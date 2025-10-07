Pubblicato: 18 dicembre 2023
Collaboratori: Teaganne Finn, Amanda Downie
Una squadra blu è un team di sicurezza IT interno che ha il compito di difendere la propria organizzazione da attacchi informatici, compresi quelli sferrati dalla squadra rossa, e migliorarne il livello complessivo di sicurezza.
Il compito dei "blu" è proteggere sempre le risorse di un'organizzazione, facendo leva su una forte comprensione degli obiettivi aziendali e lavorando costantemente per potenziare le misure di sicurezza dell'organizzazione.
Gli obiettivi della squadra blu sono i seguenti:
1. Identificare e mitigare vulnerabilità e potenziali incidenti legati alla sicurezza tramite l'analisi dell'impronta digitale e della risk intelligence.
2. Effettuare controlli di sicurezza regolari come DNS (domain name server), risposta agli incidenti e ripristino.
3. Formare tutti i dipendenti sulle potenziali minacce informatiche.
Il modo migliore per descrivere come funziona una "squadra blu" è paragonarla a una squadra di calcio. Il team blu è composto dagli addetti alla sicurezza informatica di una organizzazione, e costituisce la linea di difesa contro tutte le minacce potenziali, come ad esempio gli attacchi di phishing e le attività sospette. Uno dei primi passi del lavoro della squadra blu consiste nel capire la strategia di sicurezza dell'organizzazione e raccogliere i dati necessari a predisporre un piano di difesa da opporre agli attacchi sferrati nel mondo reale.
Prima di predisporre il piano di difesa, la squadra blu raccoglie tutte le informazioni relative alle aree che hanno bisogno di protezione ed effettua una valutazione dei rischi. Durante questo periodo di prove, la squadra identifica le risorse aziendali fondamentali e annota l'importanza di ciascuna, oltre ai controlli DNS e all'acquisizione di campioni di traffico di rete. Una volta completata l'identificazione delle risorse, la squadra blu procede a effettuare una valutazione dei rischi per identificare quali sono le minacce per ciascuna delle risorse, dove potrebbero annidarsi punti deboli o problemi di configurazione. Questo è analogo a quello che accade nel calcio, quando dopo la partita allenatore e giocatori analizzano le giocate fatte, cosa ha funzionato e cosa è andato storto.
Una volta completata la valutazione, il team blu mette in atto le misure di sicurezza, come la formazione approfondita dei dipendenti sulle procedure di sicurezza e il rafforzamento delle regole per le password; Nel calcio, questo significa creare nuovi schemi da provare per vedere come funzionano. Una volta predisposto il piano di difesa, il compito della squadra blu è posizionare dei tool di monitoraggio in grado di rilevare i segni di intrusione, indagare sugli avvisi e rispondere ad attività insolite.
Per cominciare a capire come proteggere una rete dagli attacchi informatici e rafforzare il livello di sicurezza complessivo, le squadre blu utilizzano una serie di contromisure e di strumenti di threat intelligence.
Un "blu" deve cercare costantemente potenziali vulnerabilità e testare le misure di sicurezza in essere contro minacce nuove ed emergenti. Di seguito sono riportate alcune delle competenze e degli strumenti che i membri di una squadra blu devono possedere e affinare.
Un "blu" deve possedere perlomeno una conoscenza basilare dei principali concetti della sicurezza informatica, come firewall, phishing, architetture di rete sicure, valutazioni delle vulnerabilità e modellazione delle minacce.
Inoltre, deve possedere una conoscenza approfondita dei sistemi operativi, come Linux, Windows e macOS.
È importante essere preparati quando e se si verifica un incidente. Un membro della squadra blu deve avere competenze nello sviluppo e nell'esecuzione di un piano di risposta agli incidenti.
Un membro della squadra blu deve essere abile nell'utilizzo di strumenti di sicurezza quali firewall e sistemi di rilevamento delle intrusioni/sistemi di prevenzione (IDS/IPS), oltre ai software antivirus e ai sistemi SIEM. I sistemi SIEM eseguono ricerche di dati in tempo reale per acquisire l'attività di rete. Inoltre, deve essere in grado di installare e configurare i software di sicurezza degli endpoint.
Una squadra blu viene costituita per concentrarsi sulle minacce di alto livello e deve essere estremamente precisa quando si tratta di tecniche di rilevamento e risposta.
Dopo aver creato una squadra blu solida e aver verificato le difese dell'organizzazione, è ora di passare all'azione. È qui che entra in gioco la squadra rossa, ovvero la squadra di attacco, che ha il compito di mettere alla prova la sicurezza della rete. La squadra rossa, in buona sostanza, è un gruppo di professionisti della sicurezza che agiscono come degli "hacker" etici indipendenti con lo scopo di valutare la sicurezza del sistema di un'organizzazione.
I rossi simulano le tattiche, le tecniche e le procedure (TTP) di un aggressore reale contro i sistemi dell'organizzazione, col fine di valutarne il rischio di sicurezza. Eseguendo delle prove di penetrazione, un'organizzazione può capire meglio in che modo il personale e i processi sono in grado di gestire un attacco alle proprie risorse. Nel corso di un attacco simulato i rossi possono anche distribuire del malware per mettere alla prova le difese di sicurezza approntate dai blu, oppure ricorrere all'ingegneria sociale per indurre con l'inganno i blu a condividere delle informazioni.
L'obiettivo principale della squadra rossa è fare in modo che un tester riesca ad aggirare le difese approntate dalla squadra blu senza essere scoperto. Le squadre rossa e blu sono legate da un rapporto simbiotico, poiché lavorano entrambe per lo stesso scopo ma con due approcci completamente diversi. Quando le due squadre lavorano assieme, si parla di "squadra viola". Man mano che emergono nuove tecnologie per migliorare la sicurezza, il compito dei blu è quello di tenersi informati e condividere ogni nuova informazione con i rossi.
Una volta che entrambe le squadre hanno completato gli esercizi e le prove, il passo successivo è la redazione di un rapporto sui risultati. Le squadre lavorano insieme per creare un piano e implementare i controlli di sicurezza necessari per proteggere l'organizzazione.
Le prove condotte dalla squadra blu apportano un enorme valore al rilevamento delle minacce dell'organizzazione. Per questo motivo è fondamentale creare un team dotato delle competenze necessarie per creare e gestire un sistema di sicurezza dotato di eccellenti capacità di reazione.
