Red Teaming: invertire i modi per affrontare gli attacchi informatici

Nonostante le misure di protezione, l'installazione di software di protezione dell'identità, la tecnica di crittografia dei dati e le utilità anti-malware, la sicurezza informatica rimane vulnerabile alle minacce emergenti, che alla fine espone le moderne imprese e i singoli sistemi informatici a rischi di perdita di dati e uso improprio delle informazioni. Sebbene presenti un rischio sostanziale di perdite finanziarie per le società che utilizzano software per computer per amministrare i loro diversi livelli di attività, ha anche conseguenze di minacce alla sicurezza personale e alla presenza online del pubblico, che, a loro volta, le portano a cadere preda del cyberbullismo. Poiché le nostre difese contro gli attacchi informatici e il terrorismo informatico stanno fallendo in larga misura, forse è necessario un approccio diverso per aggiornare le nostre tecniche di protezione informatica. Sebbene la maggior parte delle aziende faccia affidamento su una complessa rete di funzionalità di sicurezza per i propri server e cloud, molte di loro hanno ora iniziato a testare il proprio meccanismo di difesa con una nuova tattica, chiamata Red Teaming. In cosa consiste? E quale cambiamento può apportare alle tattiche di sicurezza informatica? Scopriamolo.

Da leggere: 5 previsioni sulla sicurezza informatica che devi conoscere

Perché è necessario un approccio diverso alla sicurezza informatica?

Quando si parla di sicurezza informatica e meccanismi di difesa web, ci sono un certo numero di persone coinvolte nell'attuazione di queste misure in un server aziendale o in uno spazio cloud. Queste persone possiedono una conoscenza approfondita dei sistemi, dei linguaggi informatici, della codifica e dell'hacking. Abili e qualificati per svolgere vari compiti legati alla sicurezza informatica, il compito di questi ragazzi è assicurarsi che i loro datori di lavoro non vengano derubati online dei loro dati e delle loro finanze da un aggressore sconosciuto, che potrebbe sottoporli a perdite personali e professionali. Ora, la maggior parte delle aziende assume queste persone per monitorare i propri server alla ricerca di potenziali minacce e correggere regolarmente le scappatoie. Valutano l'intero sistema di rete, cercano potenziali scappatoie che rendono il server aziendale vulnerabile agli attacchi e le riparano. Il controllo e l'analisi regolari aiutano questi team di sicurezza informatica a mantenere lo stesso server e spazio web interessati. B

Ma gli aggressori informatici non si limitano più a violare la sicurezza dei dati con il vecchio metodo per tentativi ed errori di penetrare la crittografia. Gli aggressori al giorno d'oggi stanno cercando di cercare altre misure che possano portarli in una rete protetta senza lasciare impronte digitali e, quindi, trovano semplicemente un modo per privarti del controllo e della protezione dei tuoi dati senza nemmeno farti sapere. Dal momento che questi aggressori stanno ora pensando fuori dagli schemi per prendere di mira server e reti, è necessario che anche l'approccio alla difesa dei server di sicurezza informatica sia cambiato e si pensi a qualcosa fuori dagli schemi.

Cos'è Red Teaming?

La maggior parte dei servizi di protezione di terze parti delle aziende monitorano e riparano i firewall e mantengono il malware lontano dal server interessato. Ma i Red Team sono un caso completamente diverso dai servizi di protezione. Sebbene le capacità e la conoscenza sia dei ragazzi dei servizi di protezione firewall che dei membri dei "red team" siano simili, è il loro lavoro che distingue sia il loro talento che il loro lavoro. In Red Teaming, le aziende assemblano un team interno di esperti di sicurezza informatica, che non solo sono esperti nel tracciare e prevenire un attacco informatico, ma eccellono anche nel condurlo. Questi ragazzi imitano un attacco informatico come attaccanti e pensano a diversi modi per violare il server dei loro datori di lavoro per determinare tutti i possibili modi in cui un vero aggressore può penetrarlo. Ciò consente alle aziende di identificare dove hanno bisogno di aggiornamenti nei loro firewall e quali porte hanno i loro server per garantire l'accesso non autorizzato agli aggressori.

Assumendo il ruolo di aggressori, il team rosso non si limita a monitorare il server per individuare eventuali vulnerabilità, ma si concentra immensamente sul trovarle e sfruttarle. Aiuta le aziende a sapere che tipo di attacchi il loro firewall non sarà in grado di respingere. I Red Team possono, tuttavia, essere efficaci solo se sono a conoscenza degli strumenti di hacking e sono esperti nell'effettuare attacchi di phishing e malware. Possono utilizzare altre tecniche come l'accesso allo spazio cloud dei dati aziendali o la violazione di un mainframe industriale e assumere il controllo dei macchinari su una linea di produzione. Questi ragazzi pensano a nuove possibilità di violare la protezione del firewall e quindi aiutano ad aggiornare l'architettura del firewall.

Red Teaming è una pratica importante per le aziende?

Sì. Nonostante l'assunzione di servizi di protezione professionale e l'implementazione di tutti i tipi di misure firewall, le aziende sono regolarmente oggetto di minacce informatiche e terrorismo informatico. Ciò può essere confermato esaminando gli attacchi di maggior impatto di questo decennio che hanno lasciato centinaia di famosi giganti aziendali in perdite e al controllo pubblico. Uno di questi è stato Sony Pictures Hack del 2014, in cui il server dello studio cinematografico è stato violato per accedere alle e-mail personali e professionali dei capi dello studio, il che alla fine ha portato alla rivelazione di varie iniziative e negoziazioni della Sony Pictures. Ha anche portato lo studio a cancellare l'uscita del loro film The Interview. Altro era Stuxnet, un attacco malware finanziato dallo stato da parte di USA e Israele al governo iraniano per ritardare il programma di sviluppo di armi nucleari iraniano. Questo worm alla fine è stato diffuso a sistemi sconosciuti, che non erano nemmeno nell'elenco degli obiettivi e ha creato il caos. Il più famoso, l'attacco Ransomware del 2017 ha preso di mira centinaia di piccole e grandi aziende in tutto il mondo, rendendolo il più grande attacco informatico della storia.

Pertanto, nonostante qualunque azienda di firewall metta in atto, ci sarebbero sempre nuove vulnerabilità o metodi di diffusione del malware che gli aggressori riconoscerebbero o addirittura progetterebbero da soli. Quindi, sì, il team rosso deve essere presente per assicurarsi che i firewall in atto siano efficaci come sembrano. Dal momento che anche la più grande delle aziende rimane minacciata di violazioni della sicurezza informatica, è ovvio che la protezione del firewall è in qualche modo in ritardo e in qualche modo non è in grado di tenere il passo con le nuove tattiche che queste decine di hacker sviluppano di tanto in tanto. Quindi, per pensare fuori dagli schemi e pensare allo stesso modo di un attaccante prima di tentare una violazione, il red teaming è una misura essenziale che tutte le aziende devono adottare.

Red Teaming può essere un'unica soluzione?

Se pensi che il team rosso da solo manterrebbe al sicuro il tuo server, sei assolutamente SBAGLIATO. Perché mentre cerchi di trovare nuove vulnerabilità nella tua rete, avresti anche bisogno di un altro team, che contrasti gli sforzi del team rosso e protegga quelle vulnerabilità in tempo reale. Tutto questo suona come un hackathon, ma è il modo giusto di farlo. Una squadra rossa che cerca di entrare nel server, mentre una squadra di difesa cerca di resistere agli attacchi della squadra rossa. Ciò consentirebbe alle aziende di garantire l'aggiornamento del firewall in tempo reale e la correzione istantanea delle lacune nelle misure di protezione informatica. Il Red Team non può sopravvivere da solo e sarebbe reso inefficace se non ci fossero ragazzi dall'altra parte del muro.

Leggi anche: Come utilizzare la formazione sulla consapevolezza della sicurezza informatica per cambiare il comportamento dei dipendenti?

Le aziende di ogni scala dispongono di considerevoli meccanismi di protezione informatica e strumenti firewall ed è probabile che dipendano fortemente da essi. Ma gli aggressori trovano sempre una scappatoia perché è così che pensano. Per garantire una protezione completa da tali attacchi, è necessario imitare il modo in cui un utente malintenzionato si avvicinerebbe alla protezione del firewall invece di pensarlo come un esperto di sicurezza informatica. Queste pratiche imitazioni degli attacchi informatici possono essere utili per mantenere un livello elevato di sicurezza del server e resistenza agli attacchi informatici.