Quali sono le principali differenze tra penetration test, red team e adversary simulation? In quali casi è preferibile un tipo di attività rispetto alle altre? Quali benefici ottiene il cliente ? Ecco le risposte.

Penetration test

Lo scopo di un penetration test è di analizzare un sistema per evidenziare le vulnerabilità presenti prettamente sull’infrastruttura tecnologica. Non a caso si dice che essa è “vulnerability focused”. Un penetration tester non fa altro che simulare sia con strumenti automatici che con prove manuali le attività che un malintenzionato eseguirebbe per bucare l’infrastruttura sotto analisi.

Cosa riceve il cliente?
Il cliente che ha ingaggiato l’esperto di sicurezza informatica riceverà un documento contenente la lista di vulnerabilità riscontrate, i target su cui essi sono stati rilevati, l’impatto associato nonchè le informazioni necessarie per lo loro risoluzione. Spesso vengono fornite informazioni dettagliate per riprodurre gli step eseguiti.

Cosa lo differenzia da un’attività di red team?
La differenza principale è che attacchi veicolati mediante tecniche di social engineering e l’utilizzo di malware sono esclusi.

Cosa incide sui risultati ottenuti?
Nella mia esperienza spesso gli indirizzi da cui partono gli attacchi vengono inseriti in una “white list” ovvero vengono esclusi dalle analisi degli strumenti di difesa ed evita che possano interferire con l’esito delle prove. Tale agevolazione inoltre riduce il numero di giornate necessarie ad eseguire i test visto che sarà più immediato per il penetration tester identificare la vulnerabilità e di conseguenza si contengono i costi.
Un fattore determinante è rappresentato anche  dal committente che spesso impedisce l’esecuzione di analisi approfondite. In alcuni casi è capitato di compromettere una macchina all’interno del perimetro analizzato ottenendo privilegi ristretti ma il committente ha vietato tassativamente l’esecuzione di tecniche finalizzate all’escalation di privilegi. Altre volte invece le analisi di sicurezza sono state bloccate per motivi “burocratici”. Mi è capito di effettuare l’upload di una shell su un bersaglio ma non è stato possibile scansionare le macchine afferenti alla rete locale in quanto non formalmente autorizzato.

Red team

Il termine Red team è stato coniato diversi anni fa in ambito militare per riferirsi ai team che nell’ambito delle operazioni di addestramento erano specializzati a simulare incursioni da parte delle forze di opposizione. Analogamente in ambito Cyber Security si utilizza il termine per indicare le operazioni finalizzate a replicare una minaccia (threat) per misurare il grado di risposta da parte dell’organizzazione sotto analisi.

Cosa lo differenzia da un penetration test?
Vengono utilizzate in aggiunta a tecniche di compromissione sui sistemi informatici, metodi di intrusione che sfruttano debolezze del fattore umano e dei sistemi fisici. Pertanto l’operatore di red team nella sua cassetta degli attrezzi avrà a disposizione anche malware e tecniche per eseguire attacchi di social social engineering avanzati.
Varierà anche la modalità di esecuzione dei test. Come anticipato spesso nei penetration test si valutata il grado di sicurezza mettendosi nel caso peggiore ovvero inserendo gli indirizzi da cui vengono veicolati gli attacchi in white list. Nelle attività di red team tutto ciò assolutamente non avviene per cui l’esperto di red team dovrà adoperare tecniche e metodologie che lo rendono invisibile ai sistemi di difesa posti in essere dalla struttura target.

Adversary simulation

Una tipologia di attività che sta prendendo piede è quella denominata “Adversary Simulation” la quale può essere considerata come l’evoluzione del red teaming.

Red team, Adversary simulation: differenze
A differenza di un attività di red team l’adversary simulation  è un processo cooperativo tra il team di attacco e il team di difesa da cui deriva anche il termine “purple team” proprio a simboleggiare l’incontro tra i due mondi. Cooperativo perchè i due team concordano una sorta di mappa degli scenari da riprodurre all’interno dell’infrastruttura e in alcuni casi è previsto che il red team esegua gli attacchi in presenza del blue. Pertanto i test vengono eseguiti in modalità white box ovvero l’attaccante ha delle informazioni abbastanza dettagliate sull’infrastruttura da bucare a differenza del red teaming in cui l’esecuzione è effettuata in assenza di informazioni. Un requisito fondamentale è che i test vengano ripetuti periodicamente.

Benefici
Da un’attività di tipo adversary simulation troveranno giovamento il SOC team e coloro che quotidianamente si trovano a fronteggiare attacchi informatici in quanto apprenderanno le tecniche, tattiche e le procedure (TTP) adoperate dagli utenti malevoli oltre ad evidenziare inefficienze nel sistema di monitoraggio.  All’evento RomHack l’argomento è stato  affrontato nel dettaglio.

Tool

Ogni attività avendo scopi e necessità diverse richiede tool e infrastrutture a supporto specifici. Gli strumenti a supporto di red team e adversary simulation dovranno contemplare funzionalità avanzate che permettono di essere quanto più invisibili agli occhi del team difensore. Inoltre dovranno essere disponibili modalità agevolate di gestione della fase di post-exploitation, movimenti laterali e persistenza. Uno dei tool commerciali più rinomato per tali caratteristiche è sicuramente Cobalt Strike che rappresenta il framework di riferimento all’interno della prestigiosa esercitazione di Cyber Defence denominata Locked Shield. La competizione è organizzata dal Centro di Eccellenza della NATO per la Difesa Cibernetica (CCDCOE – NATO Cooperative Cyber Defence Centre of Excellence) di Tallinn, in Estonia.

Purtroppo il tool è salito alla ribalta delle cronaca per il suo utilizzo in campagne di spionaggio.

Conclusioni

Abbiamo analizzato le tipologie di test di sicurezza che è possibile effettuare evidenziandone i campi di applicazione e le differenze. Si può concludere che se lo scopo è ricercare vulnerabilità sui sistema informatici un penetration test è la soluzione ideale. Se è necessario avere una visione delle falle di sicurezza sulle infrastrutture tecnologiche che sull’aspetto umano e fisico è  consigliabile prediligere un’attività di red team. Adversary simulation è la soluzione ideale per formare il del blue team ed evidenziare carenze nel sistema di monitoraggio.
L’automazione delle tecniche esposte attualmente è un tema “caldo” e di cui parlerò nei prossimi post.