Red team e Blue team (vs Purple team):
cosa fanno e le differenze

Quando si tratta di testare le difese di sicurezza informatica di un’organizzazione contro le minacce provenienti dalla rete e le insidie dall’interno, l’avvincente sfida red team contro blue team può costituire una mossa vincente.

In questo glossario si sono recentemente introdotti anche il purple team e diversi altri organi altamente specializzati.

Ma cosa fanno esattamente tutti questi ethical hacker e specialisti della cybersecurity nel contesto di un’infrastruttura IT intesa in senso ampio?

Grazie alla comprovata esperienza sul campo di IFIConsulting, vediamo cosa sono e cosa fanno la squadra rossa e la squadra blu, oltre a definire il valore aggiunto della squadra viola nelle attività di cybersecurity aziendali.

Cosa è il blue team?

Il blue team, nella cybersecurity, analizza i sistemi IT per proteggerli dalle minacce, identificando vulnerabilità e verificando strumenti e policy aziendali.

Le attività principali del blue team riguardano l’incident response, collocata nel più ampio contesto della cyber resilienza aziendale:

• Monitoraggio di reti, sistemi e dispositivi aziendali;
• Rilevamento, mitigazione, contenimento ed eradicazione degli attacchi alla sicurezza;
• Attività forense sui sistemi IT e sul traffico di rete;
• Vulnerability scanning;
• Monitoraggio (audit) del server DNS;
• Valutazione dei rischi;
• Segmentazione della rete aziendale;
• Configurazione e applicazione regole firewall;
• Implementazione controlli di accesso ai dispositivi e agli utenti, utilizzando logiche Zero Trust e criteri come il principio del privilegio minimo;
• Patch management delle applicazioni web e legacy;
• Gestione sistemi di sicurezza IDS, IPS, EDP, ecc;
• Miglioramento progressivo dei criteri e delle misure di risposta all’incidente di sicurezza informatica.

Oltre a implementare misure tecniche e organizzative, il blue team è fondamentale nella formazione dei dipendenti per migliorare l’igiene informatica aziendale.

È importante non solo insegnare a evitare attacchi come il phishing, ma anche promuovere il rinnovo periodico delle password e limitare l’uso promiscuo dei dispositivi tra lavoro e uso personale.

Cosa è il red team?

Il red team utilizza tecniche di ethical hacking per simulare attacchi ai sistemi aziendali e, se presenti, testare le difese del blue team.

La loro attività può essere in modalità black box, senza informazioni sui sistemi IT, o white box, con informazioni parziali sull’infrastruttura IT.

In altri termini, il red team simula attacchi per scoprire vulnerabilità prima dei cybercriminali e suggerire azioni correttive tempestive.

Nel mirino delle attività del red team ritroviamo infatti sia i sistemi tecnologici che le persone, che spesso costituiscono l’anello debole della catena di sicurezza.

Cosa è il purple team?

Innanzitutto, il purple team non è un vero e proprio team. In realtà riunisce gli specialisti del red team e del blue team per condividere conoscenze che, a causa della loro natura antagonista, non potrebbero essere facilmente scambiate durante le loro attività originali.

In altri termini, l’obiettivo del purple team coincide nel favorire una collaborazione utile a rendere progressivamente più sicuri i sistemi di sicurezza aziendali.

La condivisione dei “segreti” del lavoro svolto da red team e blue team rappresenta infatti un patrimonio informativo estremamente prezioso per le organizzazioni, che verrebbe vanificato qualora non venissero condivisi i dati di ricerca e di reporting.

Gli specialisti della sicurezza, una volta uniti nella squadra viola, collaborano tra loro, spesso agevolati da una migliore comunicazione.

Nel panorama della cybersecurity esistono altri team “colorati”, tra cui:

• Yellow team: si compone degli sviluppatori dei sistemi di sicurezza, gli architetti della cybersecurity;

• Green team: a partire dagli insight del blue team, si occupa di migliorare il codice scritto dal yellow team, oltre ad automatizzare i processi definiti dal blue team stesso, ai fini di migliorare la robustezza delle misure difensive;

• Orange team: agisce in maniera simile al purple team, a partire dagli insight del red team incoraggia il yellow team a migliorare gli aspetti relativi alla sicurezza delle applicazioni sviluppate.
  Possono occuparsi degli aspetti relativi alla sicurezza se viene utilizzata una metodologia DevSecOps.
  In caso contrario, provvedono a incoraggiarne l’implementazione per considerare la sicurezza informatica come un aspetto nativo del software utilizzato in azienda.

• Black hat (cappello nero): un hacker con motivazioni criminali, che compromette la sicurezza di un sistema informatico per vantaggio personale o causare danni a un’organizzazione.

Oltre ai team “colorati”, la cybersecurity è caratterizzata dalla continua sfida tra i white hat (ethical hacker) e i black hat (cracker).

Cosa fanno e quali attività svolgono?

Oltre a quanto già definito in generale, il blue team e il red team si focalizzano su attività fondamentali nell’ambito della cybersecurity aziendale.

Attività del Blue Team

La difesa di un’organizzazione comporta una profonda comprensione degli asset e dei dati, che derivano e sono alla base di un’attività di cybersecurity a 360°, in cui ritroviamo:

• Valutazione dei rischi: fondamentale per identificare gli asset più critici e il loro livello di esposizione alle minacce, in funzione di stabilire una priorità in sede di protezione;

• Threat intelligence: occhi puntati sull’attualità e sulle knoweledge base relative alle minacce alla sicurezza informatica. Il blue team deve essere costantemente aggiornato su quanto accade nella rete, avvalendosi di appositi servizi e banche dati;

• Hardening dei sistemi: dopo aver individuato e documentato le vulnerabilità, il blue team si occupa di predisporre le misure utili a rendere più robusti i sistemi IT;

• Sistemi di rilevamento e monitoraggio: il blue team si occupa di implementare e gestire i moderni sistemi di sicurezza informatica, come i SIEM (security and information event management), intrusion prevention systems (IPS) e intrusion detection systems (IDS).

Attività del Red Team

Il red team adotta un mindset spiccatamente offensivo basato su una vasta conoscenza di tecniche e metodologie di cybersecurity.

Il red team dovrebbe essere composto da una serie di professionisti capaci, complessivamente, di assicurare almeno le seguenti skill:

• Penetration testing: pool di tecniche utili ad attaccare e violare i sistemi IT, sfruttando le vulnerabilità presenti e non risolte in tempo utile dal blue team.
  Per tale ragione, il penetration test comprende ed è preceduto dal vulnerability assessment.

• Threat Intelligence: anche il lato oscuro della cybersecurity non può prescindere dalla conoscenza della tossicità presente nella rete e dei malware che possono essere utilizzati per attaccare i sistemi, sfruttando vulnerabilità zero day e altre falle non risolte in tempo utile dai difensori.

• Social engineering: quando i sistemi sono sufficientemente robusti per essere violati, il red team rivolge le proprie attenzioni sul vero anello debole della catena di sicurezza: il fattore umano.
  Attraverso tattiche come il phishing, gli attaccanti puntano a condizionare e ingannare i dipendenti ai fini di ottenere le credenziali di accesso autorizzate ai sistemi e ai servizi aziendali, per entrare dalla porta principale.

• Sviluppo software: il red team deve sviluppare tool utili alle varie attività, come l’automatizzazione degli attacchi, oltre a saper gestire i malware, controllare le botnet, ecc.
  Una conoscenza approfondita di come sono sviluppati i sistemi difensivi facilita la scoperta e lo sfruttamento delle vulnerabilità attive. In questo contesto risultano preziose anche le capacità di reverse engineering.

Vantaggi di ognuno per la sicurezza della tua azienda

La sfida tra il red team e il blue team promuove, spesso inconsapevolmente, una serie di importantissimi benefici per la cybersecurity aziendale.

Oltre alla ragione fondamentale per cui sono ingaggiati, ossia scoprire e risolvere le vulnerabilità dei sistemi IT, red team e blue team consentono di ottenere valore aggiunto anche per molti altri aspetti, più o meno tangibili:

• Incrementare il livello di attenzione generale nei confronti della minaccia alla sicurezza informatica;

• Promuovere la collaborazione tra i team della sicurezza e gli stakeholder aziendali;

• Incentivare concreti programmi di formazione per tutti i livelli aziendali;

• Incentivare la conoscenza delle tecnologie emergenti (es. intelligenza artificiale) e le minacce da essa derivanti (social engineering, deepfake, ecc.);

• Sviluppare un adeguato livello di igiene informatica nei dipendenti;

• Migliorare progressivamente il livello di sicurezza dei sistemi aziendali;

• Ottimizzare gli investimenti per la cybersecurity, grazie a roadmap consapevoli ed efficaci, basate su schemi di priorità coincidenti con la realtà dei sistemi da proteggere.

Quali sono differenze tra red team, blue team e purple team

Appare evidente come, al di là delle differenze che caratterizzano la loro attività, blue team e red team lavorino in stretta sinergia per cercare di migliorare il livello di cybersicurezza aziendale, a cominciare dalla risoluzione delle vulnerabilità che potrebbero essere sfruttate dai veri attaccanti in qualsiasi momento, sempre che non l’abbiano già fatto quando le due squadre citate entrano in azione.

Tale collaborazione è appunto assicurata dall’attività di coordinamento e comunicazione svolta dal purple team, che altri non è che un gruppo ibrido, composto da componenti del blue team e del red team che smettono per un attimo il loro incarico principale per concentrarsi sugli aspetti sinergici, alla base degli insight tecnici e non tecnici su cui si basa l’attività di miglioramento continuo.

Un esempio classico del workflow vede il red team svolgere un penetration test, riportare i risultati e sottoporli all’attenzione del blue team, il quale, svolte le opportune verifiche, intraprende le misure utili per risolvere le vulnerabilità rilevate. Dopodiché il ciclo si ripete, fino a quando il red team non riesce più a sfruttare la vulnerabilità stessa, o individuarne altre.

Nell’ambito delle attività di vulnerability assessment e penetration test che entrambi i team svolgono, la principale differenza sta nel fatto che il red team agisce furtivamente e senza alcun preavviso, cercando di mettere in difficoltà anche le persone, oltre che i sistemi in senso stretto.

Questo approccio appare fondamentale per costringere il blue team ad operare in maniera proattiva, come ormai previsto da qualsiasi buon framework di cybersecurity e cyber resilience.

Le minacce cyber sono in costante aumento, così come la loro gravità e la portata dei danni registrati.

Il team di specialisti di IFI crea soluzioni di sicurezza per le imprese, mettendo al centro dell’attenzione la prevenzione e l’importanza di questo tema.

Grazie al team Security Analyst, il Security Operation Center di IFI assicura un monitoraggio proattivo H24. Si integra con le infrastrutture delle aziende, diventando il punto di riferimento per l’analisi e la prevenzione di eventuali attacchi.

IFI fornisce alle imprese affidabilità, velocità e scalabilità attraverso tecnologie Enterprise di alta qualità, adattandosi a diverse dimensioni e settori con ricerca e implementazione costante.

Perché rischiare?

Visita il nostro SOC

Visita il nostro SOC

Nome e Cognome Email Azienda Indirizzo N° Dipendenti < 5050-100100-250> 250 N° PC/Server virtuali < 5050-100100-250> 250 Messaggio Accetto le condizioni sulla privacy policy*.