Cybersecurity significa difendere i propri strumenti da eventi e da attacchi dannosi. Che si tratti di difendere computer, server, dispositivi mobili, sistemi elettronici e reti, attraverso le tecniche di sicurezza informatica e cybersecurity è possibile applicare protocolli e gestire le procedure rispetto a vari contesti che comprendono differenti categorie di azione.
Dalla sicurezza della rete, alla sicurezza delle applicazioni. Dal Penetration Test alle tecniche di red teaming. Il tutto per mantenere la sicurezza operativa e la sicurezza delle informazioni.
Nel determinare la migliore forma di azione resta fondamentale la gestione delle strategie interne di disaster recovery e business continuity, ovvero delle migliori attività tecniche con le quali gli it aziendali possono rispondere a un incidente di cybersecurity e ad ogni evento che determina una interruzione di attività. Qualunque sia la struttura della tua infrastruttura (es. Microsoft o open) è importante definire internamente il proprio piano di intervento e prevenzione.
Un’azienda che cerca delle soluzioni per valutare la propria sicurezza infrastrutturale probabilmente si imbatterà in due tipologie di servizi: il penetration testing ed il red teaming. Potrebbe capitare di poterne sentir parlare in modo intercambiabile: da un primo punto di vista si noterà che hanno parecchi punti in comune, tuttavia ci sono degli aspetti importanti che li differenziano.
Vediamo di capire bene sia cosa trattano queste metodologie, sia le loro differenza sostanziali.
Penetration Testing & Cybersecurity
Nel complesso panorama della cybersecurity, i Penetration Test sono diventati un “must” per la maggior parte dei settori e per molti di questi è richiesto dalla legge. Ne sono esempio organizzazioni sanitarie, finanziarie, aziende che accettano o elaborano carte di pagamento .
I test di penetrazione prendono di mira la rete, le applicazioni, i dispositivi, la sicurezza fisica della propria infrastruttura, cercando di scoprire una o più vulnerabilità informatiche. Un buon pentester ha lo scopo di identificare:
- il bersaglio di un attacco hacker
- la modalità di tale attacco
- come dovrebbero essere le tue difese
- come calcolare l’entità della violazione
Mentre i test automatizzati possono identificare solo alcuni problemi di sicurezza informatica, un buon test di penetrazione cerca di identificare vulnerabilità a livello di applicazione, a livello di rete e a livello di sistema, nonché le opportunità di compromettere anche le barriere di sicurezza fisiche.
Tutte le aziende sono a rischio, anche quelle che pensano di non avere dati e informazioni tali da giustificare l’investimento, in quanto potrebbero essere vittime di malware ed interruzioni di servizi.
Anche in presenza di una figura interna che controlla l’infrastruttura, un intervento di un estraneo dall’esterno potrebbe dare nuovi punti su cui intervenire.
Vuoi eseguire un Penetration Test in azienda? Scopri di più.
Il Red Team per la sicurezza informatica
A differenza del pentester, il quale porta a termine un servizio “one-shot”, ad esempio guadagnare accessi amministrativi o bucare la rete del cliente, il Red Team offre un servizio più a lungo termine, emulando si gli attacchi avversari coinvolgono più persone in modo da avere più strategie da mettere in campo ed interfacciandosi con il personale interno dell’azienda.
Generalmente il Red Team è utilizzato da strutture più grandi ma non è necessariamente la regola; inoltre, il Red Team prende di mira aspetti multipli quali i domini, l’infrastruttura, la rete, i social dell’azienda.
Altra caratteristica che differenzia i Penetration Test dal Red Team è che i Penetration Test generalmente comportano il lancio di strumenti e tecniche comuni su un bersaglio, mentre un Red Team colpiscono l’organizzazione con attacchi molto simili a quello che si aspetta di vedere dai loro avversari. Comporta quindi una costante innovazione in termini di strumenti, tecniche e procedure.
Le valutazioni del Red Team iniziano con la ricognizione per raccogliere quante più informazioni possibili sull’obiettivo (la nostra realtà aziendale) per conoscerne le persone, la tecnologia e l’ambiente in modo da poterne costruire l’identità e acquisire gli strumenti giusti per svolgere il lavoro.
Utilizzando software di intelligenza artificiale, i “red teamers” possono acquisire una comprensione più approfondita dell’infrastruttura, delle strutture e dei dipendenti per comprendere meglio l’obiettivo e le sue operazioni.
Ciò consente ulteriore potenziamento dell’attacco come la creazione di payload di file dannosi personalizzati, la preparazione di clonatori RFID, la configurazione di trojan hardware o la creazione di utenti o aziende falsificate.
Non da meno, il Red Team sfrutterà elementi di ingegneria sociale e l’impianto di trojan hardware per cercar di scovare punti deboli.
Cosa hanno in comune Penetration Test e Red Team
Occorre definire il contesto di azione per gestirne interscambiabilità e funzionalità. Nello specifico le tecniche possiedono alcune caratteristiche comuni:
- sono entrambi le metodologie più comunemente usate volte a scoprire delle falle nella propria azienda.
- cercano di simulare un attacco hacker volto a colpire uno o più aspetti della nostra organizzazione
- entrambi sono focalizzati sul risultato piuttosto che sulla copertura, quindi non sono progettati per dirti tutto ciò che non va nella vostra realtà, piuttosto per esporre i problemi specifici che hanno scoperto.
- entrambi dovrebbero essere utilizzati da clienti che hanno già superato più cicli di valutazione della vulnerabilità.
Differenze in termini di sicurezza
Rispetto alle tecniche di Red Team, il penetration testing offre una valutazione con tempistiche e modalità studiate e concordate per raggiungere un obiettivo specifico, ad esempio, rubare i dati dei propri clienti, ottenere accessi amministrativi al dominio aziendale oppure modificare informazioni sensibili sullo stipendio.
È una valutazione a lungo termine o continua nel tempo, basata sulla modalità che emula gli avversari nel mondo reale dell’azienda, per migliorare la qualità delle difese di sicurezza delle informazioni aziendali.
Consigli per la gestione tecnica dell’infrastruttura
Sia il Penetration Test che il Red Team si mascherano come un attaccante, si concentrano sui risultati che dovrebbero essere richiesti solo da clienti con una certa conoscenza della materia informatica.
I Penetration Test solitamente impegnano meno tempo, una o due settimane di attività, mentre gli Red Team dovrebbe rappresentare, se gestito correttamente, essere una collaborazione a lungo termine.
Il Red Team opera in più contesti attinenti all’azienda, rispetto alle attività di Penetration Test che risultano più dirette e mirate ad alcuni specifici settori.
Qualunque sia la scelta aziendale, è fondamentale definire un progetto che coinvolga differenti attori coinvolti nell’attività tecnica.
Se sei un responsabile informatico e vuoi implementare le migliori soluzioni per la gestione della tua sicurezza puoi richiedere informazioni circa le soluzioni più adatte sia per scoprire ed individuare in maniera preventiva eventuali falle di sicurezza nella tua azienda sia sui comportamenti da adottare per evitare rischi.
Fondamentale rimane la formazione degli utenti finali. Consolidato il fatto che uno degli aspetti più importanti in tema Cybersecurity è rappresentato dalle persone.
Il non rispettare le procedure di sicurezza determina la possibilità non remota di introdurre accidentalmente un virus in un sistema altrimenti sicuro.
Scopri il corso di Cybersecurity Awareness dedicato alla sensibilizzazione dei dipendenti per supportarli nell’adottare altri accorgimenti importanti, essenziali per la sicurezza della tua azienda.