My IBM Accedi Iscriviti

In che modo il continuous automated red teaming (CART) può aiutarti a migliorare il tuo livello di cybersecurity

Tag

Protezione

16 agosto 2023

Tempo di lettura: 4 minuti

Non si tratta di sapere se un'organizzazione verrà compromessa, ma quando. Un hacker esperto, dotato di risorse adeguate e ben preparato potrebbe rivelarsi il tuo peggior incubo in termini di minacce informatiche. Fortunatamente, se la tua organizzazione si avvale di un red team, un hacker etico potrebbe rivelarsi il tuo migliore amico.

Eseguire test di red team è il modo più realistico per convalidare le difese, individuare vulnerabilità e migliorare la cybersecurity della tua organizzazione. Un coinvolgimento del red team offre al blue team la possibilità di valutare con maggiore precisione l'efficacia del proprio programma di sicurezza e apportare miglioramenti. È anche il modo in cui un numero sempre maggiore di organizzazioni introduce una mentalità incentrata sulla resilienza nella propria cybersecurity.

Scopri i vantaggi del red teaming, le differenze tra red e blu team e cos'è un purple team è nel mio precedente post sul blog, "Red teaming 101: What is red teaming?"

Perché i red team sono importanti nella cybersecurity

Nell'ambito dei test di sicurezza, i red team sono professionisti della sicurezza che interpretano i "cattivi" per testare le difese dell'organizzazione contro i difensori del blue team. 

Abili quanto i veri attori di minacce, i red team esplorano una superficie di attacco per trovare modi per ottenere l'accesso, trovare un punto di appoggio, muoversi lateralmente ed esfiltrare dati. Questo approccio è in contrasto con la metodologia alla base dei test di penetrazione (o pen testing), in cui l'attenzione è rivolta all'individuazione di informazioni sensibili o vulnerabilità di sicurezza sfruttabili e al test delle difese di cybersecurity per ottenere l'accesso ai controlli di sicurezza.

A differenza dei criminali informatici, i red teamer non intendono causare danni reali. Al contrario, il loro obiettivo è quello di esporre le lacune nelle difese della cybersecurity, aiutando i team di sicurezza a imparare e adattare il loro programma prima che si verifichi un attacco effettivo.

Come il red teaming aumenta la resilienza

Una famosa citazione afferma: "In teoria, teoria e pratica sono la stessa cosa. Nella pratica, non lo sono". Il modo migliore per imparare a prevenire e a riprendersi dagli attacchi informatici è fare pratica conducendo attività di red team. Altrimenti, senza la prova di quali tattiche di sicurezza stiano funzionando, è facile che le risorse vengano sprecate in tecnologie e programmi inefficaci.

È difficile dire cosa funziona davvero, cosa no, dove è necessario fare investimenti aggiuntivi e quali investimenti non valevano la pena finché non si ha l'opportunità di confrontarsi con un avversario che sta cercando di batterti.

Durante le esercitazioni del red team, le organizzazioni mettono a confronto i propri controlli di sicurezza, le difese, le pratiche e gli stakeholder interni con un avversario dedicato che organizza una simulazione di attacco. Questo è il vero valore delle valutazioni del red team. Forniscono ai responsabili della sicurezza una valutazione realistica della cybersecurity della loro organizzazione e informazioni su come gli hacker potrebbero sfruttare diverse vulnerabilità della sicurezza. Dopotutto, non si può chiedere all'autore di un attacco cosa non ha funzionato o cosa gli ha permesso di riuscire nel suo intento, quindi è difficile ottenere il feedback di cui si ha bisogno per valutare effettivamente il programma.

Inoltre, ogni operazione del red team crea un'opportunità di misurazione e miglioramento. È possibile ottenere un'idea generale del fatto che un investimento, ad esempio in strumenti di sicurezza, tester o formazione di sensibilizzazione, stia aiutando a mitigare varie minacce alla sicurezza.

I membri del team rosso aiutano anche le aziende a evolversi da una mentalità di ricerca e riparazione verso una mentalità di difesa categorica. Lasciare che gli aggressori si scatenino sulla sicurezza della tua rete può sembrare spaventoso, ma gli hacker stanno già provando ogni porta della tua infrastruttura di sicurezza. La soluzione migliore è trovare le porte aperte prima che riescano ad accedere.

Quando coinvolgere un team rosso

Si dice che esistano solo due tipi di aziende: quelle che sono state hackerate e quelle che saranno hackerate. Purtroppo, potrebbe non essere molto lontano dalla verità. Ogni azienda, indipendentemente dalle sue dimensioni, può trarre vantaggio dall'esecuzione di una valutazione di red teaming. Ma affinché il coinvolgimento di un red team offra il massimo vantaggio, un'organizzazione deve avere due cose:

  • Qualcosa da attuare (un programma di sicurezza in atto)
  • Qualcuno con cui eseguire la valutazione (difensori)

Il momento migliore per la tua organizzazione per coinvolgere i servizi del red team è quando desidera a rispondere a domande a livello di programma. Ad esempio, fino a che punto un aggressore che vuole esfiltrare dati sensibili può entrare nella mia rete prima di far scattare un allarme?

Il red teaming è anche una buona opzione quando il team di sicurezza vuole testare il suo piano di risposta agli incidenti o formare i membri del team.

Quando il solo red teaming non basta

Il red teaming è uno dei modi migliori per testare la sicurezza della tua organizzazione e la sua capacità di resistere a un potenziale attacco. Quindi, perché non sono molte le aziende che scelgono di farlo?

Per quanto vantaggioso sia il red teaming, negli ambienti frenetici e in continua evoluzione di oggi, il lavoro del red team può non essere in grado di rilevare modifiche distruttive non appena si verificano. Un programma di sicurezza è efficace solo quanto lo era l'ultima volta che è stato convalidato, il che comporta lacune nella visibilità e una maggiore propensione al rischio.

Creare un red team interno è costoso e poche organizzazioni sono in grado di dedicare le risorse necessarie. Per essere veramente efficace, un red team ha bisogno di un numero sufficiente di personale per imitare il livello di minaccia persistente e ben finanziato delle moderne bande di criminali informatici e degli attori statali. Un red team dovrebbe includere personale dedicato alle operazioni di sicurezza (o team secondari di hacking etico) per esercitazioni di targeting, ricerca e attacco.

Esistono diversi fornitori terzi che offrono alle organizzazioni la possibilità di appaltare servizi di red team. Si va dalle grandi aziende agli operatori specializzati in particolari settori o ambienti IT. Sebbene sia più facile appaltare i servizi di red team piuttosto che assumere personale a tempo pieno, questa scelta può essere più costosa, soprattutto se viene effettuata regolarmente. Di conseguenza, solo un piccolo numero di organizzazioni utilizza il red teaming abbastanza frequentemente da ottenere insight reali.

Vantaggi del continuous automated red teaming (CART) nella cybersecurity

Il Continuous Automated Red Teaming (CART) utilizza l'automazione per rilevare gli asset, definire la loro priorità e (una volta ottenuta l'autorizzazione) condurre attacchi reali utilizzando strumenti ed exploit sviluppati e gestiti da esperti del settore.

Grazie alla sua attenzione all'automazione, il CART consente di concentrarsi su test interessanti e innovativi, liberando i team dal lavoro ripetitivo e soggetto a errori che porta alla frustrazione e, in ultima analisi, al burnout.

CART ti offre la possibilità di valutare in modo proattivo e continuo il tuo livello di sicurezza complessivo a un costo ridotto. Rende il red teaming più accessibile e ti fornisce una visibilità aggiornata minuto per minuto sulle prestazioni delle tue difese.

Aumenta la resilienza della cybersecurity con IBM Security Randori

IBM® Security Randori offre una soluzione CART chiamata IBM Security Randori Attack Targeted, che aiuta a chiarire il rischio informatico testando e convalidando proattivamente il programma di sicurezza complessivo.

Lo studio The Total Economic Impact™ of IBM Security Randori di Forrester Consulting, commissionato da IBM nel 2023, ha riscontrato un risparmio di manodopera del 75% grazie all'aumento delle attività del red team.

La funzionalità della soluzione si integra perfettamente con o senza un red team interno esistente. Randori Attack Targeted offre anche insight sull'efficacia delle difese, rendendo la sicurezza avanzata accessibile anche alle organizzazioni di medie dimensioni.

Inizia con IBM Security Randori

Questo post sul blog fa parte della serie "All you need to know about red teaming" del team IBM Security Randori.

 

Autore

Evan Anderson

Chief Offensive Strategist — Randori

an IBM Company

Guarda il video per scoprire di più sul continuous automated red teaming (CART) Maggiori informazioni su IBM Security Randori Attack Targeted
Prodotti Trial delle soluzioni IBM Sconti Servizi Industrie Case study Inside IBM (US) Servizi finanziari Sviluppatori Business Partner Giornalisti Università e studenti IBM Consulting Supporto Trova un Business Partner IBM Client Center Carriere Newsroom Partecipa alla ricerca sull'esperienza utente Per gli investitori Corporate Responsibility in IBM (US) Informazioni IBM Segnalazioni Whistleblowing X LinkedIn Facebook YouTube Italia — Italiano Contatta Privacy Condizioni di utilizzo Accessibilità