Dopo diversi anni impiegati a progettare e realizzare Cyber Range voglio condividere la mia esperienza e far chiarezza su cosa si intende per Cyber Range.

La sempre crescente necessità di competenze utili a rilevare e far fronte alle minacce cibernetiche richiede esperti altamente qualificati e sottoposti a formazione costante. I corsi teorici risultano insufficiente e al suo posto sta prendendo piede una modalità di formazione basata su metodologie pratiche “hands-on training” da cui nasce il Cyber Range. L’idea ruota attorno al concetto di digital twin ovvero il “gemello digitale” un paradigma inventato da Michael Grieves nel 2002 che rispecchia il compito della soluzione, replicare a tutti gli effetti un oggetto/sistema fisico reale in un sistema virtuale declinandolo in questo caso alle esercitazioni Cyber.

Scenario

In un Cyber Range per scenario si intendono i nodi coinvolti nell’esercitazione. I nodi sono le macchine bersaglio ad es. server di posta, database, domain controller, client Windows, portali web che espongono servizi. Sono compresi gli strumenti di attacco (Kali, Backbox, Cobalt Strike), strumenti di difesa (siem, ids, honeypot, sistemi di monitoring). Nello scenario vengono introdotte vulnerabiltà di sicurezza o misconfiguration al fine di realizzare gli attacchi e valutare la risposta della difesa.  

La duttilità del Cyber Range è nel progettare e dispiegare scenari totalmente personalizzabili a seconda degli obiettivi formativi.  Si possono emulare oltre a scenari di tipo ICT ambienti Scada, automotive, mobile, esercitazioni orientate al raggiungimento di flag (ctf), scenari volti alla formazione in ambito info sharing, oppure declinati per ambiti specifici (esempio ambiti finanziari).

Gli elementi sopra indicati possono essere arricchiti con ulteriori soluzioni illustrate di seguito.

Traffic generation

Serve a iniettare traffico nello scenario al fine di generare entropia e rendere più realistica l’esercitazione oltre che complicare l’attività di analisi del blue team. Alcune soluzioni interessanti sono Trex e Ostinato.

Attack/defence automation

Strumenti per l’automazione di attacchi/difese creati in modo da esercitare i team in assenza della controparte umana. Le stesse possono essere utilizzate per velocizzare le attività o renderle avulse da errori umani.

Per la parte offensive è utile pymetasploit una libreria in python in grado di automatizzare i passi di un attaccante mediante Metasploit. Per la difesa sono interessanti le soluzioni Soar (security orchestration automation and response) in particolare shuffle al quale delegare l’orchestrazione delle azioni difensive.

User simulation

Strumenti automatici che compiono azioni legittime e creano entropia nei log applicativi. Tipiche azioni posso essere interagire con i siti web, inviare mail, richiedere/caricare file su share di rete. L’esecuzione manuale di tali attività sono a carico di un team denominato Yellow team.

In questo caso l’ideale è creare script specifici per ogni operazione o utilizzare soluzioni stile sheepl.

Scoring

Le tipologie di soluzioni in questo caso sono frutto degli elementi valutativi che si vogliono prendere in considerazione.

Possono essere impiegati strumenti di monitoraggio per assegnare uno scoring associato alla raggiungibilità dei servizi. Tali sistemi in seguito ad un attacco riuscito sono in grado di registrare l’indisponibilità dei servizi e assegnare di conseguenza un punteggio. Scoringengine rappresenta una soluzione interessante.

Se l’esercitazione prevede il conseguimento di obiettivi associati a flag l’utilizzo di strumenti per la validazione dei flag e assegnazione del punteggio sono d’obbligo, tra cui ctfd è il più rinomato.


Il vantaggio di eseguire formazione mediante Cyber Range è che si possono valutare oltre agli aspetti puramente tecnici specifiche caratteristiche dei team. Tra di esse la capacità di scrittura report, capacità comunicative nel rapportarsi sia con referenti tecnici che con il management, capacità tattiche/decisionali, abilità nel lavorare in team. Dall’esperienza in organizzare competizioni essi sono gli aspetti su cui i team hanno mostrato maggiori lacune. Per queste caratteristiche anche se la valutazione non viene calcolata automaticamente il range fornisce strumenti per la supervisione degli studenti in tempo reale e per la memorizzazione degli eventi o comandi eseguiti utili allo scoring.

Un ulteriore utilizzo del Cyber Range, diverso rispetto alla formazione, può essere la ricerca. Ad esempio si sollecitano opportunamente specifici servizi, componenti riprodotti nell’infrastruttura virtuale e si valuta se le risposte ottenute possono avere dei risvolti interessanti dal punto di vista Cyber.

Conlusioni

Abbiamo esaminato cosa si intende per Cyber Range e le sue componenti.  Dall’esperienza maturata l’aspetto più apprezzato dagli utilizzatori è l’uso della gamification.  Mediante challenge da risolvere, flag da conseguire o obiettivi da raggiungere l’esperienza di apprendimento risulta divertente e permette l’assimilazione veloce dei concetti. Infine la personalizzazione degli scenari rende il Cyber Range adattabile alle esigenze addestrative e alla riproduzione di ambienti complessi.