Perché, almeno apparentemente, gli hacker sono sempre in vantaggio nel duello per la sicurezza aziendale? La ragione è piuttosto semplice ed ha poco a che fare con la tecnologia. Principalmente, infatti, lo si deve alla differenza di atteggiamento fra attaccante e difensore. La difesa è, per sua stessa natura, un ruolo conservativo, mentre chi attacca è, per necessità e opportunità, forzato a cercare e scoprire sempre nuove modalità, di intrusione nel caso della cybersecurity. Il red teaming nasce esattamente per questo: portare nell’analisi delle vulnerabilità, e quindi dalla parte della difesa, tecniche e modalità tipiche dell’attacco.
Definire il red teaming come la disciplina che effettua attacchi simulati a un sistema informatico è corretto, ma può risultare riduttivo. A differenza del penetration test (anch'esso cerca attivamente vulnerabilità, talvolta utilizzando pattern innovativi e meno noti) il red teaming si distingue per alcune caratteristiche chiave. Innanzitutto, il red teaming si estende su un periodo di tempo più lungo, spesso protratto per mesi, mentre il penetration test fornisce una fotografia precisa in un momento specifico. Inoltre, la superficie di attacco nel red teaming è molto più ampia, interessando l'intero sistema IT di un'azienda e permettendo movimenti tra diversi ambienti, come passare da una web app a una rete interna. Le tipologie di attacco nel red teaming sono quindi più variegate e possono includere tecniche come l'OSINT, il phishing e il social engineering, lasciando all'attaccante la scelta del metodo più efficace per compromettere il sistema. Lo scopo principale rimane quello di identificare vulnerabilità specifiche e di fornire al blue team, i difensori, un'area di addestramento realistica e complessa, preparandoli al confronto reale con attaccanti esterni. Volendo fare un paragone sportivo, il red teaming permette al blue team di fare sparring in attesa del combattimento vero e proprio.
Il principale vantaggio del red teaming è proprio quello di portare all’interno delle strategie difensive la variabilità e l’imprevedibilità che normalmente caratterizzano gli attaccanti. Un red team può, in base alle richieste dell’azienda, verificare se esista un percorso di attacco e simulare questa intera kill chain, impegnandosi esattamente come un attore esterno che abbia preso di mira gli asset aziendali. In un contesto in cui le potenziali aree di attacco sono in continua espansione anche secondo il World Economic Forum, la capacità di prevedere queste minacce con i soli strumenti tradizionali è destinata a venire sempre meno.
Dal punto di vista operativo, una attività di red teaming può avvenire secondo le modalità di un vero attacco, compreso il fatto che gli addetti alla sicurezza dell’azienda non ne sono informati, in modo da simulare nel modo più veritiero possibile le condizioni di esposizione e di livello di allarme al quale si trovano abitualmente i sistemi aziendali.
In alcuni contesti è possibile e, anzi, auspicabile, che questo inneschi reazioni da parte dei difensori, spesso identificati come blue team. Questa contrapposizione sul campo è un’ottima opportunità, sia per la crescita delle competenze di entrambi i team, sia per effettuare un collaudo il più possibile realistico degli strumenti e delle strategie di difesa. Il red teaming, infatti, prevede l’uso degli stessi strumenti, tecniche e strategie normalmente utilizzate dagli hacker solo, con finalità diverse.
Per quanto le modalità di un Red Team siano tanto più efficaci quanto più replicano quelle di veri attaccanti, le finalità sono naturalmente diverse. Il compito di una attività di Red Teaming è infatti quello di mettere l’azienda al corrente delle proprie debolezze in modo più approfondito, dinamico e se vogliamo anche creativo rispetto ai risultati che si possono ottenere con le semplici attività di vulnerability assessment e penetration test.
Il risultato del tentativo o dei tentativi di attacco viene normalmente fornito sotto forma di report delle vulnerabilità riscontrate, dei percorsi di intrusione andati a buon segno e soprattutto delle possibili implicazioni che questi potrebbero avere per la sicurezza, per esempio conquista di accessi, installazione di ransomware, esfiltrazione di dati e così via. Queste informazioni, preziosissime per i difensori, verranno poi utilizzate sia per correggere in modo fattivo le vulnerabilità, sia per aiutare gli addetti a sviluppare una maggiore sensibilità verso le modalità utilizzate dagli attaccanti.
Pensare come un hacker significa adottare una mentalità proattiva e creativa, sempre pronta a fronteggiare nuove sfide e minacce in evoluzione. Questo approccio migliora la capacità di difendersi da attacchi informatici reali e contribuisce a sviluppare un ecosistema di sicurezza resiliente e dinamico. Essere pronti a tutto implica anticipare le mosse degli aggressori, identificare i propri punti deboli nascosti e implementare soluzioni innovative per mitigarli.
Il red teaming offre alle aziende la possibilità di testare le proprie difese in modo realistico e rigoroso, attraverso simulazioni di attacchi che replicano le tecniche e le strategie degli hacker. In questo modo le aziende possono rafforzare le proprie difese e migliorare la reattività e l’efficacia dei team di sicurezza.
