Tag: red teaming

cyber security

TIBER-EU: i team

Rocco Sicilia

Durante la lettura del documento che illustra il framework tutto mi è diventato più chiaro quando sono state mappate le competenze dei team che hanno un ruolo attivo nel processo di testing. Ho quindi pensato di partire dagli attori coinvolti per poi parlare del processo in se.

Per ora è sufficiente sapere che il framework propone una metodologia per eseguire dei test sulla sicurezza dell’organizzazione e questi test hanno la particolarità di simulare, in ogni aspetto, il comportamento di un threat actor. In tal senso la separazione in team è indispensabile in quanto ci sono informazioni che non devono essere distribuite.

Il framework identifica sei stakeholders:

  • il Tiber Cyber Team (TCT) ed il relativo Team Test Manager (TTM)
  • il White Team (WT) ed il relativo White Team Lead (WTL)
  • il Blue Team (BT)
  • il Threat Intelligence (TI) provider
  • il Red Team (RT) provider
  • eventuali agenzie governative di intelligence o enti nazionali attivi sul fronte della cyber security

Partiamo da Tiber Cyber Team che comprende le autorità nazionali che hanno deciso di aderire al fremework e sono responsabili della realizzazione della guida nazionale per l’implementazione dello stesso. In Italia questa competenza è assegnata a tre enti: Banca d’Italia, Consob e IVASS. E’ infatti di loro competenza la stesusa ed il mantenimento del documento Guida nazionale TIBER-IT (che prenderemo in considerazione in futuro) e sono anche il riferimento per tutti i White Team Leads per eventuali richieste di supporto a livello di supervisione.

Il White Team ed il relativo responsabile, denominato White Team Lead, è un gruppo di lavoro interno all’organizzazione che desidera utilizzare il framework. Si tratta del team incaricato di coordinare i test interagendo internamente ed esternamente, è infatti l’interfaccia verso il Threat Intelligence provider ed il Red Team provider. Elemento molto importante: il White Team è l’unico team interno all’ente oggetto dei test a conoscenza dell’attività di verifica. Le informazioni circa i test non devono cincolare all’interno dell’organizzazione in quanto falserebbero l’esito dei controlli.

Il Blue Team è costituito da tutto lo staff dell’organizzazione che non fa parte del White Team. Il framework non identifica il Blue Team con un gruppo specifico in quanto, deduco io, tutta l’organizzazione è potenzialmente interessata e coinvolta in un’azione di contrasto ad un minaccia cyber. Solutamente questa “label” viene data a chi opera attivamente le attività di gestione delle minacce a livello tecnico, in questo caso è l’intera organizzazione che ne fa potenzialmente parte.

Il Threat Intelligence provider ha l’onere di eseguire le attività di Threat Intelligence e di documentare le informazioni prodotte nella forma del Targeted Threat Intelligence Report (spesso abbreviato in TTI Report o TTIR). Con questo report il team identifica i potenziali scenari di attacco per l’organizzazione sulla base delle informazioni raccolte. In questa fase il Threat Intelligence provider collabora in modo molto stretto con il Red Team provider in quanto questa fase operativa si sovrappone alle attività di ricognizione del Red Team.

Il Red Team provider è incaricato di implementare materialmente gli scenari di attacco descritti nel TTI Report. Le attività verranno documentate nel Red Team Test Report con il dettaglio di qualto eseguito, i relativi esiti ed eventuali suggerimenti per migliorare i controlli dell’organizzazione.

Fanno parte degli stakeholders anche eventuali agenzie nazionali di intelligence o cyber security. Su questo fronte non mi avventurerò in approfondimenti.

Non ci sono pochi attori all’opera, è evidente una struttura pensata al fine di rendere realistici i test e mantenere un certo livello di controllo sulle attività. Come ho accennato ad inizio post ho preferito prima chiarire quali sono le figure coinvolte mentre nel prossimo post sul tema TIBER-EU si spostiamo sulla metodologia e vediamo se fasi previste per un test completo.

cyber security, podcast

TIBER-*: intro

Rocco Sicilia

Il mondo dell’information security ha con il tempo sviluppato modelli e framework per strutturare molti processi di gestione del rischio cyber. Alcuni sono diventati un punto di riferimento assoluto (vedi NIST o ISO 27001/27002, lascio qui il link una lista con qualche descrizione utile) e spesso vengono adottati anche solo parzialmente o vengo utilizzati come “fonte di ispirazione” dei temi che si occupano della gestione della sicurezza delle informazioni e dei sistemi.

TIBER, che per la cronaca è l’acronimo di Threat Intelligence Based Ethical Red-Teaming, è un altro framework che la ECB (European Central Bank) – che in Italia amiamo tradurre con Banca Centrale Europea o BCE – ha abottado con lo scopo di fornire uno strumento di testing e miglioramento dealla resilienza cybernetica tramite l’esecuzione di simulazioni di attacco. Semplificando all’estremo utilizzo una della mie frasi tipiche: per far saltar fuori il problema devi mettere alla prova l’intera struttura a sollecitazioni reali.

In un certo senso ci stiamo dicendo che i Vulnerability Assessment ed i Penetration Test restano utili e necessari ma non bastano più. O meglio, questa è la conclusione a cui sono giunti gli ideatori del modello qualche anno fa, chi lavora nel settore ne è ben conscio da molto più tempo.

Con questo post vorrei iniziare a raccontare il contenuto del framework “TIBER-EU” e della relativa “Guida Nazionale TIBER-IT” e forse anche qualche elemento della versione tedesca “TIBER-DE”. Inizierei dalla documentazione disponibile e dai cui io stesso ho iniziato, qualche tempo fa, lo studio di questo framework.

documentazione di riferimento

Sul sito della ECB è disponibile una intro al framework con alcune F.A.Q. ma i primi veri documento da prendere in considerazione sono:

Questi documenti danno una buona panoramica del modello a cui è da aggiungere un documento relativo alle Purple Team Best Practice.

Direi che per iniziare è sufficiente questo. Partiremo quindi da come è strutturato il framework per poi andare a vedere nel dettaglio come è stato implementato per l’Italia e, visto che lavorativamente è probabile che che mi capiti, per la Germania. Guarderemo quindi rispettivamente la documentazione relativa alla TIBET-IT ed alla TIBER-DE.

Ai principali documenti citati se ne aggiungo molti alti di approfondimento (alcuni sono citati nello schema allegato) che prenderemo in considerazione strada facendo. Pronti?

Gli obiettivi del framework

Di base la volontà è di fornire un metodo standard e di validità europea agli enti finanziari (ma il modello è estendibile a chiunque) per verificare le capacità di individuazione e gestione delle minacce cyber tramite l’implementazione di security test condotti in modo da simulare scenari di attacco reali. A tal proposito si fa riferimento a due concessi chiave che il framework integra: la Threat Intelligence ed il Red Teaming.

Un framework comune consentirebbe agli enti di utilizzare metriche simili per valutare e riconoscere il livello di resilienza cyber delle varie entità, semplificando le verifiche tra enti di differenti stati e riducendo gli oneri burocratici che deriverebbero dall’utilizzo di modelli divverenti all’interno dell’EU.

Pur proponendo un modello comune il framework consente ai singoli stati/giurisdizioni una certa flessibilità nell’implementazione del modello TIBER. In questo momento gli stati che hanno adottato il framework sono: Belgio, Danimarca, Finlandia, Germania, Irlanda, Italia, Lussenburgo, Olanda, Norvegia, Portogallo, Romania, Spagna e Svezia. Di fatto esistono enti che non operano sul territorio di un singolo stato, anche in questo caso un framework comune aiuterà i grandi gruppi ad implementare test coerenti nonostante il contesto internazionale.

Cosa cambia rispetto alle metodologie già adottate?

La principale evoluzione sta nel prevedere un modello di testing che, a livello europeo, preveda di eseguire delle simulazioni di attacco realistiche i cui esiti, opportunamente descritti nei report, saranno utilizzati per valutare la postura di sicurezza dell’ente. Le attività di Red Teaming non si limitano alla verifica ed allo sfruttamento di una o più falle: vengono eseguite approfondite ricerche sul target per valutare la strategia e le tecniche da utilizzare per l’attacco che potrebbe essere eseguito non solo a livello “digitale”. Il Red Team prende in considerazione anche la possibilità di accedere alle infrastruttura fisicamente ed utilizza tecniche di social engineering per ingannare, se possibile, i membri dell’organizzazione target.

Questa tipologia di test permette di prendere in considerazione molti più aspetti dell’organizzazione in merito alla gestione delle minacce informatiche: competenze, processi, consapevolezza, status dei servizi di detection e prevention, ecc.

Perché ho deciso di scrivere/parlare di questo framework

Mi occupo di sicurezza informatica e molto spesso proprio di Red Teaming, l’argomento è quindi per me molto in focus con ciò che faccio e che già da anni ho decido di condividere tramite il mio personale blog. TIBER porta all’ettenzione delle aziende strutturate un modello e delle metodologie di security test che per molte figure del settore rappresentano al momento l’unico modo per quantificare in modo accurato il rischio cyber e gli impatti correlati a specifici scenari di attacco.

L’argomento forse non è affascianante come un Buffer Overflow ma mi da modo di approfondire e discutere molti aspetti della sicurezza offensiva.