In rete la sicurezza conta tanto quanto nel mondo fisico. In questo articolo parleremo del Blue Team: Cos'è? Di che cosa si occupa? Perché la sua figura è così importante per la protezione delle aziende e la loro Cybersecurity?
Negli ultimi decenni il mondo digitale ha visto un vero e proprio boom. Internet permette di avere una visibilità senza paragoni e questo espone a rischi informatici.
In questo editoriale approfondiremo gli aspetti del Blue Team nella Cybersecurity:
Cos'è esattamente il Blue Team?
“Blue team” è traducibile in italiano con l'espressione “squadra blu”. Si tratta di una vera e propria task force:
-
allocata in maniera permanente;
-
con ruoli e responsabilità definiti;
-
che segue procedure predeterminate, chiamate “playbook”;
-
composta da personale altamente specializzato in sicurezza informatica.
Il compito del Blue Team è quello di proteggere l’azienda:
-
identificando gli attacchi ed incident informatici;
-
rispondendo in maniera appropriata per limitarne l’impatto;
-
mettendo fine a tali attacchi;
-
impedendo agli attaccanti di mantenere l’accesso sui sistemi ed applicazioni;
-
bonificando i sistemi compromessi.
Inoltre il Blue Team analizza le violazioni e applica misure correttive per evitare che quel particolare attacco possa ripetersi.
Blue Team vs Red Team
Il termine Blue Team è di derivazione militare ed è stato coniato durante la prima guerra mondiale dall'esercito statunitense. Esso era posto in contrapposizione al “Red Team”, ovvero la squadra rossa.
Sempre rimanendo in ambito bellico, qual è il modo migliore per testare l'adeguatezza dei sistemi di difesa? Senza ombra di dubbio è quello di simulare dei veri e propri attacchi, finalizzati a rilevare i punti più deboli del sistema difensivo stesso.
Questo delicato compito viene svolto dal Red Team che, in parole povere, deve immedesimarsi nel nemico e cercare di attaccare il bersaglio in tutti i modi possibili immaginabili.
Il Blue team è nato in contrapposizione al Red Team: il suo compito è, invece, quello di contrastare gli attacchi simulati del Red Team, al fine di proteggere l'obiettivo sensibile e, nel caso ce ne fosse bisogno, implementare e migliorare i sistemi di difesa che presentano criticità.
Red Team: ecco come può attaccare
Al fine di testare al meglio i sistemi di sicurezza informatica e delle informazioni sensibili, il Red Team ha carta bianca. In alte parole, deve compiere tutti quegli attacchi che potrebbero essere messi in atto dagli hacker più esperti e malintenzionati.
Approfondisci le attività offensive del Red Team.
Le strategie che adotta possono essere molteplici:
-
Compiere attacchi remoti via Internet;
-
Mettere in atto le più disparate strategie di social engineering;
-
Violare sistemi di sicurezza fisici come videosorveglianza, chiusura automatizzata di porte, finestre o casseforti.
-
Qualsiasi altra azione finalizzata a carpire in modo illecito dati o informazioni sensibili.
Il Blue Team e le strategie di difesa
Al contrario, il Blue Team ha il compito di difendere l'obiettivo da tutti gli attacchi posti in essere dal Red Team e dagli attaccanti reali. Riassumendo in modo schematico, potremmo dire che i suoi compiti principali consistono nel:
-
identificare i tipi di attacco e intrusione concretizzati dal Red Team;
-
bloccare questi attacchi prima che abbiano effetti nefasti sul sistema informatico da proteggere;
-
gestire l'autenticazione a 2 fattori;
-
attivare e gestire i runbook di rete o di sistema;
-
migliorare tutti gli standard di sicurezza;
-
monitorare l'accesso ai dati sensibili;
-
formare il personale interno che si occupa di Cybersecurity.
Blue Team vs Purple Team
Oltre al Red Team e al Blue Team, esiste anche il “Purple Team”. Di cosa si tratta? Quali sono i suoi compiti?
Al posto di avere 2 squadre distinte ed indipendenti, che potrebbero non comunicare adeguatamente al fine di raggiungere l’obiettivo finale che è quello di migliorare la resilienza rispetto agli attacchi informatici dell’azienda, si interpone una terza squadra, ovvero quella viola.
Quest'ultima, sempre composta da esperti del settore, da un lato supporta il Red Team nei suoi attacchi, e dall'altro suggerisce strategie difensive al Blue Team. Il suo ruolo è di agevolatore e osservatore delle attività delle due squadre.
Un'altra interpretazione del Purple Team è che possa sostituire Red e Blue Team, ottimizzando i costi. Ingaggiare un Red e un Blue Team completamente indipendenti comporta una spesa non indifferente.
Blue Team, Red Team e Purple Team: il fattore umano
I membri che compongono queste squadre possiedono a tutti gli effetti le stesse competenze tecniche degli hacker più abili e malintenzionati. Solamente che queste vengono messe a disposizione “a fin di bene” e non per perseguire scopi moralmente riprovevoli e, in molti casi, anche contrari alla legge.
In ambito informatico, questi tecnici vengono definiti “White Hat”, ovvero una sorta di “hacker buoni”. Pur essendo perfettamente in grado di compiere le operazioni più complesse, non si approfittano della vulnerabilità di un sistema ma, al contrario, forniscono al titolare di quest'ultimo tutti i mezzi per proteggerlo dai “Black Hat”, ovvero gli “hacker cattivi”.
Al contrario di questi ultimi, i White Hat che compongono le varie Red, Purple e Blue Team, non si mettono solo a disposizione del cliente che vuole testare e/o implementare i suoi sistemi di Cybersecurity, ma si occupano anche di formazione.
Le certificazioni per far parte del Blue Team
Premesso che i White Hat sono prima di tutto persone appassionate della loro attività, essere un membro del Blue Team, piuttosto che del Red Team, non è un gioco. Pertanto, per lavorare in questo settore, è necessario avere una formazione che potrà essere riconosciuta mediante delle certificazioni ufficiali.
Uno degli enti preposti al rilascio di tali certificazione è l'International Council of Electronic Commerce Consultants, abbreviato “EC-Council”. Questo ente è stato fondato nel 2003, ha sede ad Albuquerque nel New Mexico (U.S.A.) ed è riconosciuto a livello mondiale.
Nel corso degli anni ha certificato più di 220 000 esperti, tra cui anche il famoso Edward Snowden, venuto alla ribalta alcuni anni fa per via delle sue scioccanti rivelazioni in fatto di spionaggio informatico.
Certified Ethical Hacker (C | EH)
EC-Council Certified Security Analyst (ECSA)
Tra le principali certificazioni rilasciate da questo ente, troviamo la “Certified Ethical Hacker” (C | EH) e la “EC-Council Certified Security Analyst” (ECSA). In cosa consistono esattamente?
Come già anticipato, sono due certificazioni necessarie per lavorare ai più alti livelli di Cybersecurity e sono il “lasciapassare” per diventare membri dei Red Team, piuttosto che dei Blue Team e, di conseguenza, anche dei Purple Team.
La prima certificazione, ovvero la “Certified Ethical Hacker” (C | EH), viene rilasciata al termine di un corso mirato sulle principali tecniche di hacking etico, cioè quella corrente a cui appartengono i White Hat. C'è chi, per via di attitudini personali, è più propenso ad attaccare (Red Team), mentre invece, c'è chi preferisce dedicarsi alla difesa (Blue Team).
Il segreto dei White Hat: formazione continua
La seconda, ovvero la “EC-Council Certified Security Analyst” (ECSA), viene rilasciata a coloro che vogliono seguire una formazione continua nel tempo, in modo da implementare le competenze acquisite nel corso che prevede il rilascio della certificazione analizzata nel paragrafo precedente.
Infatti, le tecniche di hacking, qualunque esse siano, sono sempre in costante evoluzione e l'unico modo per essere in possesso di tutte le competenze del caso è quello di continuare ad apprendere.
In altre parole, la “EC-Council Certified Security Analyst” (ECSA) è quella attestazione che, in combinazione con la prima, ti consente di lavorare a tutti gli effetti all'interno del Blue Team e del Red Team.
Conclusioni
Come abbiamo avuto modo di vedere, il lavoro del Blue Team, in sinergia con quello del Red Team, è indispensabile per testare il livello di Cybersecurity di un qualsiasi sistema informatico. I Black Hat, ovvero gli “hacker cattivi” non smettono mai di migliorare le loro tecniche e le loro competenze.
L'unico modo per fronteggiarli e neutralizzare i loro attacchi è quello di sottoporre il sistema informatico a dei test effettuati da persone che hanno le loro stesse competenze ma che decidono di usarle per scopi nobili e legali.
Le certificazioni che abbiamo analizzato precedentemente fungono da vero e proprio punto di riferimento per tutta la Cybersecurity. Affidarsi a dei professionisti in possesso di queste ultime è l'unica mossa davvero intelligente che consente di proteggere in modo efficace i propri sistemi informatici.
Riferimenti:
Il Blue Team nella sicurezza informatica
https://en.wikipedia.org/wiki/Blue_team_(computer_security)
Cos'è il Purple Team
https://purplesec.us/red-team-vs-blue-team-cyber-security/
Le certificazioni