purple team cover

Estimated reading time: 6 minutes

Quando si parla di sicurezza informatica e ci si trova dalla parte degli attaccati, ci si limita spesso a pensare in termini di difesa, protezione e contenimento delle minacce. Tuttavia, l’approccio che si rivela migliore è quello in cui ci si mette nei panni degli attaccanti e si considera la propria infrastruttura come il bersaglio delle proprie azioni. Solo così è possibile affrontare il discorso in modo olistico e non da un unico punto di vista. Per eseguire questo cambio di mentalità, ci si riferisce ai vari attori della scena come a dei team: red team, blue team e purple team. Oggi facciamo un po’ di chiarezza sulle differenze tra le squadre di hacker coinvolte nell’azione.

Definizione dei Team e il loro scopo

I Red Team sono entità interne o esterne dedicate a testare l’efficacia di un programma di sicurezza emulando gli strumenti e le tecniche di probabili attaccanti nel modo più realistico possibile. La pratica è simile, ma non identica al Penetration Testing, e comporta il perseguimento di uno o più obiettivi, solitamente eseguiti come una campagna.

I Blue Team si riferiscono alla squadra di sicurezza interna che difende sia dagli attaccanti reali che dai Red Team. I Blue Team devono essere distinti dai team di sicurezza standard nella maggior parte delle organizzazioni, poiché la maggior parte dei team operativi di sicurezza non hanno una mentalità di vigilanza costante contro gli attacchi, che è la missione e la prospettiva di un vero Blue Team.

I migliori membri del Blue Team sono quelli che possono impiegare tecniche di empatia avversaria, cioè pensare profondamente come il nemico. Questa mentalità di solito viene dettata più che altro dall’esperienza di attacco.

I Purple Team esistono per garantire e massimizzare l’efficacia degli altri due team. Lo fanno integrando le tattiche difensive e i controlli del Blue Team con le minacce e le vulnerabilità trovate dal Red Team in un unica azione che massimizza entrambi. Idealmente, il Purple Team non dovrebbe essere una squadra, ma piuttosto una dinamica permanente tra Red e Blue.

Purple Team Multiscreen

Per approfondire in modo ulteriore i punti di vista, analizziamo meglio i team.

Red Team

I Red Team sono spesso confusi con i Penetration Tester, ma, nonostante abbiano un’enorme sovrapposizione di competenze e funzioni, non sono la stessa cosa. Hanno una serie di attributi che li separano da altri team di sicurezza offensiva. I più importanti tra questi sono:

1. Emulazione delle TTP (tecniche, tattiche e procedure) utilizzate dagli avversari. Utilizzano strumenti simili ai malintenzionati: exploit, metodologie di pivot e obiettivi tipici di un black hat hacker.
2. Test basati su campagne che si protraggono per un periodo di tempo esteso, ad esempio, più settimane o mesi di emulazione dello stesso attaccante.

Si parla di Penetration Test se un team di sicurezza utilizza strumenti standard, esegue i test solo per una o due settimane e cerca di raggiungere un insieme standard di obiettivi. Per esempio irrompere sulla rete interna, rubare dati oppure ottenere l’amministrazione del dominio. Una campagna di Red Team utilizza un set personalizzato di TTP e obiettivi per un periodo di tempo prolungato.

Naturalmente, è possibile creare una campagna Red Team che utilizza le migliori TTP conosciute, una combinazione di strumenti di pentesting continuativo, tecniche ed obiettivi, e di eseguirla come una campagna.

Blue Team

L’obiettivo qui non è la protezione degli ingressi, ma piuttosto l’incoraggiamento della curiosità e una mentalità proattiva. I Blue Team sono i difensori proattivi di un’azienda dal punto di vista della sicurezza informatica.

Ci sono un certo numero di compiti orientati alla difesa che non sono considerati degni del Blue Team. Ad esempio, un analista SOC di livello 1 che non ha alcuna formazione o interesse nelle tecniche offensive, nessuna curiosità per l’interfaccia che sta guardando, e nessuna creatività nel seguire qualsiasi potenziale allarme, difficilmente sarà un valido membro di un Blue Team.

Tutti i Blue Team sono difensori, ma non tutti i difensori fanno parte di un Blue Team.

Ciò che costituisce un membro Blue Team e lo differenzia dall’occuparsi della difesa è la mentalità. Ecco come fare la distinzione: I Blue Team hanno e usano:

1. Una mentalità proattiva e non reattiva
2. Profonda curiosità riguardo alle cose che sono fuori dall’ordinario
3. Miglioramento continuo nel rilevamento e nella risposta

Non si tratta di sapere se qualcuno è un analista SOC autodidatta di livello 1 o un ex membro di un Red Team. Si tratta di curiosità e desiderio di migliorare costantemente.

Purple Team

Il Purple Team è più che altro un mindeset cooperativo tra attaccanti e difensori che lavorano dalla stessa parte. Come tale, dovrebbe essere pensato come una funzione piuttosto che come un team separato.

Il vero scopo di un Red Team è quello di trovare modi per migliorare il Blue Team, quindi i Purple Team non dovrebbero essere necessari in organizzazioni dove l’interazione Red Team / Blue Team è sana e funziona correttamente.

I migliori usi del termine Purple Team sono quelli in cui un gruppo non familiare con tecniche offensive vuole imparare come ragionano gli attaccanti. Potrebbe essere un gruppo di risposta agli incidenti, un gruppo di rilevamento, un gruppo di sviluppatori, qualsiasi cosa. Se i buoni stanno cercando di imparare dagli hacker white hat, questo può essere considerato un esercizio di Purple Team.

Purple Team Collaboration

Conclusioni

Mentre i Red e Blue Team hanno lo stesso obiettivo di migliorare la sicurezza di un’organizzazione, troppo spesso non sono disposti a condividere i loro “segreti”. Gli attaccanti a volte non rivelano i metodi utilizzati per infiltrarsi nei sistemi, mentre i team di difesa non dicono come gli attacchi siano stati rilevati e bloccati.

Tuttavia, la condivisione di questi “segreti” è fondamentale per rafforzare la posizione di sicurezza dell’azienda. Il valore dei team rossi e blu è nullo se non condividono i loro dati di ricerca e segnalazione. È qui che entra in gioco il Purple Team.

I membri del Purple Team fanno in modo che i loro compagni di squadra Red e Blue lavorino insieme e condividano gli approfondimenti sulle loro risorse, i rapporti e le conoscenze. Per fare ciò, ci si dovrebbe concentrare sulla promozione della comunicazione e della collaborazione tra i membri dei due team principali.

Come usare queste mentalità in azienda

Quando si delocalizza la sicurezza aziendale con un SOCaaS e l’esecuzione di Vulnerability Assessment e Penetration Test, i vari team sono del tutto esterni. I servizi che offre SOD si basano sulle best practice per quello che riguarda il lavoro dei Red e Blue Team, generando una mentalità da Purple Team.

Con noi la sicurezza della tua azienda è in buone mani. I nostri ingegneri hanno esperienza e sono abituati a collaborare per raggiungere il massimo del risultato.

Contattaci per saperne di più su come i nostri servizi possono venire in aiuto nella difesa aziendale, saremo lieti di rispondere ad ogni domanda.

Customers

Newsletter