Diventa Autore per CoreTech | Scopri di più
31/03/20 CoreTech Blog
Gli esercizi Squadra rossa vs di squadra blu sono un metodo molto efficace per valutare la posizione di sicurezza della tua azienda. Tuttavia, la squadra rosso comporta alcuni rischi che devono essere presi in considerazione, sia per il team rosso che per il business target.
Il mondo della sicurezza IT è stato leggermente scosso nel settembre 2019 quando due tester di penetrazione in outsourcing dallo stato dell'Iowa sono stati arrestati con l'accusa di furto con scasso durante il test di penetrazione della sicurezza fisica degli edifici giudiziari. A peggiorare le cose, questo malinteso non è stato risolto per diversi mesi. Solo di recente, le accuse sono state ritirate. Questo caso mostra chiaramente che le cose possono andare seriamente male per i teamer rossi o qualsiasi tipo di professionisti della sicurezza offensivi durante un attacco del mondo reale.
Tuttavia, non sono solo le operazioni del team rosso e/o i pen tester esterni a essere a rischio durante i test di sicurezza. I sistemi di destinazione che dovrebbero essere compromessi durante il test potrebbero potenzialmente subire danni come parte degli attacchi informatici. Pertanto, vale la pena avere in mente quanto segue quando si eseguono entrambi i test di penetrazione, nonché le operazioni di squadra rossa e blu a tutti gli effetti.
Quando esternalizzi pen tester o teamer rossi, assicurati di entrare nel maggior numero di dettagli possibile. Se ci sono aree del vostro programma di sicurezza che al momento preferiresti non aver testato (forse perché non sono ancora sufficientemente protette), assicurati di chiarirlo. Ricorda che un buon tester di penetrazione penserà ai modi più strani per aggirare i controlli di sicurezza. A meno che non sia chiaramente indicato prima del test, possono provare cose come phishing, ingegneria sociale, o anche disabilitando le misure di sicurezza fisica durante un attacco nella vita reale.
Prestare attenzione alle risorse che potrebbero essere potenzialmente danneggiate durante un test di penetrazione. Ad esempio, se parte dell'esercizio rosso di squadra è quello di andare oltre la sicurezza informatica e testare la sicurezza fisica, assicurati di chiarire se non vuoi che il team verifichi se è possibile sfondare la porta di vetro senza far scattare l'allarme o se è possibile tagliare i fili al sistema di allarme.
Inoltre, non presupporre che tali problemi non si applichino se il team è interno, non in outsourcing. Il tuo team interno potrebbe essere altrettanto ansioso di testare la tua sicurezza in modi molto fantasiosi. Assicurati che sappiano chiaramente cosa ti aspetti e cosa è accettabile.
Indipendentemente dal fatto che la tua squadra rossa venga eseguita dai tuoi dipendenti o da una società esterna, assicurati che entrambe le parti siano legalmente protette nel caso in cui qualcosa vada storto. Un accordo/contratto dettagliato tutelerà sia i pen tester che l'utente.
Ad esempio, se durante il test di penetrazione è coinvolta qualsiasi forma di applicazione della legge, la tua squadra potrebbe evitare molti problemi se fosse in grado di presentare immediatamente documenti che rendessero assolutamente chiaro che le loro azioni sono richieste e legali. Ad esempio, è possibile rilasciare carte di identità/accesso che potrebbero utilizzare per dimostrare che possono legalmente ottenere l'accesso ai locali in cui stanno penetrando. Ovviamente non userebbero tali carte come parte del test.
Nel caso di test non fisici (ad esempio, sicurezza di rete o sicurezza Web), l'accesso a un indirizzo IP esterno associato all'azienda sarà di grande aiuto. In questo modo, se qualsiasi applicazione della legge viene coinvolta (ad esempio, a causa del provider Internet che rileva attività insolite), i tester di penetrazione saranno in grado di dimostrare che l'IP da cui hanno eseguito gli attacchi era in realtà un IP che apparteneva allo stesso obiettivo che era essere attaccati.
Le leggi relative ai test di penetrazione, sia in materia di sicurezza fisica che di sicurezza delle informazioni, possono differire notevolmente tra i paesi o anche tra le regioni (come nel caso degli Stati Uniti). Gli appaltatori professionisti saranno a conoscenza di tali leggi, ma i team di sicurezza interni potrebbero non esserlo.
Se la valutazione del team rosso è completamente interna, assicurati che i pen tester siano completamente informati con il tuo dipartimento legale su quali azioni potrebbero essere considerate legalmente rischiose. Se il tuo esercizio di squadra rossa viene condotto con l'aiuto di un appaltatore, assicurati comunque che il tuo ufficio legale sia coinvolto. Il motivo è semplice: è molto più facile prevenire i problemi che essere costretti a correggerli in seguito.
Quando si esegue un test di penetrazione realistico, soprattutto se si tratta di controllare la "condizione umana" pure (ad esempio, l'efficienza della sicurezza fisica), le persone che sono direttamente coinvolte non possono essere informate perché rovinerebbero il test. Ad esempio, se i dipendenti della sicurezza sanno che verranno attaccati in un giorno specifico, rafforzeranno notevolmente i loro sforzi per rilevarlo precocemente e prevenirlo.
Tuttavia, mantenere le persone all'oscuro può avere gravi conseguenze. Ad esempio, se il test di penetrazione prevede la sicurezza fisica e l'azienda collabora con una società esterna di sicurezza fisica, i dipendenti di tale società possono rilevare il tentativo di penetrazione e reagire, forse anche fisicamente danneggiando la pen tester nel processo.
Non esiste una soluzione semplice in tali situazioni, quindi è necessario risolverlo caso per caso, trovando un perfetto equilibrio tra le informazioni che devono essere condivise e le informazioni che devono essere trattenute affinché il test sia realistico.
Il teaming rosso e il pen test sono, per loro natura, invasivi. Anche se i membri del team sono completamente professionali e attenti, possono verificarsi incidenti e i dati sensibili potrebbero essere in pericolo. Pertanto, sia nel caso della sicurezza informatica che della sicurezza fisica, assicurarsi di proteggere le risorse coinvolte nei test di penetrazione. Non eseguire mai un test di penetrazione a meno che non si disponga di backup completi di tutti i sistemi e i dati che potrebbero essere coinvolti. Naturalmente, si dovrebbe avere backup completi anche senza un test di penetrazione, ma durante un'attività ad alto rischio, la probabilità di qualcosa che va storto è molto più alta.
In generale, quando si eseguono tali esercizi invasivi in tempo reale, ci si dovrebbe aspettare il peggio - proprio come nel caso di un attacco reale, ma anche peggio, perché anche gli attaccanti sono parte della tua squadra! Ad esempio, se hai di pen tester che tentano di entrare fisicamente nella tua azienda, aspettati che le forze dell'ordine li catturino e sii pronto a reagire di conseguenza. Alcuni altri risultati che potresti aspettarti sono l'indisponibilità temporanea di sistemi critici o meccanismi difensivi.
Nonostante i potenziali rischi, i test di penetrazione e il teaming rosso sono un modo così eccellente per verificare la postura di sicurezza che non dovresti scoraggiarti a causa di tali rischi.
