Cybersecurity: cosa sono il Red Team, Blue Team e Purple Team?
2 Ottobre 2023Negli ultimi anni sono stati fatti notevoli passi avanti in tema di sicurezza informatica, soprattutto per quanto riguarda una maggiore consapevolezza da parte di utenti, attività e imprese.
Per proteggere dalle minacce informatiche le crescenti informazioni e i dati sensibili che vengono gestiti online, siano essi privati o aziendali, servono soluzioni efficaci che prevedano la cooperazione tra Blue Team, Red Team e Purple Team.
Di cosa si tratta? Ne abbiamo parlato con Niccolò Calzi, Cybersecurity Speciali st e Product Manager di Credemtel, che si occupa del coordinamento delle attività di Security Assessment dell’infrastruttura dei clienti, dello sviluppo del Business e dei processi di sicurezza.
Tre categorie di hacker
“I miei primi studi e certificazioni risalgono al 2013, allora non c’era grande sensibilità su questi temi se non per gli specialisti del settore”: comincia così l’incontro con Niccolò Calzi che desidera parlare di cybersecurity partendo dal concetto di hacker.
- hacker: chi utilizza le sue competenze informatiche per esplorare i sistemi informatici e i software, sovvertire quelle stesse tecnologie e sperimentare l’estensione del suo utilizzo.
Ci sono tre categorie di hacker che si distinguono tra loro per le motivazioni e l’illegalità con cui operano.
I loro nomi sono quasi divertenti perché derivano dai vecchi film americani: nei western i cattivi avevano il cappello nero, i buoni quello bianco. Il grigio, va da sé, sta nel mezzo.
black hat: criminali che vogliono compiere crimini informatici anche con scopi politici o creare caos con motivazioni opportunistiche. Irrompono nelle reti informatiche con cattive intenzioni, desiderano screditare, dare problemi di immagine.
white hat: sono noti come hacker etici, ossia figure professionali al servizio dell’azienda. attaccano le reti e i sistemi informatici per individuare eventuali falle di sicurezza e risolvere i problemi solo se autorizzati dall’azienda stessa per poi aiutarli a risolvere le falle.
grey hat: questi hacker hanno scopi benefici ma utilizzano metodi illegali. il loro intento è quello di hackerare, bucare e trovare una falla del sistema ma all’insaputa del proprietario o senza il suo permesso. lo scopo è quello di trovare i problemi, segnalarli e poi richiedere una parcella per risolverli.
Cos’è il Blue Team?
Il compito del Blue Team è quello di difendere il patrimonio aziendale (squadra interna). “Teoricamente”, aggiunge Niccolò Calzi, “perché spesso le aziende non hanno gli strumenti per farlo. Fino a qualche tempo fa le aziende pensavano alla sicurezza informatica come alla difesa da un virus, adesso le tecnologie e la complessità degli attacchi sono cresciute, stiamo cercando di infondere più coscienza. Ma questo accade solo grazie alla paura, al timore di perdere qualcosa di nostro o che si blocchi il fatturato aziendale, gli ospedali non riescano più a erogare servizi, non per una educazione digitale alla base.”
Il Blue Team, quindi, è un gruppo di esperti in sicurezza informatica che protegge i dati dalle minacce utilizzando tecnologie all’avanguardia.
– chi sono?
esperti in sicurezza informatica, professionisti proattivi che puntano a individuare vulnerabilità, anomalie, minacce e soluzioni per difendere il sistema aziendale
– compiti?
prevenire potenziali attacchi
identificare gli attacchi
monitorare gli eventi attraverso sistemi di controllo
monitorare chi-come fa accesso ai dati sensibili
aiutare a migliorare le performance
Che cos’è il Red Team?
Gli esperti in cybersecurity specializzati nella simulazione di attacchi al sistema rientrano nel Red Team (entità interne o esterne). Il loro compito è di individuare le vulnerabilità: spesso vengono chiamati “ethical hacker” perché utilizzano tecniche simili a quelle di un criminal hacker per bypassare i controlli, ma lo fanno per mettere alla prova le prestazioni del Blue Team.
– chi sono?
professionisti specializzati in sicurezza informatica, in cybersecurity o ethical hacker. Il red teaming assume il ruolo di aggressore effettuando pratiche simili a quelle di penetration test (attacco informatico simulato autorizzato) per mettere alla prova le capacità del sistema
– compiti?
effettuare attacchi remoti
violare i sistemi di sicurezza
attaccare e manipolare il sistema
trafugare dati
Cos’è il Purple Team?
Il Purple Team è la somma di attacco e difesa, la sintesi tra Blue Team e Red Team. L’approccio ibrido si forma combinando le attività di protezione dei sistemi e quelle di valutazione dell’efficacia, identificando le vulnerabilità e le azioni necessarie alla correzione delle falle.
Il Purple Team consente di maturare una ampia visione della cybersecurity aziendale e di selezionare la migliore strategia per la sicurezza informatica.
– chi sono?
una squadra che lavora per avere una visione completa della sicurezza informatica utile ad adottare una strategia più efficace per proteggere i dati sensibili
– compiti?
proteggere dati, azienda e infrastruttura
contenere gli attacchi attraverso azioni di difesa
migliorare la cybersecurity attraverso tattiche di difesa
sviluppare le potenzialità di difesa
Blue, Red e Purple Team: le differenze
Il Red Team e il Blue Team costituiscono due fazioni con scopi opposti, il primo cerca con tutti gli strumenti a sua disposizione di “bucare” il sistema, mentre il secondo, il blue team, deve essere performante nel bloccare rapidamente il tentativo di attacco.
Il Purple Team invece lo vediamo come una mescolanza dei due precedenti, il suo metodo prevede l’utilizzo di tecniche di red team e di blue team, in modo tale da trarne insegnamenti e migliorare sempre più la formazione e la sensibilità del team aziendale.
Un esempio molto calzante può essere il nostro servizio di attacco di phishing simulato, dal quale apprendere quali sono gli utenti più sensibili e sottoporli poi a un corso di preparazione sul tema.
“In questo modo l’utente spesso viene responsabilizzato, capisce quanto è importante il suo ruolo nella strategia di sicurezza.”, dice Niccolò Calzi
Chi è il threat hunter?
Chi si occupa di threat hunting deve identificare, isolare e neutralizzare le minacce informatiche in modo che non siano in grado di bypassare le misure difensive automatiche.
“Diciamo che l’IT Manager ha il sentore che qualcosa non vada bene, che ci siano malfunzionamenti”, spiega Niccolò Calzi. “È in quel momento che viene incaricato un threat hunter, un analista che si mette all’interno della rete e “sniffa”, odora i pacchetti e li legge, come si dice in gergo. Cerca di trovare l’anomalia all’interno del packet flow, il traffico di rete, per poi condurre analisi più profonde una volta identificato un possibile punto anomalo.”
Il threat hunter ha un ruolo fondamentale nella cyber security aziendale perché è in grado di affiancare figure specializzate agli strumenti automatici di analisi. All’interno di questo contesto, e data la crescita esponenziale che ha avuto negli ultimi anni, desideriamo citare anche l’Adversarial Machine Learning: questa disciplina si occupa delle vulnerabilità legate al Machine Learning, il sottoinsieme di intelligenza artificiale che crea sistemi che migliorano le performance o apprendono in base ai dati che utilizzano.
Cybersecurity e Credemtel
Quando parliamo di cybersecurity, quindi, dobbiamo innanzitutto ricordare che una strategia di successo comincia con l’identificazione di un CISO o partner affidabile. Per questo Credemtel offre un servizio di prevenzione e contrasto delle minacce informatiche grazie al lavoro di un team specializzato.
Blue team, per proteggere il sistema ricercando gli eventuali attacchi, e Red team, per valutare le abilità e le vulnerabilità di un’azienda: “ma la sicurezza al 100% non esiste!”, ricorda Niccolò Calzi, il Cybersecurity Specialist e Product Manager di Credemtel.
Quindi c’è un solo modo per raggiungere il massimo del risultato possibile in termini di cybersecurity: occuparsene adesso.
