Red Team Regeneration

A cura di:Massimiliano Brolli Ore

Di recente è stato pubblicato il rapporto annuale “Cost of data breach” sviluppato da Ponemon Istituite in collaborazione con IBM Security, che riporta il costo medio che le aziende sostengono per singolo data-breach.

Ad oggi un data-breach si attesta a 3.9 milioni di dollari dove, nel campione italiano analizzato di 11 aziende, la media si aggira su 3,1 milioni di euro circa.

Dal report viene inoltre riportato che il costo non risulta distribuito nel periodo “strettamente successivo” all’incidente di sicurezza ma viene distribuito anche nei due anni successivi.

Quanto riportato da IBM Security fa comprendere come il fenomeno data-breach possa influenzare in modo sensibile il cammino di ogni azienda, oltre a comportare perdite ingenti (dirette e indirette) trainate anche da quello che potrebbe essere il “miglioramento delle politiche di sicurezza” e del “sistema controllo interno” a valle dell’incidente informatico.

La visione del NIST sui Security Assessment

Prima di addentrarci nell’esame di quali potrebbero essere i potenziali miglioramenti, citerei il NIST (National Institute of Standards and Technology) ovvero l’ente “supremo” che tutti noi riteniamo fonte di “ispirazione” e “autorevolezza” in termini di tecnologia, standard e metodologia.

Nella Special Publication 800-115, denominata “Technical Guide to Information Security Testing and Assessment”, nel capitolo 2.3 viene riportato:

I Test di sicurezza non forniscono una valutazione completa della sicurezza di un sistema, e spesso hanno un ambito ristretto a causa delle risorse e delle limitazioni di tempo. I pirati informatici, d’altra parte, possono prendere tutto il tempo di cui hanno bisogno per sfruttare e penetrare un sistema.

Inoltre, sempre il NIST riporta che i “Security Assessment possono indicare le principali debolezze tecniche presenti sul sistema, consentono di comprendere la postura dell’organizzazione rispetto ai processi di sicurezza informatica” che devono essere costantemente attuati.

Qualche semplice considerazione

Premesso che tutti siamo d’accordo nel dire che i processi di Patching management, hardening e Sviluppo sicuro devono essere garantiti e presidiati da chi disegna, sviluppa, colluda ed esercisce i sistemi, comincerei col porre una domanda che probabilmente alle volte dimentichiamo di farci, in preda all’operatività che regna sovrana nel settore degli addetti ai lavori:
qual è l’obiettivo principale della Sicurezza informatica?

Far in modo che possano essere garantite riservatezza, integrità e disponibilità dei dati contenuti in un sistema informatico. Ma sintetizziamo meglio… far in modo che si possano evitare gli accessi indebiti ai sistemi… ma di meglio, in chiave moderna, nel 2019…
fare in modo che i data-breach non ci siano!

La chiave di volta

Analizzando con attenzione il fenomeno, viene spontaneo chiedersi se risulti corretto il posizionamento delle attività di Red Team nei processi aziendali di oggi o se possa esserci un “modello” alternativo, più efficace, che possa anche essere misurato in termini di abbattimento del rischio “economico” e “d’impresa” dovuto soprattutto alla rimozione preventiva dei data-breach, prima che questi possano essere sfruttati da un ipotetico “nemico”.

La Data Breach Prevention è una tipologia di Security Assessment che consente di effettuare un’analisi del sistema finalizzata a rilevare, nei punti di esposizione più “critici”, la presenza di vettori di attacco capaci di generare un’esfiltrazione di dati sensibili. Generalmente questa attività viene svolta da rete internet in puro ethical-hacking, in quanto la potenziale esfiltrazione viene generata concatenando diversi requisiti e carenze di sicurezza presenti sul sistema, cosa che oggi le macchine (le attività di Vulnerability Assessment, nello specifico) non possono fare.

I principali punti di forza sono:

  1. rilevare i data-breach potenziali prima che questi vengano utilizzati;
  2. rimuovere in tempi brevi il primo “Gate” di innesco del vettore di attacco, in modo da rimuovere eventuali accessi indesiderati;
  3. analizzare le architetture perimetrali, facendo implementare qualora non presenti, Security Gateway e Intrusion Prevention System, aumentando la capacità di rilevazione di eventi anomali da parte del Security Operation Center.

Ricordiamoci però che la rilevazione dei data-breach potenziali risulta direttamente proporzionale alla capacità di sperimentazione dell’hacker etico. Inoltre, minore sarà la complessità nei processi da agire, maggiore sarà la sua concentrazione nel vincere la “sfida” (la parte a lui più congeniale per natura) ovvero violare il sistema e fornire le risultanze del vettore di attacco rilevato essendo consapevole di aver vinto la sfida.

Questo perché il “White Hat Hacker” (il tester di sicurezza) non sta facendo altro che simulare un’attività di attacco. L’unica cosa che differisce è “l’ampiezza temporale”, in quanto tale ampiezza risulterà “definita” e non potenzialmente “infinita” come nel caso dei “Black Hat Hacker”.

Qualora il Red Team avesse il mandato di svolgere attività di Data Breach Prevention con continuità, dandogli modo di sperimentare e analizzare al meglio le superfici di attacco (evitando di imbrigliarlo in processi documentali e non attuali), potrà essere misurato attraverso:

  • numero di data-breach potenziali rilevati rispetto al numero di security assessment condotti;
  • ritorno economico in termini di spesa del Red Team stesso (risparmio sotteso in termini di data-breach potenziali abbattuti);
  • numero di Architetture perimetrali revisionate.

Inoltre, tutto questo potrebbe consentire di migliorare anche l’indotto e quindi:

  • definire particolari contratti (in caso di utilizzo di fornitori) a “incentivo” in forma “variabile” a valle della rilevazione dei data-breach potenziali, come stimolo per i pen-tester arruolati nel Red Team stesso;
  • incrementare l’effort del Red Team fino a raggiungere il giusto compromesso tra il suo costo e il risparmio sotteso in termini di data-breach abbattuti.

Conclusioni

La sicurezza informatica ha sempre insegnato che le migliori idee e strategie sono sempre state avviate dopo un grande fallimento, anche se su questo occorrerebbe una riflessione da parte di tutti.

Occorre entrare nell’ordine di idee che la Security da sola non può evitare che i data-breach ci siano, perché sarebbe come sostenere che, se esiste una funzione legale in azienda, non ci saranno più cause intentate ai danni della stessa.

La sicurezza informatica infatti è una Responsabilità condivisa, solo se tutti avranno la giusta “consapevolezza al rischio” e garantiranno l’adozione dei processi di sicurezza informatica con costanza e precisione, gli incidenti di sicurezza potranno essere ridotti.

Il Red Team può svolgere una attività di “carotaggio” importante, anche se per un tempo limitato, fornendo grandi benefici in termine di abbattimento del rischio; ma per fare questa scelta occorre abbandonare le convinzioni del passato e vedere tutto da un’angolazione differente, sia rispetto alla tradizionale cybersecurity sia nei confronti della normale operatività quotidiana.

Risulta quindi necessaria una completa “rigenerazione” (non parlo di miglioramento) di questa attività, consentendo ai tester di dedicarsi a “emulare” il comportamento di un reale nemico, garantendogli in quel tempo “limitato” di mettere in campo le cose a lui più congeniali come sperimentazione, curiosità e passione.

I controlli sui processi invece dovranno essere svolti da attività parallele più congeniali alla logica di “Auditor” che da Red Team, consentendo di migliorare la “postura” dell’organizzazione a livello di adozione, da parte delle linee tecniche, dei processi di sicurezza definiti.

 

Articolo a cura di Massimiliano Brolli

Profilo Autore
Massimiliano Brolli

Attualmente responsabile delle funzione di monitoraggio dei piani di sicurezza e delle attività di risk Assessment sui sistemi TIM e società partecipate, ha rivestito diversi incarichi manageriali in Telecom Italia e TIIT (Telecom italia information tecnology) spaziando da attività di governance e Audit di sicurezza ad  attività di gestione applicativa di piattaforme centralizzate con un passato nello sviluppo del software in società come IBM, 3inet, Praxi e Bnl oltre a numerose attività di docenza svolte su ambiti come uml, object oriented e differenti framework e linguaggi di programmazione.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Andrea Zapparoli Manzoni – Intervista al Forum ICT Security 2015

Andrea Zapparoli Manzoni – Intervista al Forum ICT Security 2015

A cura di:Redazione Ore Pubblicato il

Andrea Zapparoli Manzoni Head of Cyber Security, KPMG Advisory SpA. Andrea Zapparoli Manzoni descrive la situazione in Italia relativamente alle minacce informatiche sottolineando che la sicurezza è ormai un tema trasversale e che oggi è necessario e fondamentale per fare Security creare dei tavoli dove Legali, Risorse Umane, Marketing, l’IT, il Business, e la Security…

L’importanza del DevSecOps nella Blockchain, nei protocolli e nelle applicazioni decentralizzate

L’importanza del DevSecOps nella Blockchain, nei protocolli e nelle applicazioni decentralizzate

A cura di:Redazione Ore Pubblicato il

La sicurezza è sempre stata uno degli aspetti più importanti dell’informatica e oggi molte organizzazioni e i loro sviluppatori adottano una mentalità orientata alla sicurezza nella realizzazione delle applicazioni. Questi principi e azioni sono spesso descritti collettivamente come “DevSecOps”, che comprende l’intera cultura e l’approccio alla sicurezza delle applicazioni. DevSecOps sta per sviluppo, sicurezza e…

Rischi e “instabilità” tecnologici nell’edizione 2019 del Global Risks Report del World Economic Forum. Parte 1

Rischi e “instabilità” tecnologici nell’edizione 2019 del Global Risks Report del World Economic Forum. Parte 1

A cura di:Sergio Guida Ore Pubblicato il

Le minacce informatiche e tecnologiche in rapida evoluzione sono fra i rischi più significativi, anche perché non valutiamo ancora pienamente le vulnerabilità delle società collegate in rete. La capacità del mondo di promuovere l’azione collettiva di fronte a una crescente serie di gravi sfide ha raggiunto livelli di crisi con il peggioramento delle relazioni internazionali….

Master in Cybersecurity and Critical Infrastructure Protection

Master in Cybersecurity and Critical Infrastructure Protection

A cura di:Redazione Ore Pubblicato il

Il Master forma la figura di un esperto nella progettazione e gestione dei sistemi basati sull’Information and Communications Technology (ICT) e di Cybersecurity (Mobile, Web, Cloud, SCADA) preposti alla tutela della sicurezza e alla protezione del patrimonio informativo ed architetturale di un’azienda, una Infrastruttura Critica o un’organizzazione. Il master offre due specializzazioni: Digital Forensics & Penetration…

Comprendere gli attacchi informatici

Comprendere gli attacchi informatici

A cura di:Redazione Ore Pubblicato il

La Cyber Kill Chain è uno strumento eccellente per capire in che modo le organizzazioni possono aumentare notevolmente la possibilità di difendere il loro ambiente “Cyber Kill Chain” è l’espressione usata per indicare il modello del ciclo di vita di un attacco informatico. Il nome è l’adattamento al campo della cyber security del concetto di…

Nuova versione della ISO/IEC 20000-1

Nuova versione della ISO/IEC 20000-1

A cura di:Cesare Gallotti Ore Pubblicato il

A settembre 2018 è stata pubblicata la nuova versione della ISO/IEC 20000-1 dal titolo “Service management system requirements”. Il rispetto dei suoi requisiti può essere valutato per ottenere un certificato. Storia della ISO/IEC 20000 La ISO/IEC 20000 nacque nel 2002 come norma nazionale britannica BS 150000. Essa aveva la finalità di poter essere utilizzata da…