Che cos'è il red teaming?

Autori

Evan Anderson

Chief Offensive Strategist — Randori

an IBM Company

Jim Holdsworth

Staff Writer

IBM Think

Matthew Kosinski

Staff Editor

IBM Think

Cos'è il red teaming?

Il red teaming è un processo che serve a testare l'efficacia della cybersecurity in cui gli hacker etici conducono un attacco informatico simulato e non distruttivo. L'attacco simulato aiuta le organizzazioni a individuare le vulnerabilità nel proprio sistema e ad apportare miglioramenti mirati alle operazioni di sicurezza.

Oggi, gli attacchi informatici si muovono più velocemente che mai. Secondo l'IBM X-Force Threat Intelligence Index, il tempo necessario per eseguire gli attacchi ransomware è diminuito del 94% negli ultimi anni, passando da 68 giorni nel 2019 a meno di quattro giorni nel 2023.

Le operazioni di red team offrono alle organizzazioni un modo per scoprire, comprendere e correggere in modo proattivo i rischi per la sicurezza prima che gli attori delle minacce possano utilizzarli. I red team adottano un punto di vista dell'aggressore, il che può aiutare a individuare le vulnerabilità legate alla sicurezza che i veri aggressori utilizzeranno con più probabilità.

L'approccio proattivo e dal punto di vista dell'aggressore di red teaming consente ai team che si occupano di sicurezza di rafforzare i propri sistemi di sicurezza e di proteggere i dati sensibili anche a fronte di un aumento delle minacce informatiche.

Newsletter Think

Il tuo team sarebbe in grado di rilevare in tempo il prossimo zero-day?

Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.

Come vengono condotti i test di red teaming?

Il lavoro di red teaming è un tipo di hacking etico in cui gli esperti emulano tattiche, tecniche e procedure (TTP) degli aggressori reali.

Gli hacker etici hanno le stesse competenze e utilizzano gli stessi strumenti degli hacker malintenzionati, ma il loro obiettivo è migliorare la sicurezza della rete. I membri di red team e gli altri hacker etici seguono un rigoroso codice di condotta. Ottengono il permesso dalle organizzazioni prima di hackerarli e non provocano alcun danno reale a una rete o ai suoi utenti.

Al contrario, i red team utilizzano invece simulazioni di attacco per capire come gli hacker malintenzionati possono causare danni reali a un sistema. Durante un'esercitazione di red teaming, i membri di red team si comportano come se fossero veri e propri avversari. Utilizzano varie metodologie di hacking, strumenti di emulazione delle minacce e altre tattiche per imitare aggressori sofisticati e minacce persistenti avanzate.

Questi attacchi simulati aiutano a stabilire quanto i sistemi di gestione del rischio di un'organizzazione (persone, processi e tecnologie) possano resistere e rispondere a diversi tipi di attacchi informatici.

Le esercitazioni di red team solitamente sono limitate nel tempo. Un test può durare da alcune settimane a un mese o più. Ogni test inizia in genere con la ricerca del sistema bersaglio, comprese le informazioni pubbliche, l'intelligenza open source e il riconoscimento attivo.

Successivamente, il red team lancia degli attacchi simulati contro vari punti della superficie di attacco del sistema, esplorando diversi vettori di attacco. Gli obiettivi più comuni includono:

Sistemi di AI e modelli di apprendimento automatico
Set di dati che supportano applicazioni AI e di apprendimento automatico (ML)
Stazioni di lavoro e dispositivi mobili
Sistemi crittografici
Sistemi di rilevamento e risposta degli endpoint (EDR)
Sistemi di rilevamento e risposta estesi (XDR)
Firewall
Sistemi di rilevamento delle intrusioni (IDS)
Sistemi di orchestrazione, automazione e risposta (SOAR)
Applicazioni web e server web

Durante questi attacchi simulati, i red team spesso affrontano i blu team, che hanno funzione di difesa del sistema. I red team tentano di aggirare le difese di blu team, osservando come lo fanno. Il red team registra anche tutte le vulnerabilità che rileva e cosa può fare con esse. 

Le esercitazioni di red teaming terminano con un documento finale, in cui il red team incontra i team IT e quello addetto alla sicurezza per condividere i risultati e formulare raccomandazioni sulla correzione delle vulnerabilità.

Strumenti e tecniche nelle attività di red teaming

Le attività di red team utilizzano gli stessi strumenti e le stesse tecniche utilizzate dai veri aggressori per testare le misure di sicurezza di un'organizzazione.

Alcuni degli strumenti e tecniche più comuni di red teaming includono:

Ingegneria sociale: utilizza tattiche come il phishing, lo smishing, il vishing, lo spear phishing e il whale phishing per ottenere informazioni sensibili o accedere ai sistemi aziendali da dipendenti ignari.
Test di sicurezza fisica: verifiche dei controlli di sicurezza fisica di un'organizzazione, compresi i sistemi di sorveglianza e gli allarmi.
Test di penetrazione delle applicazioni: verifica le app web per individuare i problemi legati alla sicurezza che derivano da errori di codifica, come ad esempio le vulnerabilità SQL injection.
Sniffing di rete: monitora il traffico di rete per ottenere informazioni su un sistema IT, come dettagli di configurazione e credenziali utente.
Contaminazione dei contenuti condivisi: aggiunge contenuti su un'unità di rete o su un'altra posizione di storage condivisa che contengono malware o altro codice pericoloso. Quando viene aperto da un utente ignaro, il codice dannoso viene eseguito, il che consente all'aggressore di muoversi lateralmente.
Credenziali di brute force: indovina sistematicamente le password provando le credenziali da precedenti violazioni, testando elenchi di password di uso comune o utilizzando script automatizzati.

Red teaming automatizzato continuo (CART)

Il red teaming può contribuire a rafforzare il livello di sicurezza organizzativo e promuovere la resilienza, ma può inoltre presentare serie sfide per i team addetti alla sicurezza. Due delle principali sfide sono il costo e la durata del tempo necessario per condurre un'esercitazione di red team.

In un'organizzazione tipica, gli impegni di red team tendono ad avvenire (nella migliore delle ipotesi) periodicamente, il che fornisce insight sulla cybersecurity dell'organizzazione in un determinato momento. Il problema è che il livello di sicurezza dell'azienda potrebbe essere elevato al momento del test, ma potrebbe non rimanere tale nel tempo.

Le soluzioni di red teaming automatizzato continuo (CART) consentono alle organizzazioni di valutare costantemente il livello di sicurezza in tempo reale. Le soluzioni CART utilizzano l'automazione per scoprire gli asset, assegnare priorità alle vulnerabilità e condurre attacchi utilizzando strumenti ed exploit sviluppati e mantenuti da esperti del settore.

Automatizzando gran parte del processo, CART può rendere il red teaming più accessibile e consentire ai professionisti della sicurezza di concentrarsi su test interessanti e innovativi.

Benefici del red teaming

Gli esercizi di red teaming aiutano le organizzazioni a ottenere il punto di vista di un aggressore sui propri sistemi. Questa prospettiva consente all'organizzazione di verificare con quale efficacia le sue difese resisterebbero a un attacco informatico reale.

Un attacco simulato contrappone i controlli di sicurezza, le soluzioni e persino il personale a un avversario dedicato ma non distruttivo per determinare cosa funziona o non funziona. Il red teaming può fornire a leader della sicurezza una valutazione realistica di quanto è sicura la loro organizzazione.

Il red teaming può aiutare un'organizzazione a:

Individuare e valutare le vulnerabilità sia nella superficie di attacco, ossia i punti in cui un sistema potrebbe essere penetrato, sia nei percorsi di attacco, i passaggi che potrebbero essere seguiti all'inizio di un attacco.
Valutare come gli attuali investimenti nella sicurezza, comprese le funzionalità di rilevamento, prevenzione e risposta alle minacce, si comportano rispetto alle minacce del mondo reale.
Individuare e prepararsi a rischi per la sicurezza precedentemente sconosciuti o imprevisti.
Assegnare priorità ai miglioramenti dei sistemi di sicurezza.

Red team, blue team e purple team a confronto

I red team, i blue team e i purple team collaborano per migliorare la sicurezza IT. I red team conducono attacchi simulati, i blu team assumono un ruolo difensivo e i purple team agevolano la collaborazione tra i due team.

Red team

I red team sono composti da professionisti della sicurezza che testano la sicurezza di un'organizzazione imitando gli strumenti e le tecniche utilizzate dagli aggressori del mondo reale.

Il red team tenta di aggirare le difese del blue team evitandone il rilevamento. L'obiettivo del team è capire in che modo una violazione dei dati o un'altra azione dannosa potrebbe avere successo contro un particolare sistema.

Blu team

I blu team sono team interni di sicurezza IT che difendono il sistema e i dati sensibili di un'organizzazione dagli aggressori, compresi i red team.

I blu team lavorano costantemente per migliorare la cybersecurity della loro organizzazione. Le loro attività quotidiane, tra cui il monitoraggio dei sistemi per rilevare i segnali di intrusione, l'indagine sugli allarmi e la risposta agli incidenti.

Purple team

I purple team non sono team separati, ma piuttosto rappresentano un processo di condivisione cooperativo che esiste tra i membri dei red team e dei blu team.

Sia i membri del red team, sia i membri del blu team lavorano per migliorare la sicurezza dell'organizzazione. Il ruolo del purple team è quello di incentivare una comunicazione e una collaborazione efficienti tra i due team e con gli stakeholder.

Il purple team propone spesso strategie di mitigazione e aiuta a consentire il miglioramento costante di entrambi i team e della cybersecurity dell'organizzazione.

Test di penetrazione e red teaming a confronto

Il red teaming e il test di penetrazione, chiamato anche "test di penetrazione", sono metodi distinti ma sovrapposti utilizzati per valutare la sicurezza del sistema.

Simili al red teaming, i test di penetrazione utilizzano tecniche di hacking per individuare le vulnerabilità sfruttabili in un sistema. La differenza fondamentale è che il red-teaming si basa di più sugli scenari.

Le esercitazioni di red team si svolgono spesso in un arco di tempo specifico e spesso vedono contrapposti in attacco un red team contro un blu team in difesa. L'obiettivo è emulare il comportamento di un avversario reale.

I pen test sono più simili a una valutazione di sicurezza tradizionale. I pen tester utilizzano diverse tecniche di hacking su un sistema o un asset per vedere quali funzionano e quali no.

I pen test possono aiutare le organizzazioni a individuare le vulnerabilità potenzialmente sfruttabili in un sistema. Il red teaming può aiutare le organizzazioni a capire come si comportano i sistemi, comprese le misure di difesa e i controlli di sicurezza, nel contesto degli attacchi informatici nel mondo reale.

Vale la pena notare che i pen test e i red teaming sono solo due dei modi in cui gli hacker etici possono contribuire a migliorare il livello di sicurezza organizzativo. Gli hacker etici potrebbero anche condurre valutazioni delle vulnerabilità, analisi del malware e altri servizi di sicurezza delle informazioni.

Report Cost of a Data Breach 2025

I costi delle violazioni dei dati non sono mai stati così elevati. Ottieni insight aggiornati sulle minacce alla cybersecurity e sul loro impatto finanziario sulle organizzazioni.