Red Team

Red Team e test Simulated Target Attack and Response (STAR) CREST

Un Red Team offre penetration test e simulazioni di attacchi sfruttando tecniche, tattiche e procedure (TTP, Techniques, Tactics and Procedures) di autori di attacchi avanzati e sofisticati. È noto anche come simulazione di attacchi mirati o simulazione avanzata di minacce.

Perché usufruire dei servizi Red Team?

Gli obiettivi del Red Team si concentrano sull’identificazione delle minacce per i dati critici a livello aziendale globale piuttosto che confinarli in un sottoinsieme specifico di sistemi. Adeguiamo le interazioni all’organizzazione e alle specifiche minacce affrontate nel settore dell’organizzazione. 

Diversamente dai penetration test standard, un Red Team permette anche ai team di risposta agli incidenti interni di valutare le proprie capacità e i propri processi in modo controllato e gestito.

A seconda degli scenari e degli attori della minaccia simulata, i test Red Team possono includere una vasta gamma di metodologie di attacco, come spear phishing, minacce interne, watering hole, dead drop di supporti, attacchi fisici e ingegneria sociale telefonica.

La nostra metodologia Red Team

Adottiamo una robusta metodologia appositamente sviluppata per le valutazioni Red Team e STAR CREST, che sfrutta le comuni catene della criminalità informatica.

Le fasi di attacco intendono simulare efficacemente quelle degli autori delle minacce avanzate. La gestione del rischio è di primaria importanza per tutto il servizio Red Team e permette di rendere la simulazione realistica, minimizzando al tempo stesso i rischi per la disponibilità del sistema e le prestazioni.

Valutazioni Red Team personalizzate

Siamo in grado di mettere a punto servizi Red Team in grado di soddisfare ogni requisito e budget, selezionando solo le aree pertinenti della metodologia. Questo permette di concentrarci sugli elementi appropriati per il business del cliente, continuando a garantire la resilienza dell’organizzazione agli attacchi.

Esempi di Red Team su misura:

  • Acquisizione di intelligence open source
  • Simulazioni di spear phishing
  • Consegna di malware / Implementazione
  • Persistenza di endpoint e server
  • Simulazione della fuoriuscita di dati

In ciascuno dei casi precedentemente elencati, i test possono essere svolti con zero conoscenze o con conoscenze parziali.

Fasi di un attacco simulato

  • Riconoscimento

Vengono raccolte informazioni di background sulla e dall’organizzazione bersaglio. Esempi includono informazioni pubbliche da Internet sull’organizzazione bersaglio, identificazione della potenziale superficie di attacco del bersaglio o individuazione di possibili vittime o informazioni utente bersagliate.

  • Gestione temporanea

Sulla base delle informazioni raccolte durante le attività di riconoscimento, vengono implementate piattaforme di gestione temporanea per emulare quelle degli autori della minaccia concordati. Tale piattaforma fungerà da base su cui verranno lanciati ulteriori attacchi simulati contro l’organizzazione bersaglio.

  • Sfruttamento

Adottando tattiche, tecniche e procedure simili a quelle degli autori della minaccia prestabiliti, si sfruttano le vulnerabilità identificate per ottenere accesso non autorizzato al bersaglio. Questo avverrà al livello concordato dallo studio di valutazione preliminare, rimanendo sempre in linea con la valutazione del rischio.

  • Controllo e trasferimento

Una volta ottenuto un compromesso soddisfacente, vengono eseguiti dei tentativi per passare da sistemi inizialmente compromessi ad altri sistemi vulnerabili o di alto valore. Ad esempio, questo potrebbe comportare il “far leva” tra i sistemi interni di interesse e riutilizzare l’accesso in escalation ottenuto per compromettere gli eventuali sistemi bersaglio concordati.

  • Azioni sul bersaglio

Ulteriore accesso ai sistemi compromessi e acquisizione dell’accesso a informazioni e dati bersaglio precedentemente concordati. Di nuovo, questa fase avverrà al livello concordato dallo studio di valutazione preliminare, sempre in linea con la valutazione del rischio approvata dall’organizzazione bersaglio.

  • Persistenza e uscita

Simulando le attività dell’autore di una minaccia avanzata, verrà protetto l’accesso persistente alla rete ed eseguita una fuoriuscita simulata di dati di preproduzione. I dati di preproduzione sono creati in linea con la valutazione del rischio e approvati dall’organizzazione bersaglio prima di intervenire in alcun modo.

Framework STAR CREST

Il Simulated Targeted Attack and Response (STAR) CREST è un framework che offre valutazioni controllate, su misura, regolate da intelligence su attacchi informatici mirati che replicano i comportamenti di autori di minacce identificati. I nostri test STAR accreditati CREST garantiscono che i gruppi di attacco che costituiscono una reale minaccia per le risorse critiche dell’organizzazione siano identificati e simulati in modo realistico. L’intelligence relativa alle minacce garantisce che le minacce credibili per un’organizzazione non vengano solo identificate, ma che durante il servizio venga simulato efficacemente anche il relativo modus operandi.

 

Perché BSI per il servizio Red Team?

  • Siamo certificati per svolgere il servizio Red Team utilizzando il framework STAR CREST
  • Il nostro team esperto ha fornito servizi Red Team su misura a organizzazioni in una vasta gamma di settori
  • I nostri team di esperti sono accreditati per i seguenti standard:
    • CREST Certified Attack Specialist (CCSAS)
    • CREST Certified Attack Manager (CCSAM)