Esercitazioni tabletop e Red Teaming: Come le aziende rafforzano la loro cyber resilienza
Il panorama delle minacce informatiche è in costante evoluzione. Per questo è essenziale verificare e aggiornare costantemente anche le strategie di cyberdefence. Due importanti metodi aiutano a identificare i punti deboli e a rafforzare la cyber resilienza.
Ottobre 2024, testo Andreas Heer 4 min.
«Questa macchinetta da caffè verrà rimossa a breve. Scopri qui come puoi opporti.» Sulle macchinette del caffè di alcuni edifici Swisscom erano appese locandine che riportavano questo testo, con tanto di codice QR a link di approfondimento.
Se avete mai provato a rispondere alla domanda «Qual è il livello di protezione, ossia la Cybersecurity Posture, dell’azienda?», è probabile che prima di arrivare alla risposta qualche caffè ve lo siate bevuto. La risposta è data da misure preventive, in grado di migliorare l’efficacia della cyberdifesa. Questo articolo tratta due approcci che in termini di obiettivi si completano bene a vicenda e contribuiscono a rafforzare la resilienza informatica.
Scoprire le falle con le simulazioni prima che sia un aggressore a farlo
Un’ esercitazione tabletop, o in breve TTX, è un esercizio da tavolo, ovvero pianificato, attraverso il quale si simula uno scenario di reale attacco informatico. Questo approccio aiuta a migliorare la collaborazione tra i diversi reparti aziendali e a testare i piani di emergenza esistenti e i playbook di risposta agli incidenti.
Con il Red Teaming si passa all’azione. Quello che succede è che il Red Team attacca l’infrastruttura dell’azienda replicando le tecniche, le tattiche e le procedure (TTP) utilizzate dai veri aggressori. L’obiettivo è testare l’efficacia dell’Incident Response, ossia mettere alla prova il Blue Team.
Esercitazioni tabletop: simulare la difesa da un attacco informatico
In caso di cyberattacco, la collaborazione tra i diversi reparti aziendali è decisiva per gestire l’emergenza in modo efficace. È necessario infatti che il reparto legale, il reparto di comunicazione, la direzione, altri eventuali reparti interessati e, naturalmente, i reparti IT e Incident Response collaborino tra di loro.
L’obiettivo di un Tabletop Excercise (TTX) è testare e migliorare questa collaborazione, partendo dai piani di emergenza e dai playbook di Incident Response (IR). «Questo approccio strutturato aiuta a individuare eventuali punti deboli nel processo e a definire misure di miglioramento», afferma Manojlo Mitrović, Cyber Security Analyst (CSIRT) di Swisscom. A volte il problema è anche di poco conto, come quando si registra un numero di telefono dell’Incident Response Team (CSIRT) sbagliato nel piano di emergenza.
In un’esercitazione tabletop i partecipanti si incontrano a tavolino in una sala riunioni e discutono, analizzano e reagiscono a uno scenario definito in precedenza, guidati da un esperto in ambito di sicurezza informatica, al quale è affidata la moderazione dell’esercitazione. Lo scenario si basa su eventi reali, ad esempio situazioni di rischio in cui i cybercriminali dopo aver sfruttato una vulnerabilità esistente in un software, si infiltrano nella rete aziendale.
Requisiti per un’esercitazione tabletop di successo
«Un esercitazione di questo tipo promuove la collaborazione interdisciplinare e la comprensione tra i diversi reparti», afferma Mitrović. «Ad esempio, se un sistema interessato deve essere isolato, i singoli reparti possono mostrarne gli effetti dal loro punto di vista.»
Perché questo approccio funzioni, è necessaria un’attenta preparazione, che passerà dalla pianificazione di uno scenario il più possibile realistico. Uno scenario troppo semplice potrebbe non portare alla luce le lacune e i punti deboli dei piani di emergenza e dei playbook di IR. Altrettanto importante è che i partecipanti si preparino accuratamente e che abbiano, ad esempio, a portata di mano i piani di emergenza. Anche la scelta dei partecipanti è decisiva. Dovrebbero essere infatti le stesse persone a cui sono affidate le decisioni anche in caso di un vero incidente informatico. Ciò richiede un certo impegno e anche la disponibilità a dedicare del tempo ad esercitazioni tabletop. Eventuali interruzioni e assenze temporanee non fanno che rendere più difficile il raggiungimento dell’obiettivo prefissato.
Red teaming: Attaccare come cybercriminali e APT
Mentre un’esercitazione tabletop verifica a livello teorico i processi e la collaborazione, nel Red Teaming si passa all’azione. Qui gli esperti di cybersicurezza simulano un attacco all’infrastruttura aziendale con gli stessi metodi utilizzati dai criminali informatici e dagli attori sostenuti dai vari governi (APT). «Questo può includere di tutto», afferma Thomas Röthlisberger, responsabile del Red Team interno di Swisscom. «Social Engineering, Phishing, Privilege Escalation, Lateral Movement. In tutto ciò, non perdiamo però mai di vista l’obiettivo aziendale prioritario, che è stato definito in precedenza.» Questi metodi includono anche le locandine appese alla macchinetta del caffè che abbiamo menzionato all’inizio. I collaboratori che scansionano il codice QR sono stati reindirizzati a una pagina di iscrizione. Questa è stata creata dal Red Team per riuscire ad ottenere le credenziali necessarie per effettuare il primo accesso alla rete aziendale.
Lo scopo di un’operazione Red Team può essere, ad esempio, quello di ottenere dati sensibili sfruttando falle nella sicurezza e difetti di configurazione; dati che un vero hacker potrebbe benissimo crittografare o esfiltrare tramite ransomware. «Con il Red Teaming vogliamo scoprire i punti deboli della nostra infrastruttura prima che lo facciano i veri hacker», spiega Röthlisberger.
Allo stesso tempo, la simulazione di attacchi serve ad allenare sulla base di scenari realistici il Blue Team, composto dai membri del Security Operations Center (SOC), del Computer Security Incident Response Team (CSIRT) e da tutti i team operativi potenzialmente interessati dagli attacchi informatici. «Per noi il Red Teaming è anche un’interessante opportunità per allenarsi», aggiunge Röthlisberger.
Requisiti per un red teaming di successo
Nella quotidianità, i membri dei team Red e Blue sono colleghi di lavoro. Affinché durante una simulazione gli esperti possano reagire con onestà e sentirsi tra pari, è necessaria la presenza di un mediatore o un arbitro (White Team). Il ruolo del White Team è di interlocutore per entrambe le parti. In alcuni casi gli è permesso anche dare indizi al Blue Team senza che l’altra squadra lo sappia.
Queste simulazioni sono molto aderenti alla realtà e visti i rischi ad esse collegati, sono necessarie regole chiare. La normale amministrazione infatti non può essere compromessa. Un Code of Conduct stabilisce le linee guida, come ad esempio evitare crash dei sistemi o impedire l’accesso ai dati dei clienti. In questo modo si garantisce che il Red Team si muova nel rispetto dei requisiti legali e di compliance. Oppure, per usare le parole di Röthlisberger: «È un ‹hacking› con il freno a mano tirato sui gusci d’uovo.»
Mettere in pratica quanto appreso e rafforzare la resilienza informatica
Sia per le esercitazioni tabletop che per il Red Teaming è essenziale dedicare il tempo necessario alla preparazione e al follow-up («lessons learned»). Ciò include anche la documentazione dell’intera simulazione, la definizione di obiettivi misurabili e la trasmissione dei risultati di un’operazione di Red Teaming ai team interessati. Con tutti questi dati alla mano potranno essere elaborate le misure e i provvedimenti necessari per rafforzare la cybersicurezza. «Coinvolgere direttamente la direzione in questa fase è sicuramente di aiuto», sottolinea Mitrović. «Questo per favorire la comprensione delle misure e dei relativi costi.»
Se strutturati e gestiti con risorse sufficienti, le esercitazioni tabletop e il Red Teaming sono strumenti efficaci per rafforzare la resilienza informatica e ridurre al minimo il rischio di attacchi informatici. Entrambi i metodi possono anche essere utilizzati regolarmente nell’ottica di un apprendimento e di un miglioramento continui.