Vai al contenuto
red-teaming-hero
Soluzione

Red Teaming e TLPT: sicurezza a 360° contro i cyber attacchi

Pensiamo come i cybercriminali per proteggerti da loro.

I vulnerability assessment e i penetration test sono essenziali per comprendere il livello di sicurezza dei sistemi informatici. Tuttavia, la cybersecurity non riguarda solamente applicazioni e sistemi, ma può coinvolgere altri aspetti delle organizzazioni, come i dipendenti, le procedure aziendali o sistemi solitamente non oggetto di penetration test, come i domini Microsoft Active Directory o sistemi mainframe. Attraverso Red Teaming e Threat-Led Penetration Test (TLPT) si può migliorare la sicurezza dell’organizzazione a 360°, effettuando una simulazione realistica di un attacco informatico che può prendere di mira sia elementi tecnici dell’organizzazione, ma anche fisici e umani.

Perché fare un’attività di Red Teaming/TLPT?

Il Red Teaming/TLPT serve per:

  1. Identificare le vulnerabilità critiche altresì nascoste: scoprire le debolezze in sistemi, processi e nella componente umana prima che possano essere sfruttate da attaccanti reali.
  2. Valutare l’efficacia delle misure di sicurezza: testare la resilienza delle difese esistenti, come firewall, SIEM, Security Operations Center (SOC), sistemi di Detection&Response (xDR) ecc.
  3. Prepararsi a minacce avanzate: simulare attacchi reali da parte di avversari sofisticati (Advanced Persistent Threats – APT) per migliorare le capacità di risposta e gestione degli incidenti da parte delle funzioni preposte (SOC, Incident Handling, ecc.).
  4. Aderire a normative e best practice: soddisfare requisiti regolatori o standard di sicurezza (es. DORA, NIST, ISO 27001, PCI DSS, 2022/2555 NIS2) che raccomandano o in certi casi impongono test di sicurezza periodici.
  5. Aumentare l’awareness aziendale: sensibilizzare il personale e i responsabili sulla necessità e sull’importanza della sicurezza informatica.

Cosa si fa in un’attività di Red Teaming/TLPT?

Durante l’attività di Red Teaming degli esperti ethical hacker effettuano un attacco informatico controllato, diretto all’organizzazione. Al termine dell’attività si valutano gli attacchi che hanno avuto successo e le capacità di difesa del Cliente. Alcune delle tecniche che possono essere utilizzate dagli esperti di Capgemini durante un Red Teaming includono:

  • Phishing e Vishing mirati: esecuzione di attacchi social engineering attraverso e-mail o telefonate per ingannare specifici individui e ottenere accesso a informazioni sensibili.
  • Compromissione fisica: tentativi di accesso non autorizzato a strutture aziendali, ad esempio mediante la clonazione di badge di accesso.
  • Esecuzione di malware sviluppati ad-hoc: creazione e utilizzo di malware personalizzati per compromettere i sistemi target.
  • Bypass dei controlli di sicurezza: sviluppo ed esecuzione di bypass custom per non essere rilevati dai sistemi di detection come EDR o IDS.

Chi è coinvolto nell’attività?

Sono coinvolti:

  • Threat Intelligence Team: esperti analisti che effettuano ricerche e indagini sui threat actor.
  • Red Team: ethical hacker responsabili della simulazione degli attacchi. Esperti di penetration testing, ingegneria sociale, sviluppo di exploit e sicurezza fisica in possesso di molteplici certificazioni di riferimento del settore.
  • Blue Team: il team interno di sicurezza difensiva, che può essere consapevole o meno del test, in base agli obiettivi prefissati.
  • White Team: personale interno dell’entità testata, con conoscenza delle funzioni critiche.
  • TIBER Cyber Team (solo per attività TIBER): rappresentanti delle autorità finanziarie e dell’autorità garante.

Qual è la differenza tra Red Teaming e Threat Led Penetration Test (TLPT)?

Il Threat Led Penetration Testing (TLPT) è un approccio avanzato di simulazione di cyber attacchi, strettamente connesso con il framework TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), sviluppato dall’Unione Europea per testare la resilienza delle infrastrutture critiche.

L’esecuzione di un TLPT si basa sui principi e sulle linee guida definite nel framework TIBER-EU, offrendo un metodo standardizzato e strutturato per simulare attacchi realistici e mirati contro un’organizzazione, con l’obiettivo di migliorare le sue capacità di rilevamento e risposta alle minacce.

Il Red Teaming tradizionale, invece, ha un approccio più flessibile e può variare significativamente a seconda delle interpretazioni e degli obiettivi definiti. Spesso si concentra su test più specifici, come la compromissione di un sistema chiave (ad esempio l’Active Directory), e utilizza queste simulazioni per misurare le capacità di rilevamento e risposta della sicurezza informatica.

In termini di tempistiche e metodologia, il Red Teaming può essere caratterizzato da operazioni più agili e flessibili e talvolta limitate da risorse o budget, mentre il TLPT è progettato per simulazioni su periodi di tempo più lunghi, offrendo una simulazione di un attacco più realistica. Entrambi gli approcci sono utili e complementari: il Red Teaming offre flessibilità e profondità su obiettivi specifici, e può consentire all’organizzazione di valutare con maggiore dettaglio uno specifico aspetto della propria sicurezza, mentre il TLPT garantisce un’analisi più sistematica, allineata alle esigenze organizzative e regolatorie.

Tuttavia, la cybersecurity non riguarda solamente applicazioni e sistemi, ma può coinvolgere altri aspetti delle organizzazioni, come i dipendenti, le procedure aziendali o sistemi solitamente non oggetto di penetration test, come i domini Microsoft Active Directory o sistemi mainframe. Attraverso Red Teaming e Threat-Led Penetration Test (TLPT) si può migliorare la sicurezza dell’organizzazione a 360° effettuando una simulazione realistica di un attacco informatico che può prendere di mira sia elementi tecnici dell’organizzazione, ma anche fisici e umani.

Gli obblighi normativi rilevanti

L’esecuzione di vulnerability assessment e penetration test non è solo una opportunità per migliorare la propria postura di sicurezza, ma anche un obbligo normativo. Per le organizzazioni che operano nel settore finanziario, la gestione delle vulnerabilità è richiesta dal Regolamento Europeo sulla resilienza operativa digitale DORA (2022/2554). In particolare, gli articoli del Capo IV da 24 a 27 prescrivono l’esecuzione sistematica di test, tra cui “valutazione e scansione delle vulnerabilità, analisi open source, valutazioni della sicurezza delle reti, analisi delle carenze, esami della sicurezza fisica, questionari e soluzioni di scansione del software, esami del codice sorgente, ove fattibile, test basati su scenari, test di compatibilità, test di prestazione, test end-to-end e test di penetrazione”, al fine di “valutare la preparazione alla gestione degli incidenti connessi alle TIC, di identificare punti deboli, carenze e lacune della resilienza operativa digitale e di attuare tempestivamente misure correttive”.

Secondo la norma, i test dovranno essere svolti con cadenza almeno annuale e, nel caso specifico del Red Teaming/TLPT, trattandosi di attività complesse e particolarmente articolate, viene concessa una finestra temporale di 3 anni, all’interno dei quali svolgere le verifiche sugli asset identificati e considerati “critici”.

Anche le organizzazioni critiche per la sicurezza nazionale, rientranti nell’ombrello normativo definito come Perimetro di Sicurezza Nazionale Cybernetica (PSNC), sono obbligate all’esecuzione di attività di valutazione della vulnerabilità. In particolare, l’allegato B del DPCM 81/2021 dedica una sezione al tema “Identificazione delle vulnerabilità” (4.2.4 DE.CM-8), richiedendo appunto penetration test e vulnerability assessment, sulle piattaforme e sulle applicazioni software ritenute critiche, prima della loro messa in esercizio.