Vengono raccolte informazioni di background sulla e dall’organizzazione bersaglio. Esempi includono informazioni pubbliche da Internet sull’organizzazione bersaglio, identificazione della potenziale superficie di attacco del bersaglio o individuazione di possibili vittime o informazioni utente bersagliate.
Sulla base delle informazioni raccolte durante le attività di riconoscimento, vengono implementate piattaforme di gestione temporanea per emulare quelle degli autori della minaccia concordati. Tale piattaforma fungerà da base su cui verranno lanciati ulteriori attacchi simulati contro l’organizzazione bersaglio.
Adottando tattiche, tecniche e procedure simili a quelle degli autori della minaccia prestabiliti, si sfruttano le vulnerabilità identificate per ottenere accesso non autorizzato al bersaglio. Questo avverrà al livello concordato dallo studio di valutazione preliminare, rimanendo sempre in linea con la valutazione del rischio.
- Controllo e trasferimento
Una volta ottenuto un compromesso soddisfacente, vengono eseguiti dei tentativi per passare da sistemi inizialmente compromessi ad altri sistemi vulnerabili o di alto valore. Ad esempio, questo potrebbe comportare il “far leva” tra i sistemi interni di interesse e riutilizzare l’accesso in escalation ottenuto per compromettere gli eventuali sistemi bersaglio concordati.
Ulteriore accesso ai sistemi compromessi e acquisizione dell’accesso a informazioni e dati bersaglio precedentemente concordati. Di nuovo, questa fase avverrà al livello concordato dallo studio di valutazione preliminare, sempre in linea con la valutazione del rischio approvata dall’organizzazione bersaglio.
Simulando le attività dell’autore di una minaccia avanzata, verrà protetto l’accesso persistente alla rete ed eseguita una fuoriuscita simulata di dati di preproduzione. I dati di preproduzione sono creati in linea con la valutazione del rischio e approvati dall’organizzazione bersaglio prima di intervenire in alcun modo.