La sicurezza informatica oggi è un bersaglio in movimento. Diciamocelo, non ci sarà mai un momento in cui la tua organizzazione sarà sicura al 100%.
Gli attaccanti sviluppano e adattano in continuazione le loro tattiche per aggirare qualsiasi tipo di nuova difesa venga messa in atto. La tua organizzazione può arrivare a un punto tale in cui può sentirsi sicura, ma ancora una volta, non dovresti mai esserne troppo confidente.
Sì, è vero, può sembrare snervante. La tua azienda ha investito pesantemente in sicurezza informatica. Anche i vertici ne hanno fatto una priorità. Eppure, anche con questi nuovi SIEM o IDS in atto, non puoi ancora rilassarti. Come puoi sapere quale tattica un attaccante userà la prossima volta? Come capire dove focalizzarsi, e dove sono i punti deboli del tuo sistema? Come pensi di migliorare qualcosa che è difficile da misurare, o che non è stata misurata in passato? I tuoi investimenti in sicurezza sono all’altezza delle aspettative?
Non sono domande facili, ma ci sono risposte per ognuna di queste. E possono essere trovate attraverso un’azione di penetration test di un ‘Red Team’.
Durante un’esercitazione di un Red Team, hacker etici metteranno in atto un attacco a tutto campo nella tua organizzazione per trovare un modo per entrare. Il termine deriva dall’ambito militare, e nei giochi di guerra un Red Team (gli attaccanti) viene contrapposto a un Blue Team (i difensori). L’idea è di sfidare le difese del Blue Team che viene messo di fronte al modo di agire e alla mentalità di un attaccante. Nella sicurezza informatica, le azioni di attacco di un Red Team sono un’importante tecnica di penetration test usata per migliorare la sicurezza globale di un’organizzazione.
Uno dei vantaggi di questa tecnica è che consente un cambio di prospettiva. La tua azienda, in sostanza, è nei panni dei difensori e adotta la mentalità di chi si deve difendere. Usando un Red Team la tua organizzazione avrà la possibilità di intuire come pensa un attaccante – quali tattiche potrebbe usare per compromettere non solo un’organizzazione, ma la tua nello specifico. L’esito che emerge dall’analisi di un buon Red Team ti offre una visione olistica dell’approccio alla sicurezza della tua azienda.
E ciò che ottieni è qualcosa di più di meri dati informatici sulla tua sicurezza. Una completa sicurezza informatica riguarda anche lo spazio fisico – e le persone che vivono in esso. Gli attaccanti informatici possono spingersi piuttosto lontano basandosi sulle debolezze del tuo spazio fisico e dei tuoi dipendenti. Un’azione di test di un Red Team prende in considerazione tutti gli aspetti relativi alla sicurezza della tua organizzazione – quegli stessi aspetti che un attaccante userebbe per accedere al suo bersaglio.
La receptionist permetterà a quel ragazzo di bell’aspetto di entrare senza badge? I tuoi dipendenti apriranno quell’allegato malevolo? Cadranno nella trappola di quell’email di phishing? La tua azienda quali informazioni lascerà alla portata di tutti nei cassonetti della spazzatura nel vialetto? Stai usando la crittografia su asset IT interni – per esempio, siti web, server email, VoIP? La tua rete interna è “flat” e accessibile a chiunque in ufficio? I Red Team sfrutteranno ogni debolezza del tuo sistema – anche quelle a cui non hai mai nemmeno pensato – proprio come farebbe un attaccante vero.
A volte potrebbe far male. Nelle presentazioni dei risultati, le risposte più comuni dei clienti sono “pensavo fossimo messi meglio su questo aspetto” oppure “lo abbiamo testato noi stessi e andava bene.” Nei casi più estremi, gli esperti del Red Team di F-Secure hanno visto anche persone che indispettite hanno gridato contro di loro, gettato cose, sono uscite dalla stanza sbattendo la porta. A nessuno del resto piace sentirsi dire che qualcosa che si pensava funzionasse bene , in realtà non funziona.
Ma si impara, e molto. E forse una delle cose più importanti che imparerai è se gli investimenti di sicurezza che stai facendo sono veramente efficaci. Sarai in grado di misurare fino a che punto i tuoi controlli di sicurezza siano realmente allineati con gli asset che si suppone debbano proteggere, così potrai valutare il loro costo e il loro valore.
Nulla in realtà è completamente sicuro, mai. Ma le azioni di attacco di un Red Team aiuteranno la tua azienda a stabilire se la sensazione di essere protetti è realmente giustificata, oppure se non dovrebbe esserlo!
Scopri di più sui servizi di sicurezza di F-Secure qui.
Articolo tratto da “How to find out if Your Security Investments Actually Make Sense” di Melissa Michael, Content Producer, F-Secure Corporate Communications.
Categorie