Come fa presupporre immediatamente il nome, il Purple Team è la derivazione ed unione tra Blue Team e Red Team dei team permanenti all'interno dell'azienda per gestire la Cybersecurity.
La Cybersecurity rappresenta un settore fondamentale nel controllo e nella salvaguardia della rete, delle applicazioni e dei siti web sia in ambito civile che militare.
In questo editoriale approfondiremo gli aspetti del Purple Team nella Cybersecurity:
Cos'è il Purple Team?
I team da sempre più importanti e rinomati nel campo della cybersecurity sono "Red Team" e "Blue Team", probabilmente i primi colori e relative squadre ad essere apparse nella cybersecurity.
Divisione netta e competizione tra i due team erano all'ordine del giorno, fino a quando qualcuno ha pensato che, creare un team di raccordo, avrebbe apportato vantaggi evidenti ad entrambe le squadre ma soprattutto un miglior risultato finale.
Il ruolo principale del purple team è infatti quello di supervisionare ed ottimizzare il lavoro e le comunicazioni che avvengono tra Red Team e Blue Team.
Questo permette migliore comunicazione, migliori test di penetrazione e relativa difesa ed in generale una cultura più collaborativa, tramite la funzione "mediatrice" generata dal purple team.
Il Purple Team per l'ottimizzazione dei costi
Grazie al lavoro del Purple Team, è possibile avere già una prima e accurata panoramica del sistema di Cybersecurity da testare. Poi, nel caso ci fosse bisogno di scendere più a fondo in merito a certi dettagli, ecco che è possibile ingaggiare un Red Team e un Blue Team per un test approfondito.
In questo modo si possono ottimizzare i costi perché le 2 squadre si affronterebbero solo in determinati ambiti, ovvero quelli in cui non c'è stato un vero e proprio successo da parte del Purple Team.
Allo stesso modo, soprattutto in relazione ai sistemi informatici più estesi e più complessi, il Purple Team è in grado di effettuare una prima “scrematura”, ovvero stabilire i punti deboli che necessitano di un'analisi approfondita.
Individuati questi ultimi, possono intervenire Red Team e Blue Team con i loro rispettivi compiti.
Purple Team vs Blue Team vs Red Team
Facciamo un breve riepilogo per capire meglio a cosa serve il purple team e perché lo stesso è stato creato.
Red Team
Il red team è una squadra composta solitamente da "hacker etici" il cui obiettivo è quello di scardinare il sistema.
Un team, spesso indipendente, assunto dalle aziende per mettere "sotto torchio" il sistema, trovare ed evidenziare vulnerabilità, al fine di risolvere i problemi critici prima che un attaccante malevolo possa sfruttare eventuali falle nel sistema.
Il red team lavora con obiettivi ben definiti, che consistono nell'infiltrazione nel sistema, nell'inganno perpetrato ai sistemi di difesa ed alle persone ad esso preposte (i difensori, il blue team).
Il red team cerca falle, bug e pieghe da sfruttare per entrare nel sistema aziendale e compiere azioni malevole.
Dall'altra parte del "campo di battaglia", c'è qualcuno che lavora incessantemente per evitare queste azioni, tramite un lavoro di prevenzione e protezione (il blue team).
Blue Team
L'anticorpo del red team è il blue team, sua contrapposizione e nemesi.
Il blue team è solitamente un team interno all'azienda, raggruppato in un "SOC", Security Operations Center.
Questo team è composto da analisti qualificati, il cui compito principale è la difesa dell'infrastruttura.
Difesa che ottengono normalmente in due modi:
-
In maniera preventiva, tramite la creazione di barriere, protezioni ed addirittura "esche" per sviare in modo sicuro ed in "luogo" voluto l'attacco apportato dall'esterno.
-
In maniera reattiva, per intervenire quando ce n'è bisogno, quando l'attacco perpetrato è troppo sofisticato, innovativo o variegato per essere individuato e combattuto dai sistemi automatici di protezione e l'intervento umano è necessario.
Il blue team è quello che in azienda cerca di educare gli operatori, fa cambiare le password periodicamente ecc...
Il blue team non fa queste azioni (e molte altre "invisibili" all'impiegato medio) senza uno scopo, il suo obiettivo infatti, è quello di minimizzare e ridurre il rischio di infrazioni informatiche a zero, tramite procedure chiare e ben definite.
Attaccanti vs difensori quindi?
Sì, ma siccome il mondo non è solo bianco e nero, c'era bisogno di un trait d‘union tra i due gruppi, una soluzione che apportasse vantaggi a tutti, un ponte tra i due team, un'unità di mediazione.
Da qui la nascita e creazione del purple team, un nuovo approccio, una combinazione di questi due team (e colori) che stia nel mezzo tra i due apportando vantaggi ad entrambi ed al sistema in generale.
Scopo dei membri del purple team infatti è quello di supervisionare il lavoro effettuato dai Red Team e Blue Team, cercando di farli comunicare meglio in funzione dell'obiettivo finale condiviso.
Purple team
Ora che abbiamo scoperto come nasce questa squadra, andiamo a capire meglio quali sono le attività del purple team e chi lo compone.
Il purple team è composto solitamente da analisti della sicurezza (Senior Security Analysts) e delle minacce (Threat Intelligence Analysts).
Unione dai due team da cui è derivato (anche se tipicamente composto in maggioranza da personale proveniente dal red team) lo scopo di questo team è principalmente comunicativo e di supervisione.
Permette infatti di mantenere la competizione nei binari dell'utilità, verificando che la comunicazione rimanga nell'ambito richiesto, sia lineare e condivisa.
Altra caratteristica fondamentale del purple team è quella della flessibilità.
Il purple team è infatti una squadra non permanente, ma creata di volta in volta in base all'esigenza da verificare ed al comportamento dei due team da cui è derivata.
Questo permette al purple team di essere sempre "fresco" e con idee e suggerimenti nuovi.
Purple team activities
Le attività del purple team apportano valore nelle fasi di test della sicurezza informatica.
Quando c'è da eseguire un "attack automation" o un "Penetration Test" è sempre bene creare preventivamente un purple team o cercare di farlo emergere dal lavoro congiunto dei Red Team e Blue Team.
Il purple team agevola la comunicazione tra le due squadre, raccoglie dati ed informazioni utili per i test successivi ed analizza i risultati in tempo reale.
Lavoro del purple team è anche quello di "guidare" il Red Team, dando alla stessa suggerimenti per zone di attacco, al fine di testare una nuova protezione, una possibile falla o una trappola preparata dal blue team.
D'altro canto, all'opposto, il purple team può aiutare il Blue Team a capire come sta venendo perpetrato l'attacco ed a gestirlo al meglio.
Inoltre, il purple team ha la funzione fondamentale, anche se non scritta, di arbitro e supervisore con un importante ruolo di verifica del rispetto delle condizioni della sfida ed il rispetto dei team e delle relative competenze ed incarichi.
Perché un’azienda ha bisogno di un purple team?
Avere un Red Team e un Blue Team senza un cuscinetto nel mezzo potrebbe rivelarsi deleterio nel breve termine.
Senza un purple team, le due squadre da cui esso deriva non si confronteranno mai.
Il Blue Team, non aiuterà minimamente il Red Team; l'obiettivo della prima è l'assenza di minacce o il rapido controllo delle stesse; perché quindi andare ad aiutare il nemico?
Il Red Team d'altra parte non interagirà per niente con il Blue Team.
In una condizione competitiva, la stessa, cercherà infatti di creare il "maggior danno" possibile.
La creazione del purple team permette alla competizione di passare di livello, togliendo egoismi e puerili fallimenti in funzione di una cybersecurity implementata e funzionante.
Oltre a comunicazione e collaborazione, il purple team può apportare altri vantaggi all'azienda ed alla sua sicurezza informatica.
Perché insistere sull'importanza del purple team
L'adozione di un purple team può portare alla riduzione, anche notevole, dei tempi di feedback e di implementazione di quanto scoperto ed individuato dal red team.
Questo team permette infatti l'abolizione della logica a compartimenti stagni, garantendo un flusso di informazioni costanti; condizione che permette una correzione del lavoro in tempo reale.
L'agevolazione delle procedure di attacco permette la costruzione "immediata" del sistema più corretto di difesa.
La condivisione della procedura difensiva permette, in maniera opposta, al Red Team di conoscere meglio il campo di gioco e di testare debolezze e possibili varchi d'ingresso a cui loro potrebbero non aver ancora pensato.
Alcuni esempi di adozioni di successo
L'adozione della logica del purple team ha riscosso immediato successo da parte delle più grandi aziende del settore.
Intel ha creato il suo primo purple team nel 2007 ed ancora oggi lo "sfrutta" quotidianamente.
Google, Microsoft, Oracle ed altri big dell'informatica e della cybersecurity hanno purple team fissi o li creano all'occorrenza nelle varie fasi di test e controllo.
Anche aziende "meno" tecnologiche", come ad esempio il colosso della distribuzione Nord Americana WalMart ha creato un purple team che usa quotidianamente per il controllo e l'implementazione del proprio sistema informatico.
Conclusioni
La sicurezza informatica della tua struttura assume ogni giorno un’importanza nevralgica maggiore.
Così, come nel sistema medico ogni giorno i virus ed i batteri diventano più intelligenti e performanti, allo stesso modo avviene per le minacce informatiche.
Quindi ogni giorno deve evolvere anche il tuo sistema di difesa.
Come ogni battaglia, spesso la comunicazione è ciò che nel lungo termine può portare alla vittoria finale; soprattutto quando la sfida è tra due eserciti che, seppur contrapposti hanno lo stesso obiettivo finale.
La velocità e la prontezza di risposta nel campo della cybersecurity è tutto, l'implementazione di un purple team permette di ridurre notevolmente i tempi comunicativi e di feedback, evitando aggiornamenti e conclusioni solo alla fine dell'esercizio, ma introducendoli in tempo reale.