Nell’ultimo periodo, si sta assistendo alla diffusione di un nuovo approccio all’ethical hacking.: il Purple Team Assessment.

Prevenzione e  pronta reazione costituiscono l’unica arma vincente contro gli attacchi informatici.

Per tale ragione, le aziende più all’avanguardia si sono dotate di:

  • red team, squadre di attacco che testano le difese
  • blue team, squadre di difesa che si occupano di rilevare e contrastare le minacce
purple team

Fino ad oggi, l’ approccio prevalente è stato quello di mantenere le due équipe, che pure “giocano” dalla stessa parte, separate ed in competizione.

Tuttavia, si sta facendo sempre più strada l’approccio ibrido del Purple Team.
Come già il nome suggerisce, questo svolge funzioni intermedie tra una squadra rossa e una blu.
Ma andiamo più a fondo e analizziamo in dettaglio di che cosa si tratta e quali vantaggi potrebbe portare alla vostra azienda.

  1. Red Team e Blue Team: da chi è composto il Purple Team
  2. Che cos’è  il Purple team
  3. In cosa consiste un Purple Team Assessment
  4. Purple Team: quali sono i vantaggi

Red Team e Blue Team: da chi è composto il Purple Team

Per poter comprendere ruolo e finalità del Purple Team, sarà necessario approfondire le caratteristiche di Red e Blue team.

Entrambi, infatti, ricoprono ruoli ben delineati e specifici nelle strategie di cybersecurity. Vediamone in dettaglio le caratteristiche.

Red Team: di cosa si tratta

Alla fine degli anni ’80 è emersa l’esigenza di testare la sicurezza informatica delle organizzazioni utilizzando gli stessi metodi che avrebbe utilizzato un potenziale hacker.

Sostanzialmente, si trattava indagare a 360° l’eventuale presenza di vulnerabilità nei PPT (Persone, Processi, Tecnologie) per prevenire eventuali minacce future.

Proprio a questo scopo, sono nati i red team, in cui hacker etici o white hat si impegnano ad attaccare, utilizzando le medesime  

  • tattiche
  • tecniche
  • e procedure

che utilizzerebbe un cybercriminale.

Ovviamente si tratta di professionisti ingaggiati per individuare le falle, bug e vulnerabilità nelle difese e non per sfruttarle a danno della società.

In particolare tra i compiti del team Rosso troviamo:

Blue Team: di cosa si tratta

Di contro, il Blue Team è un gruppo di analisti qualificati che si occupa della Cyber Kill Chain, ovvero di tutti quei processi di:

  • rilevazione
  • risposta
  • e mitigazione degli effetti

degli attacchi informatici.

L’obiettivo principale di questo gruppo è la difesa, sia preventiva che reattiva.

Il primo scopo viene raggiunto attraverso:

  • la creazione di apposite barriere perimetrali, come firewall e sistemi antivirus
  • interventi volti alla sensibilizzazione del personale
  • o l’implementazione di honeypot ed esche per attirare e analizzare le minacce

Il secondo ambito d’intervento consiste, invece, nel contrastare gli attacchi informatici veri e propri.

In questo caso, si abbandonano i sistemi automatizzati per far ricorso all’intervento umano.

Nello specifico il team blu si occupa di:

Collaborazione o competizione: qual è la strategia migliore?

In molte aziende si ritiene che queste due squadre debbano rimanere separate, non ritenendo opportuno che l’una conosca a priori l’operato dell’altra.

Dietro si cela la convinzione che la competizione tra le due sia il metodo migliore per ottenere il risultato più efficace.

Tuttavia,  sempre più spesso si ritiene che la comunicazione tra le due squadre sia fondamentale per un lavoro che punta ad un obiettivo comune.

Nel corso del tempo, è nata, quindi, la necessità di accorpare queste due entità, dando vita a un’ unica équipe dotata al contempo di:

  • alcuni professionisti che possano impersonare i panni degli attaccanti
  • ed altri che si esercitino come difensori.

Che cos’è il Purple Team

Il Purple Team, è una squadra non permanente.

Ciò significa che può nascere ogniqualvolta si presenti la necessità di supervisionare e migliorare la cooperazione tra red team e blue team.

E’ composto da

  • Senior Security Analysts (analisti della sicurezza)
  • Therat Intelligence Analysts (analisti delle minacce)

Il principale obiettivo è la fusione delle competenze,  inteso come scambio proficuo di informazioni per integrare le tattiche difensive e offensive in una soluzione organica ed efficace.

D’altra parte, il Purple Team deve tutelare le differenze tra i due gruppi, assicurando che i successi e le sconfitte delle due parti diventino occasione di crescita, oltreché di perfezionamento.

Tra i compiti della squadra viola ci sono:

  • Potenziare Blue e Red Team
  • Migliorare la Security Posture aziendale
  • Irrobustire i sistemi difensivi

Questo soluzione di sicurezza collaborativa, dà vita a  un nuovo approccio alla sicurezza delle infrastrutture informatiche.
Col tempo, infatti, si sta rivelando sempre più strategico per migliorare le prestazioni di protezione, monitorando ed ottimizzando gli sforzi e i budget per proteggere dagli attacchi.
Il tutto, abbassando i livelli di rischio complessivi.

In costa consiste il Purple Team Assessment

L’operato del Purple Team viene definito Purple Team Assessment. Analizziamone in dettaglio le fasi fondamentali.

Raccolta dati
La prima esigenza è quella di venire a conoscenza dei modus operandi e delle capacità dei due team, nonché dell’intera infrastruttura informatica.

A tale scopo, è necessaria una raccolta ed un’analisi dati preventiva che fornisca un’overwiew generale sulla situazione di partenza.

Valutazione dei rischi
In base al settore in cui opera l’azienda in esame, alle sue dimensioni, ai processi che vi si svolgono, essa sarà più soggetta ad alcune minacce rispetto ad altre.

Compito del Purple Team è individuare le diverse probabilità di occorrenza per tutti i possibili attacchi e modellare di conseguenza i test di sicurezza. dando indicazioni al red team sulle aree su cui concentrarsi maggiormente durante le simulazioni.

Rilevazione e risposta all’attacco
Contemporaneamente, il Purple Team monitora i risultati dell’equipe difensiva, supportandola nella gestione della difesa e, qualora fosse necessario, nella rilevazione degli attacchi veri e propri.

Condivisione degli esiti
Alla fine il Purple Team dovrà produrre un rapporto che riassuma tutti risultati. Questo conterrà indicazioni sui livelli di rischio nelle varie aree testate, ma anche suggerimenti utili per rendere la difesa ancora più robusta.

Purple Team: quali sono i vantaggi

Nel complesso, dunque, la Squadra viola, si occupa di ottimizzare il lavoro di Red e Blue Team.

Presentiamo di seguito una carrellata dei principali vantaggi derivanti dalla sua adozione.

Aumento dell’efficacia delle azioni difensive
L’inserimento di una equipe che coordini quelle di attacco e difesa permette di concentrare gli sforzi nell’affrontare gli scenari di rischio più probabili o più critici.

Inoltre il red team, avendo a disposizione un feedback da parte del team blue, conoscerà meglio il sistema difensivo e potrà escogitare attacchi sempre più mirati.

Ottimizzazione dei costi
Dal momento che il Purple Team si occupa di definire le aree di maggiore vulnerabilità e lascia che red e blue team si affrontino solo su quelle, i costi sono ridotti agli interventi effettivamente utili al miglioramento della sicurezza.

Dopo una prima scrematura, saranno evidenti le carenze del blue team e le architetture maggiormente esposte al rischio.

Si potrà, quindi, ridurre l’area di azione e i relativi costi il costo di assessment.

Riduzione dei tempi di feedback
Se esiste un mediatore che coadiuva la comunicazioni tra le parti, si riducono nettamente i tempi tra la scoperta delle falle e la loro correzione.

Purple Team: considerazioni finali

Poiché le minacce evolvono continuamente, diventando sempre più intelligenti e performanti, allo stesso modo devono evolvere le tecniche difensive.

Il Purple Team, rappresenta un strategia ideale e flessibile per

  • massimizzare il rendimento del Red e Blue Team
  • velocizzare i miglioramenti nei sistemi difensivi,
  • ottimizzare i costi

e quindi proteggere le infrastrutture IT nel miglior modo possibile.