Red Team services
Il servizio di Red Team nella cybersicurezza va oltre una semplice auditoría.
Simuliamo attacchi reali, eseguiti da hacker etici, per mettere alla prova la resilienza della tua infrastruttura. Ci infiltriamo come farebbero i cybercriminali, ma con un obiettivo molto chiaro: scoprire le tue vulnerabilità prima che lo facciano i criminali informatici.
Richiedere maggiori informazioni:
Servizi di Red Teaming
La missione del Red Team, nella sicurezza informatica, è quella di simulare un agente esterno sponsorizzato che effettui un accesso non autorizzato ai sistemi aziendali ottenendo, oltre alla classica intrusione, la persistenza nel tempo, l'escalation dei privilegi sui sistemi aziendali e persino l'alterazione e il furto di informazioni aziendali strategiche.
Durante la loro esecuzione, i servizi del Red Team valutano continuamente le capacità di rilevamento e risposta del team di sicurezza (Blue Team) in caso di un incidente di sicurezza, simulando le azioni di un attore ostile e mettendo alla prova le difese contro un attacco reale.
Gli scenari di attacco possono essere progettati e guidati dall'intelligence sulle minacce, come definito dal framework TIBER e DORA, conferendo a questi esercizi un maggiore realismo.
Vantaggi dei servizi di Red Team
I servizi di Red Team aiutano a rilevare e contenere un'intrusione nelle fasi iniziali. In questo modo si eviterà il furto di informazioni strategiche e l'interruzione delle normali operazioni aziendali. Questo obiettivo è raggiunto in modo graduale attraverso:
Individuazione delle debolezze trasversali dell'azienda.
- Verifica l'impatto reale di un cyberattacco contro la tua azienda eseguendo esercizi di cybersicurezza offensivi guidati da un team di intelligence sulle minacce.
Miglioramento e rafforzamento delle procedure di risposta
- Aiuta una rapida evoluzione delle capacità del team difensivo, permettendo di affrontare in modo più efficace situazioni reali che potrebbero presentarsi in futuro.
Miglioramento dei sistemi di monitoraggio
- Evidenzia quali attività sospette non sono state rilevate dai sistemi di monitoraggio, identificando e risolvendo debolezze nel processo di rilevamento e analisi degli eventi.
Formazione del personale di sicurezza
- Forma il personale di sicurezza a rispondere a incidenti reali analizzando dettagliatamente l'intrusione in sessioni di lavoro congiunte tra il team offensivo e quello difensivo.
Come viene eseguito il servizio di Red Team
Il team di BlackArrow progetta uno scenario di attacco completo, definendo il punto di partenza e le tappe da raggiungere durante l'esecuzione dell'intrusione, e lo realizza senza la conoscenza del team di cybersecurity dell'azienda.
- Identificazione degli asset: Scopriamo e mappiamo asset, applicazioni e tecnologie utilizzate.
- Simulazione di attacchi reali: Identifichiamo vulnerabilità ad alto impatto e le testiamo per vedere come le difese risponderebbero a diversi tipi di minacce.
- Miglioramento continuo:Non solo rileviamo le falle, ma offriamo soluzioni specifiche per rafforzare la sicurezza mentre avanziamo nell'intrusione e nella persistenza nella rete.
- Adattamento alle normative: Aiutiamo la tua azienda a conformarsi alle regolamentazioni e agli standard di sicurezza richiesti dal settore, migliorando la sua cyber resilienza.
Dall'accesso perimetrale alla simulazione di ransomware
Scenari del Red Team
Definizione di scenari Red Team per simulare attori o dipendenti malintenzionati, attaccanti remoti o simulazioni di ransomware.
Le aziende sono continuamente esposte ad attori o avversari maligni che possono generare rischi in vari modi. In questo contesto, il nostro Red Team simula attori o avversari malintenzionati alla ricerca di un particolare obiettivo. Questo è noto come scenario di red team.
La tabella seguente illustra alcune alternative che potrebbero essere utilizzate per definire degli esempi rappresentativi di scenari per un'esercitazione Red Team:
Atore maligno
- Attaccante da remoto
- Collaboratore compromesso
- Dipendente scontento o compromesso
- Concorrente
- Attivista / Terrorista
- Altri Attori Maligni che potrebbero essere concordati con il Cliente
Vettore di intrusione
- Sfruttamento delle vulnerabilità
- Ingegneria sociale (incluso il phishing)
- Indovinare la password
- WIFI or Ethernet
- Accesso remoto o VPN
- Informazioni trapelate (che potrebbero includere gli account dell’utente)
Obiettivi
- Elevazione dei privilegi
- Compromissione di obiettivi (ERP, Tesoreria, OT, SCADA, ecc.)
- Ransomware
- Ottenere informazioni sensibili
- Filtrare/manipolare/sabotare i prodotti (software, brevetti, ecc.)
- Forzare dei pagamenti non autorizzati
- Qualsiasi altro obiettivo concordato con il Cliente
Esempi di scenari del Red Team
Come nel caso di un vero Attore Maligno, i servizi del Red Team possono ipotizzare molteplici scenari per massimizzare il successo dell'esercitazione.
Pertanto, definendo gli attori e gli obiettivi dannosi più rilevanti, è possibile definire un particolare scenario Red Team che rappresenti un attacco reale. I seguenti scenari sono solo esempi rappresentativi di attacchi:
- "Un concorrente che utilizza un account di un utente compromesso con l'obiettivo di accedere a informazioni sensibili (brevetti)".
- "Un attivista che cerca di sfruttare una vulnerabilità per accedere all'infrastruttura SCADA per eseguire attività di sabotaggio".
- "Un dipendente scontento collabora con terzi per effettuare un pagamento non autorizzato".
- "Un'azienda collaboratrice, con accesso a determinati servizi aziendali, viene compromessa e facilita la diffusione del ransomware al proprio cliente"
Simulazione di ransomware
L'elenco precedenmente menzionato potrebbe essere infinito e qualsiasi scenario realistico puo essere riprodotto nell'ambito di uno scenario Red Team.
Se è vero che il´servizio di Red Team va ben oltre la realizzazione di un singolo scenario Red Team, la simulazione di ransomware è uno scenario che ha acquisito un notevole appeal negli ultimi tempi. Poiché gli attacchi ransomware diventano sempre più frequenti e sofisticati, le organizzazioni stanno aumentando gli sforzi per affrontare un potenziale attacco ransomware. Di fatto, un'organizzazione dovrebbe essere in grado di rispondere senza dubbi alle seguenti domande:
- La mia organizzazione è pronta a resistere a un attacco ransomware?
- I miei livelli di difesa sono pronti a identificare, contenere e recuperare un attacco ransomware mirato?
- La mia organizzazione ha avuto l'opportunità di sperimentare o imparare dagli attacchi ransomware?
Resistere a un attacco ransomware
Nel caso in cui una qualsiasi delle domande di cui sopra sia negativa, si consiglia di condurre uno Scenario Red Team basato sulla Simulazione Ransomware. Per questo caso particolare suggeriamo la realizzazione delle seguenti due fasi:
- Scenario Red Team: svolgimento delle attività incluse in un esercizio di simulazione Ransomware end-to-end.
- Gap-Analysis: un consulente analizza la risposta fornita dai livelli difensivi dell'organizzazione, in termini di rilevamento, contenimento e recupero degli asset durante lo scenario Red Team, con l'obiettivo di identificare possibili migliorie.
Perché il nostro servizio è diverso?
Il nostro Red Team esegue esclusivamente esercizi di Red Team. Simula attori di minaccia o avversari con l'obiettivo di ottenere accesso non autorizzato alle risorse aziendali, e lavoriamo a stretto contatto con i nostri team di Threat Hunting e Threat Intelligence per migliorare le nostre capacità.
RED TEAM LABS
Dal 0-day all'exploit
- Analisi delle tecnologie aziendali.
- Test avanzati di vulnerabilità sulle tecnologie aziendali.
- 0-day mirati.
- Exploit mirati.
RED TEAM INTEL
Ricognizione continua
- Attività di ricognizione su informazioni pubbliche.
- Identificazione di infrastrutture, servizi, applicazioni e potenziali fughe.
- Mantenimento dell'inventario per mappare le tecnologie con nuove vulnerabilità man mano che vengono pubblicate.
PERSISTENZA
APT proprietari
- Il nostro Red Team sviluppa i propri APT personalizzati (per Windows e Linux) che, oltre ad essere indetectabili dagli antivirus, dispongono di tecniche avanzate per consentire persistenza e controllo remoto.
TEAM DI PRIMO LIVELL
Esperti all'avanguardia
- Multiple vulnerabilità segnalate e accreditate in software ampiamente utilizzato, oltre a essere partecipanti attivi nella comunità CTF (primi classificati in eventi europei). Riconoscimento in rinomati programmi di "full disclosure".
Domande frequenti sul Red Team
Che cos'è un'esercitazione Red Team?
Un’esercitazione Red Team consiste nella progettazione e nell’esecuzione di un’operazione offensiva volta a simulare uno specifico attore maligno per testare i livelli difensivi di un’organizzazione, consentendo così di identificare non solo i rischi elevati e/o critici, ma anche di testare le effettive capacità di rilevamento e risposta dell’organizzazione
Qual è la differenza tra pentesting e Red Teaming?
Mentre un test di penetrazione è generalmente limitato a un particolare obiettivo e si concentra principalmente sul rilevamento delle vulnerabilità, un servizio Red Team non dovrebbe avere restrizioni rigide in termini di ambito, concentrandosi quindi principalmente sulla resilienza piuttosto che sulle vulnerabilità.
In questo contesto, l’esito di un’esercitazione Red Team rappresenta il grado di preparazione di un’organizzazione ad affrontare un determinato Attore Maligno.
Quanto dura un esercizio di Red Teaming?
Dipende dall’esercizio progettato. Mentre in genere un’esercitazione che parte da Internet, senza alcuna conoscenza preliminare dell’organizzazione target, può richiedere un minimo di 3 mesi per ottenere risultati rappresentativi della situazione reale degli strati difensivi, altre esercitazioni che possono iniziare con un certo livello di accesso alle risorse interne, possono richiedere un po’ meno tempo.
Vale la pena notare che le organizzazioni più mature tendono a stipulare contratti per operazioni continue di Red Team, consentendo così più esercitazioni di Red Team all’anno.
Un servizio Red Team potrebbe causare danni o interruzioni del servizio?
Come qualsiasi altro servizio offensivo, un’esercitazione del Red Team potrebbe innescare situazioni indesiderate, tra cui danni o interruzioni del servizio. Per questo motivo la gestione del rischio durante un’esercitazione Red Team è una componente critica che prevede non solo l’impiego di squadre estremamente esperte e precise, ma anche l’utilizzo di polizze assicurative in grado di coprire tali situazioni.
In che modo l'esercizio Red Team vs Blue Team può aiutare un'organizzazione?
Durante un’esercitazione di Red Team, la tecnologia, le procedure e il personale del Blue Team vengono testati, comprovando il funzionamento dei livelli difensivi.
Una volta completata l’esercitazione di Red Team, si possono organizzare sessioni di lavoro con il Blue Team per aiutare le organizzazioni a identificare le aree di miglioramento e condividere le esperienze per prepararsi al futuro.