Questo tipo di attacco sfrutta la curiosità delle persone e li induce a effettuare azioni rischiose;
  • Ingegneria Sociale Telefonica: L’ingegneria sociale telefonica coinvolge l’uso del telefono per manipolare le persone e ottenere informazioni sensibili. Gli aggressori possono fingersi rappresentanti di servizi, organizzazioni o autorità e convincere le vittime a fornire informazioni personali o finanziarie. Questo tipo di attacco richiede una buona abilità comunicativa e la capacità di convincere le vittime al telefono;
  • Dumpster Diving: Il Dumpster Diving è una tecnica di ingegneria sociale che coinvolge la ricerca di informazioni sensibili o rifiuti in luoghi fisici, come cassonetti della spazzatura o contenitori di riciclaggio. Gli aggressori cercano documenti, schede, vecchi dispositivi o altri oggetti che possono contenere dati sensibili o utili per un attacco successivo. Questa tecnica può sembrare rudimentale, ma può rivelarsi sorprendentemente efficace.
  • Elicitation: L’elicitation coinvolge la manipolazione delle persone attraverso conversazioni e interazioni sociali per ottenere informazioni. Gli aggressori possono fare domande apparentemente innocue o condurre conversazioni per far emergere dettagli utili. Questo tipo di attacco sfrutta la tendenza naturale delle persone a condividere informazioni;
  • Tailgating: Il tailgating è una tecnica di ingegneria sociale in cui un aggressore segue da vicino un dipendente autorizzato per ottenere accesso a un’area protetta. L’aggressore si finge di appartenere all’ambiente circostante e può approfittare della cortesia o della fiducia delle persone per ottenere l’ingresso. Questa tecnica si basa sulla capacità di superare i controlli di accesso fisico senza attirare sospetti;
  • Impersonation: Nel caso dell’impersonation, gli aggressori si fingono essere qualcun altro, spesso una figura di autorità o un membro dell’organizzazione, per ottenere l’accesso o le informazioni desiderate. Possono adottare identità false e utilizzare uniformi o distintivi per sembrare credibili. Questa tecnica sfrutta la fiducia delle vittime nell’autorità rappresentata;
  • Quizzes e Sondaggi Fraudolenti: Gli aggressori possono utilizzare quiz o sondaggi fraudolenti su social media, siti web o e-mail per raccogliere informazioni sensibili o personali dalle vittime. Spesso, questi sondaggi richiedono alle vittime di rispondere a domande personali o di fornire dettagli come il proprio nome completo, la data di nascita o altre informazioni che possono essere utilizzate per scopi malevoli;
  • Phishing via SMS (Smishing): Anche noto come smishing, questo tipo di attacco utilizza messaggi SMS fraudolenti per indurre le vittime a rivelare informazioni personali o a cliccare su link dannosi. Gli aggressori si fanno passare per organizzazioni legittime o istituti finanziari e cercano di convincere le vittime a condividere dati sensibili o ad accedere a siti web compromessi;
  • Social Engineering Online: L’ingegneria sociale online coinvolge l’uso di social media e piattaforme di comunicazione online per ottenere informazioni o manipolare le vittime. Gli aggressori possono creare profili falsi o utilizzare tattiche di persuasione per convincere le persone a rivelare dettagli personali o finanziari oltre ad utilizzare strumenti di cyber theat intelligence per arrivare ad isolare informazioni su uno specifico soggetto.

Queste sono solo alcune delle tipologie di attacchi di ingegneria sociale che gli aggressori possono utilizzare per ottenere accesso a informazioni sensibili o compiere azioni dannose.

È importante essere consapevoli di queste minacce e adottare misure di sicurezza adeguate per proteggere se stessi e le proprie informazioni. La formazione, la consapevolezza e l’adozione di politiche di sicurezza robuste sono fondamentali per mitigare il rischio di cadere vittima di questi attacchi.

Red vs Blue

Nel contesto della sicurezza informatica, il confronto tra il Red Team e il Blue Team rappresenta un elemento chiave per l’ottimizzazione delle misure di sicurezza. Questi due team operano in modo diametralmente opposto ma complementare, e la loro collaborazione è fondamentale per garantire una solida postura di sicurezza per un’organizzazione.

Il Red Team: Il Red Team – come abbiamo visto – è la componente aggressiva dell’equazione. È composto da specialisti in sicurezza informatica che cercano di penetrare l’ambiente di un’organizzazione utilizzando una vasta gamma di tecniche e tattiche simili a quelle degli hacker reali. Ecco alcune delle principali attività del Red Team.

Il Blue Team: spesso coincidente con il Security Operation Center SOC, rappresenta la difesa dell’organizzazione. È composto da analisti di sicurezza, ingegneri, e altri professionisti che lavorano per proteggere l’ambiente IT. Le principali responsabilità del Blue Team includono:

  • Monitoraggio e rilevamento delle minacce: Il Blue Team sorveglia costantemente l’ambiente IT per identificare comportamenti sospetti e attività anomale.
  • Risposta agli incidenti: Quando viene rilevata una minaccia, il Blue Team interviene per mitigare l’incidente e ripristinare la sicurezza.
  • Protezione proattiva: Implementa misure preventive, come firewall, antivirus, e patch di sicurezza, per ridurre il rischio di intrusione.
  • Analisi forense: Il Blue Team analizza gli incidenti di sicurezza per comprendere come sono avvenuti e come prevenirli in futuro.

Il Purple Team: Il Purple Team è una concetto relativamente nuovo che si concentra sulla collaborazione tra il Red Team e il Blue Team. Questi due team si riuniscono costantemente e effettuano brainstorming e analisi per migliorare le proprie attività. Sostanzialmente, nel Purple Team si condividono conoscenze, esperienze e le migliori pratiche generando un ciclo continuo di miglioramento (continuous improvement), che permette di affinare e migliorare le tecniche e tattiche di attacco e di risposta e quindi, migliorare le difese dell’organizzazione

Conclusioni

Il Red Team gioca un ruolo vitale nel mondo della sicurezza di una azienda, fungendo da forza antagonista per testare e migliorare le difese di un’organizzazione. Questi esperti di sicurezza, agendo come hacker etici, mettono alla prova i sistemi, le applicazioni e le infrastrutture alla ricerca di vulnerabilità e debolezze.

Le attività del Red Team non si limitano solo a individuare falle di sicurezza, ma spesso includono anche la simulazione di attacchi realistici per valutare la preparazione e la risposta del Blue Team. Questo approccio consente alle organizzazioni di identificare le aree in cui devono concentrare gli sforzi di sicurezza per mitigare le minacce informatiche.

È importante notare che il successo del Red Team dipende dalla collaborazione con il Blue Team. Mentre il Red Team cerca di scoprire vulnerabilità, il Blue Team è responsabile della difesa attiva e della risposta agli incidenti. Insieme, questi due team lavorano in sinergia per rafforzare la sicurezza complessiva dell’organizzazione.

Il Red Team non è una minaccia, ma un alleato nell’incessante lotta contro le minacce informatiche. Le organizzazioni che investono nel Red Teaming dimostrano un impegno per la sicurezza e un desiderio di rimanere un passo avanti rispetto agli attaccanti. In un mondo digitale in cui le minacce continuano a evolversi, il Red Team è uno strumento prezioso per mantenere la sicurezza dei dati e delle risorse informatiche.

Massimiliano Brolli
Responsabile del RED Team di TIM S.p.a. e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali in Telecom Italia che vanno dal ICT Risk Management all’ingegneria del software alla docenza.