Le simulazioni di guerra, le esercitazioni antincendio e le prove generali esistono tutte per lo stesso motivo: se aspettate troppo a lungo per verificare se siete pronti ad affrontare una determinata situazione, la risposta sarà probabilmente “no, non siete pronti”. Nel campo della cybersecurity esiste un’esercitazione analoga, ideata per simulare un attacco e individuare eventuali falle nelle vostre difese di rete prima che lo faccia un criminale informatico. Si tratta del cosiddetto test Red/Blue Team, una sorta di competizione tra una squadra rossa e una squadra blu. Questo test è disponibile per qualsiasi azienda, e ha un certo costo.

Cosa sono i test Red/Blue/Purple Team

Nella cybersecurity, la squadra rossa (Red Team) è un gruppo di “hacker etici” che agiscono come aggressori ed effettuano un’intrusione fisica o digitale. Per garantire i migliori risultati, la squadra rossa è composta da personale esterno all’azienda, piuttosto che da dipendenti interni, per consentire una visione distaccata e simile a quella di un potenziale aggressore. Tuttavia il gruppo può essere composto anche da persone interne all’azienda.

In genere, queste esercitazioni consistono in operazioni per ottenere l’accesso a una rete, condurre una ricognizione, ottenere l’accesso a credenziali, crittografare dei dati, prendere il controllo dei browser, social engineering e molto altro. Per alcune esercitazioni, la squadra rossa mantiene un basso profilo per evitare di essere rilevata dai dipendenti o da altri professionisti associati all’azienda.

Il vantaggio principale del test Red/Blue/Purple Team rispetto a un test di penetrazione è l’elemento di sorpresa: la squadra blu, creata per agire in contrasto alla squadra rossa, spesso non viene informata del fatto che è in corso una simulazione. Di conseguenza, la squadra blu (e altre all’interno dell’azienda) tratterà la simulazione come un’intrusione reale, mettendo in atto le procedure di rilevamento delle minacce e altre strategie di difesa esattamente come se si trattasse di un evento di sicurezza reale. Questo permette alla squadra blu di perfezionare i piani di risposta agli incidenti e di verificare se l’azienda è pronta a fronteggiare un attacco reale.

Oltre a migliorare le difese, queste esercitazioni aiutano anche a promuovere una cultura più orientata alla sicurezza all’interno dell’azienda.

Molte simulazioni utilizzano anche un “purple team”, ovvero una squadra viola. Questo gruppo è composto da membri di entrambe le squadre rossa e blu e può anche includere persone esterne alla simulazione, come manager, progettisti di software e altre figure. Le squadre viola sono opzionali, ma possono aiutare le aziende a ottenere il massimo da queste esercitazioni registrando i risultati e apportando modifiche alle simulazioni in corso d’opera.

Perché i test Red/Blue/Purple Team sono meglio dei test di penetrazione

I test Red/Blue/Purple Team hanno alcuni elementi in comune con i test di penetrazione, ma sono essenzialmente diversi: oltre ad essere più lunghi e accurati, hanno regole di coinvolgimento più complesse e una valutazione più approfondita.

Mentre i test di penetrazione si limitano generalmente a descrivere le vulnerabilità e il modo in cui sono state violate, un test Red/Blue Team fornisce una panoramica completa delle capacità di risposta di un programma di sicurezza.

Un test Red/Blue/Purple Team valuta la postura di sicurezza di un’organizzazione in un modo che un semplice test di penetrazione non riesce a offrire, permettendo all’azienda di convalidare il proprio livello di rischio e determinare il potenziale impatto finanziario di una violazione di sicurezza.

Il costo crescente dei test Red/Blue/Purple Team

Ma tutto questo ha un costo: un test Red/Blue/Purple Team ha un costo minimo di 10.000 dollari, che possono arrivare a 85.000 dollari per valutazioni più lunghe e complesse.

Esistono diversi modi per contenere questa spesa, ad esempio limitando il campo di applicazione e il tempo impiegato da una squadra rossa, limitando i compiti della squadra rossa a una superficie o vettore di attacco specifici, oppure cercando un fornitore che offre il test a un prezzo inferiore pur garantendo gli obiettivi di sicurezza della vostra azienda. Ma i test Red/Blue/Purple Team sono intrinsecamente costosi, quindi non rappresentano la scelta ideale per le aziende che potrebbero trarne un vantaggio non commisurato al costo.

Un test Red/Blue/Purple Team è la scelta giusta per la vostra azienda?

Le informazioni ottenute con un test Red/Blue/Purple Team sono certamente di grande valore, ma non allo stesso modo per tutte le aziende. Le organizzazioni operanti a livello internazionale o affiliate a istituzioni governative, così come le aziende che lavorano con catene di fornitura complesse, potrebbero trarre il maggior beneficio da questo tipo di test.

La scelta di un’azienda di effettuare un test Red/Blue/Purple Team può dipendere da diversi fattori, come ad esempio gli obblighi di conformità a cui è soggetta, i requisiti di riservatezza dei dati e la tolleranza al rischio complessiva dell’organizzazione. Considerando che una violazione di dati può costare mediamente milioni di dollari, le aziende devono valutare individualmente se la loro probabilità di essere colpite da un attacco giustifica questa spesa.

Se il costo non è giustificabile – o non ancora giustificabile – per la vostra azienda, ciò non significa che non possiate ottenere alcuni dei vantaggi offerti da un test Red/Blue/Purple Team. Per maggiori informazioni su come ottenere i benefici di un test Red/Blue/Purple Team con un budget limitato, registratevi al prossimo webinar Mindhunter #13 qui