Red Team (Offensive Security)
La Offensive Security adotta un approccio offensivo – ma etico – di hacking, proattivo e antagonistico per proteggere sistemi informatici, reti e individui dagli attacchi. La sicurezza convenzionale, a volte indicata come “sicurezza difensiva”, si concentra su misure reattive, come l’applicazione di patch al software e la ricerca e la correzione delle vulnerabilità del sistema.
Le misure di sicurezza offensiva si concentrano sulla ricerca degli autori e in alcuni casi sul tentativo di disabilitare o almeno interrompere le loro operazioni, fornendo una visione “dall’esterno” di sistemi, reti, software e procedure aziendali.
L’attività si caratterizza per la capacità di simulare un avversario reale (crimine organizzato, azienda concorrente, lavoratore scontento) ed operare attenendosi quanto più possibile alla mentalità e alle risorse che lo stesso avrebbe a disposizione.
Gli ambiti presi in considerazione sono:
- Tecnologico: violazione del perimetro, dei servizi esposti, applicazioni web, router, appliances
- Umano: social engineering contro lo staff
- Fisico: accesso a edifici o proprietà aziendali
Lo scopo è dunque quello di fornire una fotografia del livello di rischio reale a cui una azienda o ente è soggetto.
Le fasi sono molto simili a quelle di un Penetration Test tradizionale, sebbene più strutturate.
Il Penetration Test ha lo scopo di individuare e validare il maggior numero di vulnerabilità presenti sui sistemi di un’azienda.
Non fornisce alcun tipo di indicazione rispetto a quali potrebbero essere le azioni intraprese da un reale attaccante.
L’Offensive Security condotto da un team di ethical hackers è in grado di mostrare invece quali possano essere le modalità operative di un attaccante che voglia avere accesso alle informazioni aziendali.
L’attacco sfrutta anche la componente umana, che spesso è la vulnerabilità principale nella sicurezza delle organizzazioni: quanti dipendenti potrebbero aprire una e-mail di phishing o cliccare sul link presente o addirittura compilare un form?
Le conseguenze di queste azioni sarebbero danni economici per la fuoriuscita di dati sensibili ovvero danni di immagine.
Il test viene condotto in modalità BlackBox la quale prevede l’attaccante non disponga di alcuna informazione preventiva sui sistemi target che non siano di pubblico dominio.
In questo modo le vulnerabilità sfruttate saranno quelle rilevabili dall’esterno dalla rete, esattamente come in una situazione reale di attacco.
Le fasi:
- Reconnaissance: approfondita ricerca di informazioni sull’azienda target per la preparazione dell’attacco.
- Weaponization: preparazione del materiale specifico da utilizzare per il test, come payload, trojan, campagne di social engineering o hardware da installare durante gli accessi fisici.
- Delivery: avvio delle operazioni di attacco pianificate, campagne di social engineering (attraverso lo sfruttamento delle vulnerabilità del fattore umano tramite tecniche di Phishing, Impersonation, Baiting, etc) o analisi delle vulnerabilità presenti sui sistemi.
- Exploitation: questa fase ha l’obiettivo di compromettere i sistemi, violare la sicurezza fisica (sfruttando le falle presenti nei sistemi di controllo) e logica del target.
- Installation: è la fase in cui il team esegue azioni di preparazione per il mantenimento dell’accesso alle risorse compromesse con tentativi di privilege escalation, installazione di payload o fino alla duplicazione delle chiavi di accesso fisico alle strutture target.
- Maintain Access: è la fase di mantenimento dell’accesso remoto ai sistemi compromessi, con lo scopo di eseguire in seguito le attività conclusive del test.
- Actions: finalizzazione dell’assessment: generalmente consiste in una esfiltrazione di dati sensibili, tuttavia può coinvolgere una serie di azioni specifiche, in base allo scopo concordato con il cliente.
- Process Evaluation: validazione dell’efficacia dei processi di security fisica e logica aziendale attraverso l’analisi dei risultati ottenuti durante il test.