Red Team o Blue Team? Adesso c’è anche il Purple Team… ed è una macchina

Ott 10, 2019 Giancarlo Calzetta Approfondimenti, In evidenza, RSS, Software, Tecnologia 0

Le operazioni di Red Teaming sono importantissime, ma costano molto. FireEye ha appena lanciato una soluzione efficace e moderna che costa molto meno.

Le operazioni di Red e Blue teaming dovrebbero essere il pane quotidiano per i responsabili di sicurezza delle grandi aziende, ma troppo spesso non è così. Sebbene tutti gli esperti di sicurezza ne riconoscano l’efficacia, hanno il difetto di costare molto perché si basano sull’intervento diretto di una squadra che si mette al lavoro per testare o affinare le difese. Il risultato è che diventano operazioni sporadiche, comunque molto utili ma che non garantiscono una efficacia nel tempo.

“Sebbene l’efficacia del red teaming sia riconosciuta e apprezzata” – ci dice Grady Summers di FireEye – “la rete non resta immutata per lunghi periodi di tempo. Basta aggiungere un componente o cambiare la configurazione di un altro per rischiare di escludere appliances o contromisure dal flusso di dati aziendali”.

Per questo servirebbe un sistema più snello, ma ugualmente efficace, per testare più spesso, se non addirittura in maniera continua, la resistenza delle difese.

Il nuovo servizio di FireEye, Purple Team, fa proprio questo, fornendo un assessment red team e blue team per lo più automatizzato, basato sull’infrastruttura di Verodin.

“Sul framework Verodin” – “continua Summers – “viene impostata la simulazione di una serie di attacchi a cui l’azienda deve rispondere in maniera continua. Dove dovessero risultare delle falle, il nostro sistema è già pronto a passare a una operazione di blue teaming per suggerire al personale dell’azienda quali contromisure mettere in atto”.

Sebbene le operazioni completamente automatizzate facciano alzare ben più di un sopracciglio agli esperti, in questo caso gli attacchi simulati possono contare su di un elemento che li rende molto interessanti: la connessione continua con il database centrale di FireEye.

“Le operazioni di attacco simulato” – conferma Summers – “vengono elaborate dal nostro sistema centrale, basandosi sugli indicatori di compromissione e sui pattern che rileviamo negli attacchi che coinvolgono i nostri clienti. Questo significa che quando identifichiamo un tipo di attacco, viene automaticamente creato lo scenario che Purple Team poi mette in esecuzione negli ambienti aziendali. In questo modo, c’è una risposta velocissima all’evoluzione degli attacchi e si è in grado di capire se l’infrastruttura aziendale sarebbe vulnerabile o no”.

L’offerta del Purple Team Assessment è già disponibile ed è declinata in due versioni: una versione “one shot”, simile per approccio a quelle di red e blue team tradizionali e una più sensata denominata “Continous Purple Team Assessment” che si estende sue periodi da tre a sei mesi.

“In Italia” – dice Marco Riboli di FireEye – “tendiamo a suggerire la versione continuous de Purple Team assessment perché è quella economicamente più vantaggiosa. Sfruttare le potenzialità del framework Verodin su una operazione continuata nel tempo è molto più efficiente rispetto a una operazione one shot”.

La tipologia di azienda che può essere interessata alle operazioni di Purple Team Assessment è di grandi dimensioni, dato che l’investimento è comunque significativo, ma val la pena di pensare a una visione d’insieme più vasta in cui questa iniziativa possa fare da “testa di ponte” per testare l’utilità di Verodin nel nostro ambiente informatico.

Condividi l'articolo