Parliamo spesso di “pensare come un attaccante” oppure “vedere la tua azienda con la hacker point of view” perché questi cambi di prospettiva possono aiutare la tua azienda nella cyber-difesa.
In ambito militare i Red Team nacquero storicamente come gruppi altamente specializzati e organizzati per svolgere il ruolo degli avversari, il ruolo dei nemici o delle forze di opposizione in contrasto alle squadre “amiche” (il blu team). Essi esplorano nella maniera più completa, profonda e aggressiva possibile le alternative nella pianificazione, nelle operazioni e nelle metodologie di attacco assumendo con la prospettiva e mentalità degli attaccanti. Lo scopo di una Red Team Simulation è quello di testare e migliorare le capacità difensive del Blu Team.
CHIEDI IL REPORT COMPLETO A INFO@TEKAPP.IT
Nel mondo della cyber security le Red Team Simulation effettuano dal semplice penetration test – PT – all’esecuzione di complessi scenari d’attacco che possono ben valutare la cyber-posture aziendale e le competenze e preparazione del team difensivo interno all’azienda (o di un SOC gestito da un servizio esternalizzato). Infatti, ci è capitato spesso che un cliente decidesse di non allertare il proprio servizio di SOC esternalizzato per saggiarne le reali competenze e grado di difesa, e purtroppo essi non sono in grado di intercettare o fermare opportunamente le nostre Red Team Simulation a causa dell’ampiezza di vettori d’attacco che mettiamo in campo e dei metodi di social engineering che adottiamo, ad esempio spear phishing.
Ad esempio in un recente servizio di Red Team Simulation per conto di una SpA italiana che utilizzava sia risorse interne che un SOC esternalizzato (con il SOC non preventivamente informato delle operazioni di simulazione) abbiamo provato a infiltrare l’azienda attraverso alcuni dei tipi più comuni di attacchi oggi conosciuti tra gli hacker: sfruttare vulnerabilità su componenti IT esposti a Internet (ad es. siti Web, router, VPN, server di trasferimento file, ecc.) e ingegneria sociale contro dipendenti sensibili e manager che hanno una forte interazione con entità esterne.
Il risultato è stato di successo per il Red Team Made-in-Israel che si è infiltrato, sfruttando e accedendo alla rete interna, a un endpoint e server di sviluppo. Sono state usate tecniche di ingegneria sociale per stabilire un punto di presa interno e sono state individuate delle credenziali privilegiate con le quali è possibile arrivare ad esfiltrare i dati e cancellarli completamente dal server aziendale (Erase All).
Il tutto all’insaputa del SOC esternalizzato, che non è riuscito fermare l’attacco simulato, abbiamo adottato tecniche di “defense evasion” e di “privilege escalation” per eludere i prodotti di sicurezza informatica presenti in azienda (anche nel servizio di posta).
Se desideri leggere l’intero report di questo Red Team Simulation (report anonimizzato) con obiettivi di progetto, cronologia delle tecniche utilizzate e risultati ottenuti nelle diverse fasi come Reconnaissance (raccolta informazioni), Exploitation esterna, Initial Access, Situational Awareness, Pivoting e movimenti laterali, Impatto: invia una richiesta a info@tekapp.it