(di Paolo Sardena e Giuliano Tomiazzo)
Pur senza ricorrere all’uso di statistiche e percentuali, possiamo dire che l’ultimo lustro è stato per la cyber security un periodo di un’intensità senza precedenti: i cyber criminali, hanno iniziato a fare sul serio percependo la concreta opportunità di un facile guadagno.
Fattore abilitante a questa ondata criminale è stata sicuramente l’evoluzione tecnologica che in poco tempo ha cambiato l’assetto digitale delle organizzazioni. Gli incentivi per l’Industria 4.0, le misure adottate per convivere con la pandemia, hanno accelerato il processo di digitalizzazione dell’intera società.
Per il settore finanziario si sono aperte opportunità evolutive grazie all’adozione del modello Open Banking e le iniziative volte a massimizzare la Customer Experience. Inoltre, la relazione commerciale che ha avvicinato banche e assicurazioni, con la rivendita di servizi le une delle altre, ha contribuito ad aumentare il livello di complessità e con esso il livello di vulnerabilità dell’intero ecosistema.
Una conseguenza diretta di questa situazione, è stato l’aumento della frequenza e della facilità con cui le organizzazioni vengono quotidianamente colpite da attacchi cyber, rendendo palese l’inefficacia di un modello di difesa mai messo in discussione.
In questi ultimi anni, però, sta emergendo un nuovo approccio alla cyber security contrapposto ad una visione prettamente difensiva. Questo approccio consente di colmare il gap tra quella che è la sicurezza percepita e la sicurezza reale.
Si tratta dell’utilizzo del Red Team come vero e proprio modello di esercitazione, identificando una squadra specializzata amica deputata a simulare un attore avverso. In questo modo viene mettesso in discussione lo status quo e derivandone appropriate azioni correttive.
Il Red Team, infatti, opera secondo un mandato preciso ovvero:
- mettere in discussione le scelte fatte da altri
- trovare evidenze e prove contrarie alla tesi scelta
- essere in disaccordo per mandato
Il Red Team è specificamente pensato per superare i blind spot mentali e i pregiudizi di cui le aziende e le persone rimangono vittima quando prendono decisioni importanti o cercano di risolvere problemi complessi.
L’applicazione di questo approccio alla cyber security è, probabilmente, l’innovazione principale che abbiamo visto nel settore da molto tempo a questa parte. Tale approccio inserisce nell’equazione il fattore più importante tra tutti: il punto di vista di chi attacca. Privo della retorica, dei preconcetti e dell’umana reticenza al mettersi in discussione, che troppo spesso impediscono a chi difende di prendere le adeguate decisioni.
Infatti, la Banca Centrale Europea (BCE) lo scorso 2018 ha disegnato un framework per l’esecuzione di attività di Red Team in ambito cyber e ne caldeggia l’utilizzo verso tutti gli stati dell’Unione Europea.
Il framework in questione è il TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), recepito dalla Banca d’Italia, IVASS e Consob lo scorso agosto.
Il framework TIBER è parte integrante del regolamento europeo per il settore finanziario DORA: Digital Operational Resilience Act, entrato in vigore quest’anno e che diventerà attuativo a partire dal gennaio 2025.
Il Red Team è una forma di esercitazione che si presta ad essere declinata in diverse modalità. A prescindere dal metodo scelto gli obiettivi finali di questo tipo di esercitazione sono:
- Verificare la capacità di rilevare (Detect) e reagire (React) ad un reale attacco informatico e dove necessario migliorarla.
- Identificare vulnerabilità critiche su: Infrastruttura, Persone, Processi e Organizzazione, per definire un piano di rientro basato sul rischio reale
- Valutare le conseguenze che un attacco cyber potrebbe avere sul business aziendale e darne evidenza al management.
- Aumentare preparazione del Blue Team tramite la condivisione di informazioni
- Allenare l’azienda a reagire efficacemente in uno scenario di crisi.
Red Team Business Oriented
L’obiettivo finale è quello di capire, rispetto alla postura di sicurezza dell’azienda se un Threat Actor esterno, riesca a creare un reale danno di business, non tanto l’identificazione esaustiva di vulnerabilità tecnologiche e di processo.
Oggetto dell’attacco, quindi, è l’organizzazione nella sua interezza, fatta di tecnologia, persone, processi e sedi fisiche.
Questo tipo di simulazione pone pochi limiti all’attaccante. L’obiettivo è di rappresentare una situazione quanto più verosimile, immaginando di trovarsi nel momento esatto in cui un criminale decide di attaccare un’azienda.
Proprio per questo si opera in un regime cosiddetto Double BlackBox dove, l’attaccante non riceve alcuna informazione propedeutica sul target. Allo stesso modo l’azienda stessa, ad eccezione di un ristrettissimo numero di persone (White Team), non deve essere a conoscenza della simulazione in corso. In questo modo otterremo un contesto operativo dove l’attaccante si trova esattamente nelle stesse condizioni di un agente di minaccia esterno. Di contro, l’azienda reagirà all’attacco come se si trattasse di una situazione reale.
In questo modo si può capire, senza alibi, se i presidi di difesa introdotti funzionano come atteso in caso di necessità.
Questo tipo di simulazione, pur senza arrecare danni all’azienda, deve riprodurre l’intero processo di attacco:
Fig. 1 – IMQ Intuity: fasi di un attacco cyber, simulate durante un esercizio di Red Teaming
Red Team Scenario Based
Se nel caso precedente, l’oggetto dell’attacco è l’intera organizzazione, il Red Team basato su scenari si focalizza e approfondisce uno specifico contesto che rappresenta un’area di rischio significativo sul quale l’azienda vuole avere maggiore chiarezza.
Uno scenario può essere, ad esempio, l’apertura di una filiale, l’attivazione di un nuovo processo di business, la simulazione di un consulente malintenzionato che si trovi in azienda.
Tipicamente uno scenario viene definito dai seguenti parametri:
SCENARIO: situazione da simulare
Obiettivi da raggiungere (Flag): quali sono le condizioni per cui la simulazione si considera terminata.
Starting Point: la condizione operativa in cui si trova l’attaccante
Test previsti: quali test si prevede di realizzare
Anche in questo caso, l’attaccante deve mantenere un approccio creativo tenendo in considerazione tutti gli elementi possibili che possano, anche indirettamente, diventare fattori di rischio rilevanti, ad esempio, il fattore umano, le iterazioni con altri processi aziendali, la connessione verso entità esterne.
Red Team Adversary Simulation
in questo caso la simulazione si focalizza su specifici TTP (Tattiche, Tecniche e Procedure) ed ha l’obiettivo di verificare puntualmente la solidità aziendale nei confronti delle più comuni metodologie utilizzate dai Cyber Threat Actors.
L’attività si prefigge i seguenti obiettivi:
- Verificare l’efficacia dei controlli implementati nei confronti di specifiche metodologie di attacco.
- Documentare le fasi della simulazione in modo dettagliato, rendendo facilmente riproducibile l’intero processo
Questo tipo di esercitazione, diversamente dalle precedenti, non ha l’obiettivo di riprodurre una situazione reale. È paragonabile piuttosto ad un test di laboratorio, dove si cerca di verificare puntualmente la reazione difensiva ad una serie di azioni ben precise e pre-codificate.
Questa modalità risulta particolarmente adatta ad essere eseguita in un ambiente di sviluppo e per test ricorrenti in quanto facilmente documentabile e riproducibile tramite script.
Per massimizzare il beneficio per l’azienda, così come previsto anche dal framework TIBER, è opportuno organizzare periodicamente delle sessioni di Purple Team, ovvero, dei momenti di confronto tra il Red Team ed il Blue Team (inteso in senso allargato ad includere anche fornitori esterni se necessario). Durante le sessioni si ripropongono a carte scoperte assieme al gruppo preposto alla difesa aziendale, tutte le azioni di attacco eseguite e che hanno sortito un effetto inatteso.
In questo modo si innesca un circolo virtuoso, di cui il beneficiario è l’azienda, dove la azioni del Red Team vanno a migliorare il Blue Team e viceversa. Lo spirito del Purple Team deve essere collaborativo e deve essere percepito da tutti i partecipanti come un confronto costruttivo e non come uno scontro tra le parti.
Fig. 2 – IMQ Intuity: le differenti tipologie di Red Team e loro principali caratteristiche
Per maggiori informazioni sul Rapporto CERTFin https://www.abilab.it/tutti-report