Hai già un account?

  •   Contenuti personalizzati
  •   Prodotti e supporto

Hai bisogno di un account?

Crea un account



Metti alla prova il tuo sistema di sicurezza

Non basta investire nelle tecnologie di sicurezza per proteggere il business.  Devi verificare che tutti gli investimenti siano efficaci. E il solo modo per verificarlo è eseguire dei test.



Metti alla prova il tuo sistema di sicurezza

In qualità di CIO o CISO, devi proteggere la tua azienda, compresi dati, sistemi, dipendenti e clienti, dalle minacce alla sicurezza. Non basta investire nelle tecnologie, nella formazione obbligatoria o in nuove policy. Devi verificare che tutti questi investimenti siano efficaci.

E il solo modo per verificarlo è eseguire dei test.

Quando si parla di test, forse pensi a valutazioni di conformità, controlli interni saltuari, test ordinari più pervasivi o scansione delle vulnerabilità.

Ma questi tipi di test hanno spesso una portata limitata o prevedono l'uso di controlli tecnologici specifici. Non riescono a verificare la sicurezza in modo olistico, né la sua efficacia nel contesto aziendale, dove la protezione si declina in base al grado di sensibilità o al rischio di una risorsa.

La soluzione è ricorrere a un "team rosso".

Cos'è un team rosso?

Con un termine mutuato dalle esercitazioni dell'esercito statunitense, con team rosso si intende un gruppo di hacker "buoni", chiamati anche "white hat", che vengono ingaggiati per simulare un attacco con ogni mezzo a loro disposizione.

A differenza di altre verifiche che cercano le falle nel sistema con set di controlli specifici e isolati (queste porte sono aperte? le credenziali di accesso predefinite sono cambiate?), un team rosso lavora sulla globalità dello scenario ed è in grado di oltrepassare i limiti di un obiettivo specifico. Ad esempio, può esfiltrare le schede dei clienti o infiltrarsi nei sistemi operativi critici. In altre parole, un team rosso ti aiuta a verificare la sicurezza delle componenti cruciali della tua azienda.

Un metodo questo che può servirsi delle stesse vulnerabilità tecnologiche, causate spesso da configurazioni errate, progettazione lacunosa o mancata applicazione di patch. In un podcast recente, Sam Barltrop di Cisco EMEAR Security Advisory Service ha parlato di come il suo team sia riuscito a infiltrarsi dalla porta di servizio, per così dire, in un recente ingaggio:

"Abbiamo lavorato per un'azienda di Birmingham che aveva investito molto nella sicurezza della rete. Il presupposto era, se blocchiamo gli attacchi provenienti da Internet, siamo al sicuro. In effetti, la rete Wi-Fi dell'ufficio era protetta, separata dalla rete degli utenti guest, pratica in sé validissima. Il punto debole era il magazzino, perché si pensava che gli unici dispositivi ad accedere al Wi-Fi fossero gli scanner dei codici a barre. Era quella rete a non essere adeguatamente protetta. Comodamente seduti nella nostra auto, abbiamo acceso il laptop e siamo entrati nella rete del magazzino, da lì poi siamo risaliti a tutti i dati dei clienti e ai dati di spedizione."

In teoria, la tua sicurezza può sembrare infallibile, mentre protegge solo dei settori a macchia di leopardo. Ogni sistema ha premesse e punti deboli che emergono solo se messi alla prova da una nuova prospettiva e dalla mentalità di un hacker.

Ma i test non devono limitarsi al lato tecnologico. Come le ricerche continuano a ripeterci da tempo, per violare la sicurezza spesso si fa leva sui punti deboli dei dipendenti, sui loro comportamenti e sulle loro manchevolezze. I test di sicurezza del team rosso coinvolgono anche le persone e le procedure che dovrebbero garantire la sicurezza nel mondo reale: la distribuzione di badge per i visitatori o la porta di un magazzino che rimane spalancata. Gli hacker del team rosso saranno contenti di usare tecniche di phishing, introdursi di soppiatto nei locali aziendali seguendo un dipendente o ancora sferrare attacchi di ingegneria sociale per accedere ai sistemi e ai dati.

Leggi questo blog in quattro parti per un resoconto esaustivo di attacchi di ingegneria sociale usati dai team rossi:

Parte 1| Parte 2| Parte 3| Parte 4

Quando rivolgersi a un team rosso?

Per trarre il meglio da un team rosso, occorre prepararsi. Insieme ai team di sicurezza, occorre individuare gli obiettivi e dedicarsi alla preparazione delle esercitazioni, ad esempio creazione di dati fittizi e riunioni informative per il personale interno. Considerato l'investimento che richiede, un team rosso difficilmente sostituirà le procedure di sicurezza abituali, ma in fondo non è questo l'obiettivo.

Il team rosso offre l'opportunità di verificare se tutto il duro lavoro, la formazione del personale, la configurazione delle tecnologie e gli adeguamenti procedurali hanno avuto efficacia. E a individuare le aree in cui migliorare.

Per i CIO e i CISO che faticano a farsi prendere sul serio, i risultati di una valutazione di questo tipo possono aprire gli occhi alla dirigenza o costituire un serio avvertimento, ("stai dicendo che un tizio con un falso badge è entrato nei nostri uffici dalla porta principale e ha sottratto tutti i dati delle buste paga?).

E per i responsabili IT ancora alle prime armi, il team rosso rappresenta l'opportunità di capire su cosa stiano realmente lavorando per allocare risorse e budget nei posti giusti.

C'è un solo scenario in cui non devi ricorrere al team rosso: quando sai che la tua sicurezza è piena di falle. Non c'è niente da imparare da un hacker esperto che si approfitta di una vulnerabilità che già conosci.

Un approccio concreto alla sicurezza

Come CIO hai imparato alcune dure verità sull'IT. Che la tecnologia pervade ormai la vita delle persone e le procedure. Che un'infrastruttura IT reale non si comporta mai come pianificato in teoria. E che per affermarsi occorre anzitutto identificare le priorità per te e il tuo business e rimanervi fedele, pena l'essere trascinato in mille direzioni diverse.

È il momento di applicare gli stessi principi alla tua sicurezza?